none
Как отключить возможность копирования файлов по RDP7.x? RRS feed

  • Вопрос

  • Добрый день, коллеги!

    Задача такая: есть DMZ-сервер Win2k8R2Std с закрытой информацией для ознакомления. Групповыми политиками разрешено использование буфера обмена только некоторым, которые занимаются пополнением и изменением контента. Однако выносить с сервера файлы, равно как и копировать их туда никому нельзя. В протоколе RDP начиная с версии 7.0 появилась "приятная" возможность обеспечить более высокий уровень интерактивности терминальной сессии - обмен файлами с клиентской машиной. В нашем конкретном случае это неприемлемо. Отключать полностью возможность использования буфера обмена также нельзя, так как контент-специалисты у нас работают с большими объёмами текстовых и графических данных, передавая их в базу на сервере через буфер обмена.

    Мною было предпринято всестороннее изучение предмета. Его плоды:

    1. Документации на параметр Type ключа HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\AddIns\Clip Redirector найти не удалось. Опытное изменение значения по-умолчанию 3 на что-то другое ни к каким результатам не привели. То есть, результаты-то может быть и были, но желаемых не было точно.

    2. Рекомендации по отключению использования сопоставления дисков также оказались бесполезны - копирование работает даже при отключённом сопоставлении. Сочетание сопоставления дисков и буфера обмена с патчем rdpclip_hotfix дают возможность копирования файлов в протоколе RDP версии 6 и ниже, по-умолчанию этой функции там нет. Ну не покупать же лицензии Windows 2003 R2 ради этого!

    3. Ограничить пользователей целевыми папками с правами только на чтение я также не могу, поскольку у любого, даже самого ограниченного в правах пользователя всегда есть папки с неограниченным доступом непосредственно ему: это папки пользовательского профиля.

    5 июля 2012 г. 10:29

Ответы

  • Если вы разрешили буфер обмена, то уже нет никакой разницы копируете ли вы кусок содержимого файла или файл целиком!

    Иначе говоря, если мне запрещено копировать файл, то я его запишу в буфер обмена, переключу окна, сделаю вставку, сохраню и получу тот же файл.

    Поэтому если разрешили буфер обмена, то разрешили копирование файлов.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Yuriy Lenchenkov 16 июля 2012 г. 11:14
    5 июля 2012 г. 12:42
    Модератор
  • 1) Поддерживаемого механизма не существует. Неподдерживаемый - заменить на сервере файл  rdpclip.exe  на файл старой версии. Работоспособность и отсутствие последствий не гарантирую.

    2) Косвенно можно ограничить внос файлов на сервер: перенацелить папки докумeнтов на стороннее хранилище, сам профиль сделать неизменяемым (mandatory).


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


Все ответы

  • Если вы разрешили буфер обмена, то уже нет никакой разницы копируете ли вы кусок содержимого файла или файл целиком!

    Иначе говоря, если мне запрещено копировать файл, то я его запишу в буфер обмена, переключу окна, сделаю вставку, сохраню и получу тот же файл.

    Поэтому если разрешили буфер обмена, то разрешили копирование файлов.


    Сазонов Илья http://isazonov.wordpress.com/

    • Помечено в качестве ответа Yuriy Lenchenkov 16 июля 2012 г. 11:14
    5 июля 2012 г. 12:42
    Модератор
  • Посмотрите в сторону стороннего ПО, на рынке существуют решения в которых заявлен в числе прочего именно аудит/контроль буфера обмена. Теневое копирование всего что проходит через буфер, принтеры, операции чтения/записи и прочий тотальный контроль.

    Ну и старые верные варианты с регламентами, обязательствами, и другими организационными мерами защиты информации.

    5 июля 2012 г. 12:56
  • Касательно переноса файла через буфер "по частям", то есть передача его содержимого исключена, так как в самих файлах присутствует защита от выборки больших объёмов данных и структуры, а также просмотра активного содержимого, такого как макросы и сценарии. На сервере отсутствуют утилиты, способные преобразовать файл в текстовое содержимое (UUEncode, ага!), а также утилиты, способные "хакнуть" имеющиеся файлы на предмет снятия защиты и вскрытия исполняемого содержимого. Помимо этого действует политика ограниченного исполнения программ, благодаря которой недобросовестный сотрудник даже разместив на сервере такие утилиты посредством обсуждаемой передачи файлов не сможет ими воспользоваться. НУ и наконец, напомню, сервер находится в DMZ-зоне, все исходящие подключения с него отклоняются, а из входящего прослушивается только RDP.

    Итак, после того как я изложил всю методику защиты имеющейся в сервере информации, я хотел бы узнать существует ли способ отключить "удобную" опцию использования буфера обмена, сводящую все вышеприведённые усилия на нет?

    5 июля 2012 г. 15:51
  • Мониторинг требует дополнительных ресурсов, как человеческо-временных, так и материальных. Какой смысл приобретать дополнительный софт (плодить сущности), когда проблема лежит на поверхности?
    5 июля 2012 г. 15:53
  • 1) Поддерживаемого механизма не существует. Неподдерживаемый - заменить на сервере файл  rdpclip.exe  на файл старой версии. Работоспособность и отсутствие последствий не гарантирую.

    2) Косвенно можно ограничить внос файлов на сервер: перенацелить папки докумeнтов на стороннее хранилище, сам профиль сделать неизменяемым (mandatory).


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html