本文简介:现在很多单位局域网经常有文件服务器,为了协同办公和数据备份的需要,很多单位都要求员工直接远程桌面服务器上进行工作。工作中形成的重要文件也直接会存储到单位文件服务器上。虽然便于实时保存数据,但也使得员工可以轻松将服务器的文件复制到本地电脑上,从而达到窃取公司商业机密的目的。如何禁止远程桌面拷贝文件、禁止远程文件复制到本地呢?当然,较简单的方法是通过部署第三方服务器共享文件管理软件。例如有一款&ld
现在很多单位局域网经常有文件服务器,为了协同办公和数据备份的需要,很多单位都要求员工直接远程桌面服务器上进行工作。工作中形成的重要文件也直接会存储到单位文件服务器上。虽然便于实时保存数据,但也使得员工可以轻松将服务器的文件复制到本地电脑上,从而达到窃取公司商业机密的目的。如何禁止远程桌面拷贝文件、禁止远程文件复制到本地呢?
当然,较简单的方法是通过部署第三方服务器共享文件管理软件。例如有一款“安企神共享文件管理系统”(下载地址:http://wgj7.com/gongxiangwenjianshenji.html),只需要在共享文件服务器上安装之后,就可以限制局域网用户访问共享文件的权限,可以只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,以及禁止拖动共享文件、禁止打印共享文件等。同时,还可以详细记录共享文件访问日志,便于事后备查和审计。如下图所示:
同时,针对用户远程桌面服务器复制服务器共享文件的行为,本系统也可以禁止。只需要在“全局设置”勾选“防止本地登录/远程桌面文件泄密”,就可以阻止用户远程桌面登录服务器之后复制服务器文件的行为,从而极大地保护了服务器共享文件的安全。
方法一、通过禁用映射的方法实现
- 打开终端服务配置,找到链接->RDP-tcp->客户端设置
-
禁用如下这些:
- 驱动映射
- 剪切板映射
方法二、通过组策略禁用重定向的方法实现
- 打开组策略编辑器,找到计算机配置\策略\管理模板\windows组件\终端服务\终端服务器\设备和资源重定向
- 在这里面启用您所想启用的任何功能。
方法三、通过注册表禁用重定向方法实现
如果您并不能管理终端服务,您可以通过在客户端下添加如下这些注册表键值来禁用重定向:您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/
- 找到HKLM\SOFTWARE\Microsoft\Terminal Server Client
-
添加如下三个键:
- “DisableDriveRedirection”=dword:00000001
- “DisableClipboardRedirection”=dword:00000001
- “DisablePrinterRedirection”=dword:00000001
-
或者禁用所有的重定向:
- HKLM\Software\Microsoft\Terminal Server Client\Default\AddIns\RDPDR\
- “DisableDeviceRedirection”=dword:00000001
方法三、限制通过IP访问的方式复制文件。
事实上我们并没有很直接的办法来实现我们这个目的。然而,我们可以通过block某些类型的网络流量来实现限制用户访问类似共享文件,telnet等等这样的动作。我们可以通过IPsec来实现。
例如,文件夹共享会使用TCP 445 和 TCP139这两个端口,所以我们可以禁止下面这些流量:
- 禁止:终端服务 至 用户工作站 445 端口的流量
- 禁止:终端服务 至 用户工作站 139 端口的流量
注意:使用了上面的设置,终端用户仍然是能够访问终端服务上的共享文件夹的。如果我们需要同样需要禁止这种流量,那么我们就需要定义下面这些策略:
- 禁止:用户工作站至终端服务445 端口的流量
- 禁止:用户工作站至终端服务139 端口的流量
同样,我们可以通过禁用如Telnet或FTP的流量:
