惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

WordPress大学
WordPress大学
Microsoft Security Blog
Microsoft Security Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
V
Visual Studio Blog
宝玉的分享
宝玉的分享
IT之家
IT之家
人人都是产品经理
人人都是产品经理
T
The Blog of Author Tim Ferriss
I
InfoQ
B
Blog RSS Feed
T
Threatpost
博客园_首页
M
MIT News - Artificial intelligence
Spread Privacy
Spread Privacy
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
Know Your Adversary
Know Your Adversary
U
Unit 42
Engineering at Meta
Engineering at Meta
C
Cyber Attacks, Cyber Crime and Cyber Security
月光博客
月光博客
Scott Helme
Scott Helme
T
Tor Project blog
有赞技术团队
有赞技术团队
AWS News Blog
AWS News Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Last Week in AI
Last Week in AI
S
Schneier on Security
Vercel News
Vercel News
博客园 - Franky
C
Cybersecurity and Infrastructure Security Agency CISA
L
LINUX DO - 热门话题
NISL@THU
NISL@THU
L
LangChain Blog
爱范儿
爱范儿
Google DeepMind News
Google DeepMind News
The GitHub Blog
The GitHub Blog
雷峰网
雷峰网
Latest news
Latest news
C
CXSECURITY Database RSS Feed - CXSecurity.com
Hugging Face - Blog
Hugging Face - Blog
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
www.infosecurity-magazine.com
www.infosecurity-magazine.com
G
GRAHAM CLULEY
S
Security Affairs
A
About on SuperTechFans
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
大猫的无限游戏
大猫的无限游戏
W
WeLiveSecurity
Cisco Talos Blog
Cisco Talos Blog
罗磊的独立博客

博客园 - kalman

nodejs+express+jade安装备忘 Asp.net MVC应用在IIS7上部署后403错误解决方案 FluentData Mysql分页的一个BUG 代码生成器Kalman Studio2.2发布,完美支持Oracle,不需要安装Oracle客户端 【备忘】Oracle常用系统表(做代码生成器用得到) 开发辅助工具Kalman Studio2.0发布,内置基于T4的代码生成器 如何在Yii Framework中使用PHPExcel组件【备忘】 T4代码生成器Kalman Studio发布 如何为Kalman Studio编写T4模板 - kalman - 博客园 发布基于T4模板引擎的代码生成器[Kalman Studio] 请谨慎设置WinForm控件DataGridView列的AutoSizeMode属性 安装apache_2.0.63-win32-x86出现no installed service named "apache2" - kalman .NET序列化与反序列化(转) 手工查杀Win32/Pacex.Gen,Win32/Genetik,Win32/PSW.Agent.NCC,Win32/PSW.QQPass.VD病毒 win2003下安装Look n Stop网络防火墙导致系统蓝屏(tcpip.sys - address F75F5390 base at F75B4000,DataStamp 4473b09e) 在线播放器代码大全(收藏) - kalman - 博客园 System.Exception: System.Data.OracleClient requires Oracle client software version 8.1.7 or greater 服务器: 消息 15135,级别 16,状态 1,过程 sp_validatepropertyinputs,行 100. 对象无效。不允许在 '.cash_flux' 上使用扩展属性,或对象不存在 Excel组件使用配置文档下载
【转】禁止从终端服务器复制文件
kalman · 2014-01-25 · via 博客园 - kalman

终端服务器文件复制。 客户使用Windows Server 2008终端服务,所有用户都是采用远程桌面连接到服务器上进行操作,是否可以设置禁止用户将终端服务器上的文件复制到客户端计算机上,

由于用户是采用远程桌面的方式连接到服务器上进行操作,如果他直接在地址栏输入\\ip地址,那就可以访问到客户端计算机然后把文件复制到客户端计算机,这个能限制吗?

