Windows Server 2012 RDS VDI 保安篇 - 如何限制使用者連接本地裝置
Windows Server 2012的RDS設置後, 預設允許所以本地裝置如
USB記憶棒, 軟硬盤, 印表機, 視像頭, 剪貼簿等等…
但這樣卻大大降低系統的保安程度,
例如用戶的記憶棒被病毒入侵, 就會經RDS進入核心系統…
又如有員工經過RDS把公司資料全部下載到記憶棒…
所以有必要限制員工接入RDS可以連接的本地裝置, 而不同環境有不同的設定方式
有原生的RDS方案, 也能用群組原則設定
先說RDS原生的限制方法, RDS中每一個VDI Pool可以有不同的限制方針
你可以設定某5個VDI平台可以列印, 另外5個VDI平台甚麼也不轉駁裝置, 配合公司各部門的保安要求
來看看甚麼也不能轉駁的效果 (確定後立即生效)
當再次在RDweb 按VDI連線選項時, 遠端桌面連線彈出的詢問視窗已不見了左下角的詳細資料選項
進入桌面後也見不到用戶的實體機裝置了
這幅圖如果在VDI裡面也不能貼到我的Live Writer上, 因為剪貼簿也被封瑣了
但這不影響VDI的內部操作, 所以這樣能有限度限制用戶剪貼公司內容到其他地方
也不能把內容列印出來了
再來我先把這個限制設定解除, 再介紹群組原則
群組原則以OU或Security Group的角度設置限制, 它的位階也高於RDS的設定, 所以適合用作全局佈置
群組原則的位置為:
Computer Configuration\Policies\Administrative Templates\Windows Components\
Terminal Services\Terminal Server\Device and Resource Redirection
例如如果把拒絕磁碟機轉駁設定為使用的話
雖然RDS沒有限制我的轉駁
VDI電腦也因為群組原則限制而不能把磁碟機駁入了
但這裡還有個問題就是使用者還能見到VDI機的C盤…還是有些安全危機
所以最少應該把C盤像這樣隱藏起來
題外話…有機會會再詳述, 暫不適用於VDI平台, 就算套用了也對VDI環境沒有影響, 至少在我的版本如是…不知是不是BUG
如果整個RDS系統有設定閘道來進入, 可以用Remote Desktop Gateway Manager 限制連線的各種規定
進入後會見到Gateway Server – Policies – Connection Authorization Policies
在Divice Redirection一頁能夠設定用戶可以轉接入的裝置
最底下有一個選項"Only allow client connections to Remote Desktop Session Host servers thatenforce RD Gateway device redirection”
如果剔選的話會限制只能由RDP Client 7.0 以上才能接入, Windows 7 和 Server 2008 原生支持
Windows XP SP3 以上能以下載方式更新到RDP 7.0 : http://support.microsoft.com/kb/969084/en-us
有些RDP Client能無視Gateway Manager的設定, 所以這設定也能提高保安性