Windows Server 2012 RDS VDI 保安篇 | win2012 terminal server
WindowsServer2012RDSVDI保安篇-如何限制使用者連接本地裝置WindowsServer2012的RDS設置後,預設允許所以本地裝置如USB記憶棒,軟硬盤,印表機,視像頭,剪貼簿等等…但這樣卻大大降低系統的保安程度,例如用戶的記憶棒被病毒入侵,就會經RDS進入核心系統…又如有員工經過RDS把公司資料全部下載到記憶棒… 所以有必要限制員工接入RDS可以連接的本地裝置,而不同環境有不同的設定方式有原生的RDS方案,也能用群組原則設定 先說RDS原生的限制方法,RDS中每一個VDIPool可以有不同的限制方針你可以設定某5個VDI平台可以列印,另外5個VDI平台甚麼也不轉駁...
Windows Server 2012 RDS VDI 保安篇 - 如何限制使用者連接本地裝置
Windows Server 2012的RDS設置後, 預設允許所以本地裝置如
USB記憶棒, 軟硬盤, 印表機, 視像頭, 剪貼簿等等…
但這樣卻大大降低系統的保安程度,
例如用戶的記憶棒被病毒入侵, 就會經RDS進入核心系統…
又如有員工經過RDS把公司資料全部下載到記憶棒…
所以有必要限制員工接入RDS可以連接的本地裝置, 而不同環境有不同的設定方式
有原生的RDS方案, 也能用群組原則設定
先說RDS原生的限制方法, RDS中每一個VDI Pool可以有不同的限制方針
你可以設定某5個VDI平台可以列印, 另外5個VDI平台甚麼也不轉駁裝置, 配合公司各部門的保安要求
來看看甚麼也不能轉駁的效果 (確定後立即生效)
當再次在RDweb 按VDI連線選項時, 遠端桌面連線彈出的詢問視窗已不見了左下角的詳細資料選項
進入桌面後也見不到用戶的實體機裝置了
這幅圖如果在VDI裡面也不能貼到我的Live Writer上, 因為剪貼簿也被封瑣了
但這不影響VDI的內部操作, 所以這樣能有限度限制用戶剪貼公司內容到其他地方
也不能把內容列印出來了
再來我先把這個限制設定解除, 再介紹群組原則
群組原則以OU或Security Group的角度設置限制, 它的位階也高於RDS的設定, 所以適合用作全局佈置
群組原則的位置為:
Computer ConfigurationPoliciesAdminist...