防止远程桌面用户访问 Windows Server 2008 上的 LAN

我的建议是使用防火墙策略进行网络级隔离。也就是说，您应该使用的设计是 DMZ。

例如，如果您有一个 VPN 用户连接到的终端服务器/远程桌面服务器，那么最好将该终端服务器隔离到防火墙接口的子网中，以便实施更严格的策略。

看此图并阅读DMZ 的概念。

让专用防火墙发挥其最擅长的任务，即防火墙；让 Windows 发挥其最擅长的任务，即网络操作系统。

为了正确而安全地做到这一点，您必须多学习一些相关知识。:)

虽然有很多方法可以做到这一点，但最根本的方法就是确保这些用户具有适当的权限。即，不要授予他们允许他们访问您不想访问的任何内容的权限。

您可以使用高级安全 Windows 防火墙阻止所有流向 LAN 的出站流量。如果您在组策略或本地策略中设置了此项，则非管理员用户将无法更改它。

请注意，您必须至少允许 RDP 会话的出站流量。