- 禁止:终端服务 至 用户工作站 21 端口(FTP控制通道)的流量
- 禁止:终端服务 至 用户工作站 23 (telnet)端口的流量
但使用IPsec存在着一些限制:
-
当定义IPsec策略的时候,我们必须提供所有客户端的IP地址。我们也同时需要提供像 192.168.0.0/255.255.255.0 这样的子网地址。但我们需要建立一些例外规则来允许到某些主机如DC上的流量。例如,所有的域成员服务器应该能够访问DC的共享文件夹,所以我们必须允许这样的流量能到DC上。
- 通常来说,IPsec策略应该是像下面这个样子的:
- A)阻止所有从终端服务到客户端子网上445和139端口的所有流量
- B)阻止所有我们想要的阻止的其他流量
- C)允许终端服务到特定主机(如DC,文件服务器或一些其他机器)的流量
- IPsec策略是基于计算机IP地址的,并且会应用到所有的用户。这就意味着终端服务上的所有用户都会得到相同的结果。在应用这个IPsec策略后不仅普通用户将不能访问工作站上的共享文件夹,而且域管理员也不能访问了。
- 终端用户仍然可能找到其他方法来把文件下载到自己的机器上。例如,他们可以把文件复制到一个没有应用该IPsec策略主机的临时文件夹中(假设他们在那台机子上有权限),然后把这些文件从临时文件夹再复制到自己的机子上来。或者可能通过某些可以通过80端口来传输文件的应用程序。
方法四、可以直接配置2022的高级防火墙策略实现,
即通过防火墙,也可以达到block某些类型的网络流量来实现我们的目的。但还是要考虑到我们之前所讨论的一些限制。
总之,服务器文件安全管理意义重大,很多单位的服务器文件还是单位的无形资产和商业机密,保护这些文件的安全至关重要。这一方面需要采用操作系统的各项功能,另一方面也需要借助第三方软件来进一步强化服务器文件安全管理,防止通过各种途径泄密服务器文件的行为。
禁止拷贝文件到U盘的方法
U盘是一种很便携很实用的移动存储设备,可以把文件或者视频资料等数据存储下来,然后转移到其他的电脑设备上,方便文件分享的同时,也是一种文件泄密的风险,我们经常在影视剧中看到U盘窃取重要资料的场面,就像在火蓝刀锋里面,榕博士从海盗那里复制303潜艇的秘密文件,就是使用的U盘拷贝的,有画面了吗。在我们的日常生活中也肯定会有重要的文件不想被泄露出去,今天就带来几种实用的方法,让文件无法被U盘拷贝。
对于个人用户,在Windows系统中,可以使用注册表编辑器的方式。具体步骤如下:
1、“win+R”快捷键开启运行,输入“regedit”回车打开。
2、进入到注册表编辑器页面后,将“HKEY_LOCAL_MACHINE|SYSTEM\CurrentControlSet\Services”复制粘贴到上方地址栏中并回车定位到此。
3、接着点击“Services”中的“USBSTOR”选项。
4、然后找到右侧中的“Start”双击打开。
5、最后在打开的窗口界面中,将“数值数据”从“3”改为“4”,并点击确定保存即可。
对于企业用户
可以使用安企神或者域智盾等安全软件,在此介绍一下安企神,它可以一键设置禁止U盘使用,员工电脑就无法使用U盘进行拷贝,也能设置仅写入等,还可以添加白名单,只有白名单内的U盘设备可以正常使用,非常的多样化,能轻松满足使用者的不同需求。此外,该软件还提供了文件加密和网络审计的功能,企业内部的文件可以得到非常专业的保护,落地加密,只能在公司环境下或者公司授权后接收。
除了文件加密,安企神还支持实时查看被控端电脑的屏幕,企业管理者可以随时掌控员工的工作情况,可以很好的保护企业的知识产权和重要资料,方便且省心。禁止拷贝文件到U盘主要还是为了确保公司内部数据只能在可控范围内流动,防止敏感数据意外或恶意泄露。
本文为收集整理,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。https://www.wgj7.com/cjwt/13680.html