回答: 根据您描述,您想知道如何禁止用户将文件从终端服务器复制到本地上。按照您的要求,我们可以通过下面的几个方法来实现:

方法一、通过禁用映射的方法实现

  1. 打开终端服务配置,找到链接->RDP-tcp->客户端设置
  2. 禁用如下这些:
    • 驱动映射
    • 剪切板映射

方法二、通过组策略禁用重定向的方法实现

  1. 打开组策略编辑器,找到计算机配置\策略\管理模板\windows组件\终端服务\终端服务器\设备和资源重定向
  2. 在这里面启用您所想启用的任何功能。

方法三、通过注册表禁用重定向方法实现

如果您并不能管理终端服务,您可以通过在客户端下添加如下这些注册表键值来禁用重定向:您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/

  1. 找到HKLM\SOFTWARE\Microsoft\Terminal Server Client
  2. 添加如下三个键:
    • “DisableDriveRedirection”=dword:00000001
    • “DisableClipboardRedirection”=dword:00000001
    • “DisablePrinterRedirection”=dword:00000001
  3. 或者禁用所有的重定向:
    • HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
    • “DisableDeviceRedirection”=dword:00000001

方法三、限制通过IP访问的方式复制文件。 

事实上我们并没有很直接的办法来实现我们这个目的。然而,我们可以通过block某些类型的网络流量来实现限制用户访问类似共享文件,telnet等等这样的动作。我们可以通过IPsec来实现。

例如,文件夹共享会使用TCP 445 和 TCP139这两个端口,所以我们可以禁止下面这些流量:

  • 禁止:终端服务 至 用户工作站 445 端口的流量
  • 禁止:终端服务 至 用户工作站 139 端口的流量

注意:使用了上面的设置,终端用户仍然是能够访问终端服务上的共享文件夹的。如果我们需要同样需要禁止这种流量,那么我们就需要定义下面这些策略:

  • 禁止:用户工作站至终端服务445 端口的流量
  • 禁止:用户工作站至终端服务139 端口的流量

同样,我们可以通过禁用如Telnet或FTP的流量:

  • 禁止:终端服务 至 用户工作站 21 端口(FTP控制通道)的流量
  • 禁止:终端服务 至 用户工作站 23 (telnet)端口的流量

但使用IPsec存在着一些限制:

  1. 当定义IPsec策略的时候,我们必须提供所有客户端的IP地址。我们也同时需要提供像 192.168.0.0/255.255.255.0 这样的子网地址。但我们需要建立一些例外规则来允许到某些主机如DC上的流量。例如,所有的域成员服务器应该能够访问DC的共享文件夹,所以我们必须允许这样的流量能到DC上。
    • 通常来说,IPsec策略应该是像下面这个样子的:
    • A)阻止所有从终端服务到客户端子网上445和139端口的所有流量
    • B)阻止所有我们想要的阻止的其他流量
    • C)允许终端服务到特定主机(如DC,文件服务器或一些其他机器)的流量
  2. IPsec策略是基于计算机IP地址的,并且会应用到所有的用户。这就意味着终端服务上的所有用户都会得到相同的结果。在应用这个IPsec策略后不仅普通用户将不能访问工作站上的共享文件夹,而且域管理员也不能访问了。
  3. 终端用户仍然可能找到其他方法来把文件下载到自己的机器上。例如,他们可以把文件复制到一个没有应用该IPsec策略主机的临时文件夹中(假设他们在那台机子上有权限),然后把这些文件从临时文件夹再复制到自己的机子上来。或者可能通过某些可以通过80端口来传输文件的应用程序。

方法四、可以直接配置2008的高级防火墙策略实现, 

即通过防火墙,也可以达到block某些类型的网络流量来实现我们的目的。但还是要考虑到我们之前所讨论的一些限制。

朱一峰   微软全球技术支持中心

禁止从终端服务器复制文件的相关文章请参看

2008 R2终端服务器 

windows 2008终端服务手机终端访问 

windows 2008终端服务器设置 

自动断开终端服务器不活动连接 

限制登录终端服务器 

终端服务用户使用不同应用程序 

终端服务连接故障分析  

终端服务器系统盘清理  

终端服务连接故障分析 

终端服务RDP带宽占用 

终端服务授权 

终端服务器授权 

终端服务器授权升级

不允许使用保存的凭据登录  

远程桌面连不上 

远程桌面授权

远程桌面:授权协议中的一个错误 

终端服务连接故障分析 

原文地址:http://adirectory.blog.com/2012/12/disable-copy-file-from-terminal-server/