The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖!

有了這次經驗,我就對遠端桌面連線作業更加小心,沒事千萬不要重新導向本機裝置和資源到遠端,也就是不要掛載本機磁碟機到遠端的意思,請參考以下設定畫面:

這個功能雖然好用,但是卻很危險,要是遠端主機中毒了,就很有可能直接從遠端電腦直接侵門踏戶到你的電腦來。反之亦然,如果用戶端中毒了,一樣很容易會危害到遠端的伺服器主機,因此站在資安的立場上來說,這一點不得不防範!

以下是 Windows Server 2003群組原則物件編輯器 設定方式:

[開始] > [執行] >  輸入 gpedit.msc 後按下確定

展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [終端機服務] > [用戶端或伺服器資料重新導向]

預設來說這裡的所有設定都會是「尚未設定」的狀態,你可以視情況將部分重新導向的能力關閉,最重要的就是「不允許磁碟重新導向」要設定為「已啟用」。至於「剪貼簿」有時候還是蠻方便的,如果你要關閉的話,也可以將他修改為「已啟用」即可限制剪貼簿的重新導向。

最後 [開始] > [執行] >  輸入 gpupdate 後按下確定即可完成套用,不過現有已登入的帳戶可能需要先登出再登入設定才能生效。

以下是 Windows Server 2008本機群組原則編輯器 設定方式:

[開始] > [執行] >  輸入 gpedit.msc 後按下確定

展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [遠端桌面服務] > [遠端桌面工作階段主機] > [裝置及資源重新導向]

image

最重要的是要將「不允許磁碟重新導向」要設定為「啟用」。至於「剪貼簿」有時候還是蠻方便的,如果你要關閉的話,也可以將他修改為「啟用」即可限制剪貼簿的重新導向。

最後 [開始] > [執行] >  輸入 gpupdate 後按下確定即可完成套用,不過現有已登入的帳戶可能需要先登出再登入設定才能生效。

當然,如果能透過 AD 的群組原則來設定網域內的電腦,那是再方便不過的了。

相關連結