Блокирование скрытой передачи файлов при подключении к удаленному рабочему столу
В некоторых зонах безопасности бывает необходимо заблокировать передачу файлов в сеть или из сети. Для этого в брандмауэре обычно закрывают порты, которые чаще всего используются для передачи файлов. В их числе:
• порты 80 и 443 для передачи файлов через веб-интерфейс; • порт 21 для передачи файлов по FTP; • порт 445 для передачи файлов по SMB (Server Message Block) в Windows; • порт 135 для удаленного вызова процедур; • и так далее, и тому подобное.
Любой мало-мальски опытный сетевой администратор порекомендует заблокировать все порты разом и открыть только нужные. Подход разумный, однако при использовании Windows Server администрирование чаще всего осуществляется по протоколу удаленного рабочего стола через порт TCP 3389 (См. статью Изменение порта прослушивания для протокола удаленного рабочего стола в Windows Server). Это лучший способ удаленного управления Windows Systems, но он создает определенные проблемы в том случае, если требуется полностью запретить передачу файлов в сети.
Протокол удаленного рабочего стола поддерживает множество способов перенаправления, включая перенаправление аудио-вывода, печати и дисков. В Windows XP, Windows Server 2003 и выше возможно удаленное подключение с перенаправлением дисковых меток, при котором разрешается передача файлов через порт 3389. Чтобы этого избежать, можно запретить перенаправление дисков с помощью объекта групповой политики. Нужные настройки содержатся в разделе «Конфигурация компьютера | Политики | Административные шаблоны | Компоненты Windows | Службы удаленных рабочих столов | Перенаправление устройств и ресурсов» (Computer Configuration | Policies | Administrative Templates | Windows Components | Remote Desktop Services | Device and Resource Redirection). На рис. A показаны настройки объекта групповой политики для запрета перенаправления дисков.
Рисунок A. Нажмите на изображении для увеличения.
Такой объект групповой политики может применяться к отдельным пользователям, группам, организационным единицам и по целому ряду других критериев в рамках Active Directory.
Единой конфигурации для запрета передачи файлов на все случаи жизни, к сожалению, не существует, но использование описанного метода в сочетании с блокированием портов при помощи брандмауэра существенно ограничивает возможности для скрытой передачи файлов.
