Deaktiverer indirekte filoverførsel via fjernskrivebord

Visse sikkerhedszoner kan kræve, at filoverførsel er forbudt i eller ud af netværket. Dette adresseres ofte ved at blokere tilladelser for filoverførsel ved en firewall. Der er en række måder at gøre dette på; fra toppen af ​​mit hoved kan jeg tænke på følgende filoverførselsmekanismer:

  • porte 80 og 443 til webbaserede filoverførselssteder
  • port 21 til FTP
  • port 445 til servermeddelelsesblok (Windows-filoverførsel)
  • port 135 til fjernprocedureopkald
  • Listen kan fortsætte og fortsætte ...

Som enhver firewall-administrator, der er værd at bruge sin vægt i Ethernet-kabel, fortæller dig, skal du ikke angive portene individuelt; i stedet skal du blokere alt og tillade eksplicit hvad der kræves. Fair nok, men hvis Windows-servere er involveret, er chancerne for, at administrationsmekanismen vil være Remote Desktop over TCP 3389. Remote Desktop er det bedste administrationsværktøj til Windows Systems, men der er en advarsel relateret til hvad alt det vil sende over ledningen, hvis du er bekymret over filoverførsel.

Eksternt skrivebord har en bred kategori af enhedsomdirigering. Dette er let for lyd- og udskrivningsfunktioner, men inkluderer også omdirigering af drev. Med Windows XP og Windows Server 2003 og højere systemer kan der oprettes eksterne desktopforbindelser, der omdirigerer drevbogstaver, som tillader filoverførsel gennem port 3389. Skulle dette være et problem, har Windows løsningen med et gruppepolitisk objekt (GPO), der kan forbyde omdirigering af drev på Fjernskrivebord. Inden for gruppepolitik er computerkonfigurationen Politik | Administrative skabeloner | Windows-komponenter | Remote Desktop Services | Afsnit Enhed og ressourceomdirigering har konfigurationsindstillinger til enhedsomdirigering. Figur A herunder viser omdirigering af drev forbudt i en GPO: Figur A

Click image to enlarge .

En GPO som denne kan anvendes til en bruger, gruppe, specifik organisatorisk enhed eller mange andre tilpassede kriterier i Active Directory.

Selvom der ikke er nogen enkelt konfiguration, der kan imødekomme ethvert krav, reduceres dette matchet med firewall-regler, der forhindrer filoverførsel, sandsynligheden for afslappet filoverførsel på bagdøren.

© Copyright 2020 | mobilegn.com