Share via


如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

編者:Chohan Wu


 

圖一、 Windows 8 遠端桌面連線 (來源)

 

本篇文章主要介紹如何安全的使用 Windows 遠端桌面連線功能,各版本的 Windows 用戶皆可參考本篇文章來設定。若有更新的資安應用,我們會在第一時間跟大家分享。

 

本文作者為黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。

 


去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖!

有了這次經驗,我就對遠端桌面連線作業更加小心,沒事千萬不要 重新導向 本機裝置和資源到遠端,也就是不要掛載本機磁碟機到遠端的意思,請參考以下設定畫面:

這個功能雖然好用,但是卻很危險,要是遠端主機中毒了,就很有可能直接從遠端電腦直接侵門踏戶到你的電腦來。反之亦然,如果用戶端中毒了,一樣很容易會危害到遠端的伺服器主機,因此站在資安的立場上來說,這一點不得不防範!

以下是 Windows Server 2008本機群組原則編輯器 設定方式:

[開始] > [執行] > 輸入 gpedit.msc 後按下確定

展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [遠端桌面服務] > [遠端桌面工作階段主機] > [裝置及資源重新導向]

image

最重要的是要將「不允許磁碟重新導向」要設定為「啟用」。至於「剪貼簿」有時候還是蠻方便的,如果你要關閉的話,也可以將他修改為「啟用」即可限制剪貼簿的重新導向。

最後 [開始] > [執行] > 輸入 gpupdate 後按下確定即可完成套用,不過現有已登入的帳戶可能需要先登出再登入設定才能生效。

當然,如果能透過 AD 的群組原則來設定網域內的電腦,那是再方便不過的了。

相關連結

 

作者:黃保翕 (Will保哥) / 多奇數位創意有限公司 技術總監
部落格: https://blog.miniasp.com
粉絲團: https://www.facebook.com/will.fans