A közvetett fájlátvitel letiltása a távoli asztalon

Bizonyos biztonsági zónák megkövetelhetik, hogy a fájlátvitel tilos legyen a hálózaton belül vagy a hálózaton kívül. Ezt gyakran úgy oldják meg, ha a tűzfalon blokkolják a fájlátviteli engedélyeket. Ennek számos módja van; fejem tetején a következő fájlátviteli mechanizmusokra gondolok:

  • a 80-as és a 443-as portok a webalapú fájlátviteli webhelyek számára
  • 21. port az FTP számára
  • port 445 a szerver üzenetblokkhoz (Windows fájlátvitel)
  • 135-es port a távoli eljáráshíváshoz
  • A lista tovább folytatódhat…

Mint minden tűzfala adminisztrátora, akinek megéri az Ethernet-kábel súlya, azt mondja neked, hogy ne sorolja fel a portokat külön-külön; ehelyett blokkoljon mindent, és kifejezetten engedje meg, hogy mi szükséges. Elég tisztességes, de ha Windows kiszolgálók vesznek részt, akkor az adminisztrációs mechanizmus valószínűleg a Remote Desktop lesz a TCP 3389-en keresztül. A Remote Desktop a legjobb adminisztrációs eszköz a Windows Systems számára, de van egy figyelmeztetés azzal kapcsolatban, hogy mi mindent fog küldeni a vezetéken, ha aggódik a fájlátvitel miatt.

A Remote Desktop az eszközátirányítás széles kategóriájával rendelkezik. Ez egyértelmű a hang- és nyomtatási funkcióknál, de magában foglalja a meghajtóátirányítást is. Windows XP és Windows Server 2003 vagy újabb rendszerek esetén távoli asztali kapcsolatok létesíthetők, amelyek átirányítják a meghajtó betűit, amelyek lehetővé teszik a fájlátvitelt a 3389 porton keresztül. Ha ez problémát jelent, a Windows megoldást kínál egy csoportházirend-objektummal (GPO), amely képes tiltja a meghajtó átirányítását a távoli asztalon. A csoportházirendön belül a számítógép konfigurációja Politikák | Adminisztratív sablonok Windows-összetevők | Távoli asztali szolgáltatások | Az Eszköz és erőforrás átirányítás szakasz tartalmazza az eszköz átirányítás konfigurációs lehetőségeit. Az alábbi A ábra a meghajtó átirányítását mutatja a GPO-ban tiltva: A ábra

Click image to enlarge

Az ilyen csoportházirend-objektum alkalmazható felhasználóra, csoportra, meghatározott szervezeti egységre vagy sok más testreszabott kritériumra az Active Directory-ban.

Noha nincs egyetlen olyan konfiguráció sem, amely megfelel minden követelménynek, ez a fájl átvitelt megakadályozó tűzfalszabályokkal párhuzamosan csökkenti a véletlenszerű fájlátvitel valószínűségét.

© Copyright 2021 | mobilegn.com