Inaktiverar indirekt filöverföring via fjärrskrivbord

Vissa säkerhetszoner kan kräva att filöverföring är förbjuden i eller utanför nätverket. Detta åtgärdas ofta genom att blockera behörigheter för filöverföring vid en brandvägg. Det finns ett antal sätt att göra detta; från mitt huvud kan jag tänka på följande filöverföringsmekanismer:

  • port 80 och 443 för webbaserade filöverföringssajter
  • port 21 för FTP
  • port 445 för servermeddelandeblock (Windows-filöverföring)
  • port 135 för fjärrprocedursamtal
  • Listan kan fortsätta och fortsätta ...

Som alla brandväggsadministratörer som är värda sin vikt i Ethernet-kabeln kommer att säga dig, listar inte portarna individuellt; istället, blockera allt och tillåt uttryckligen vad som krävs. Tillräckligt bra, men om Windows-servrar är inblandade, är chansen att administrationsmekanismen kommer att vara Remote Desktop över TCP 3389. Remote Desktop är det bästa administrationsverktyget för Windows Systems, men det finns en varning relaterad till vad allt det kommer att skicka över kabeln om du är orolig för filöverföring.

Remote Desktop har en bred kategori av enhetsomdirigering. Detta är enkelt för ljud- och utskriftsfunktioner, men inkluderar även omdirigering av enheter. Med Windows XP och Windows Server 2003 och högre system kan fjärrskrivbordsanslutningar göras som omdirigerar enhetsbokstäver som tillåter filöverföring genom port 3389. Om detta skulle vara ett problem har Windows lösningen med ett grupppolicyobjekt (GPO) som kan förbjuda omdirigering av enheter inom Remote Desktop. Inom grupppolicy är datorkonfigurationen Politik | Administrativa mallar | Windows-komponenter | Remote Desktop Services | Avsnittet Enhets- och resursomdirigering har konfigurationsalternativ för enhedsomdirigering. Figur A nedan visar omdirigering av enhet som är förbjuden i en GPO: Figur A

Click image to enlarge .

En GPO som denna kan tillämpas på en användare, grupp, specifik organisationsenhet eller många andra anpassade kriterier inom Active Directory.

Även om det inte finns en enda konfiguration som uppfyller alla krav, kommer detta matchas med brandväggsregler som förhindrar filöverföring att minska sannolikheten för tillfälliga filöverföringar bakom dörren.

© Copyright 2020 | mobilegn.com