愿得一人心,白首不相离。

禁用远程电脑复制粘贴文件至本地电脑

技术支持 Jack

这个需求的核心在于理解远程访问的工作模式。员工通过VPN后,通常使用远程桌面协议(RDP) 连接到192.168.1.1这台电脑。因此,禁用复制粘贴实际上就是禁用RDP会话中的剪贴板重定向驱动器重定向功能。

通过域组策略(GPO)是实现这一目标最集中、最有效的方法。

解决方案概览

我们将通过创建并链接一个组策略对象(GPO)到目标计算机(192.168.1.1)来实现。这个GPO将配置两个关键策略:

  1. 禁用剪贴板重定向:阻止文本、图像等在远程会话和本地电脑之间复制粘贴。

  2. 禁用驱动器重定向:阻止远程会话访问本地电脑的磁盘驱动器,从而无法通过“复制-粘贴”或“拖拽”的方式传输文件。

详细配置步骤

第1步:打开组策略管理控制台

  1. 在域控制器上,打开 “服务器管理器”

  2. 点击 “工具”,然后选择 “组策略管理”

第2步:创建新的组策略对象(GPO)

  1. 在“组策略管理”控制台中,展开您的域。

  2. 右键点击 “组策略对象”

  3. 选择 “新建”

  4. 为该GPO起一个易于识别的名称,例如 “禁用RDP剪贴板和驱动器重定向”

  5. 点击 “确定”

第3步:编辑组策略对象

  1. 右键点击刚刚创建的GPO “禁用RDP剪贴板和驱动器重定向”

  2. 选择 “编辑”。这将打开“组策略管理编辑器”。

第4步:配置“剪贴板重定向”策略

  1. 在编辑器中,导航到以下路径:
    计算机配置 -> 策略 -> 管理模板 -> Windows 组件 -> 远程桌面服务 -> 远程桌面会话主机 -> 设备和资源重定向

  2. 在右侧窗格中,找到并双击 “不允许剪贴板重定向”

  3. 选择 “已启用”

  4. 点击 “确定”

    作用:此策略启用后,用户在RDP会话中将无法使用剪贴板在本地计算机和远程计算机之间复制文本、图像等。

第5步:配置“驱动器重定向”策略

  1. 在同一路径下(设备和资源重定向),找到并双击 “不允许驱动器重定向”

  2. 选择 “已启用”

  3. 点击 “确定”

    作用:此策略启用后,在RDP会话的“我的电脑”或“此电脑”中将看不到本地计算机的驱动器,从而无法直接访问本地硬盘进行文件复制。

    更精细的控制(可选):
    如果您只想禁用部分驱动器(如U盘),而允许访问本地C盘,可以配置 “允许的RDP驱动器重定向” 策略,并只选择您希望允许的驱动器类型。但为了实现您的安全目标,建议直接完全禁用。

    ———不允许剪贴板重定向:设置为"已启用"

    ———不允许驱动器重定向:设置为"已启用"(可选,防止文件复制)

    ———不允许COM端口重定向:设置为"已启用"

    ———不允许智能卡设备重定向:设置为"已启用"(可选)

    ———不允许即插即用设备重定向:设置为"已启用"(可选)

第6步:将GPO链接到目标计算机

现在需要将这个GPO应用到指定的电脑(192.168.1.1)上。有几种方法,推荐第一种:

方法A(推荐):链接到包含该计算机的OU

  1. 在“组策略管理”中,找到存放 192.168.1.1 这台计算机的组织单位(OU)。如果它还在默认的“Computers”容器里,建议为其创建一个专用的OU。

  2. 右键点击该OU。

  3. 选择 “链接现有GPO”

  4. 在弹出的窗口中,选择我们刚刚创建的 “禁用RDP剪贴板和驱动器重定向” GPO。

  5. 点击 “确定”

方法B:使用安全筛选
如果计算机分布在不同的OU,或者您只想对特定计算机生效,可以使用安全筛选。

  1. 点击链接了GPO的OU。

  2. 在下方 “安全筛选” 区域,默认是 “经过身份验证的用户”

  3. 点击 “添加”,然后选择 “计算机” 对象。

  4. 输入计算机名 DESKTOP-106225(请根据实际情况,在AD中查找该IP对应的计算机名)。

  5. 点击 “确定”

  6. 将默认的 “经过身份验证的用户” 从列表中 “删除”。这样,只有您指定的计算机才会应用此策略。

第7步:强制更新组策略并测试

  1. 在目标计算机192.168.1.1上,以管理员身份打开命令提示符(CMD)或 PowerShell。

  2. 执行命令强制刷新组策略:

    bash
    gpupdate /force

  3. 重启计算机以确保所有设置生效(某些RDP策略需要重启)。

  4. 让一名外办公员工通过VPN和RDP重新登录这台电脑进行测试。

    • 测试剪贴板:尝试在远程桌面和本地电脑之间复制一段文字或一张图片,应该会失败。

    • 测试驱动器:在远程桌面的“此电脑”中,应该看不到本地电脑的驱动器盘符。

重要注意事项

  1. 计算机名 vs IP地址:组策略是基于计算机名(在AD中注册的)而不是IP地址生效的。请确保您知道 192.168.1.1 在域中的计算机名,并在链接策略时使用正确的对象。

  2. 策略生效位置:这些策略是在 目标计算机(192.168.1.1 上生效的,而不是在员工的个人电脑上。

  3. 单向限制:此配置是双向禁用的。即,既不能从内网电脑复制到本地,也不能从本地复制到内网电脑。如果业务需要单向(例如允许从本地复制到内网),则需要更复杂的策略或第三方软件。

  4. 其他传输途径:禁用RDP的复制粘贴功能后,仍需警惕其他数据泄露途径,如:

    • 电子邮件:通过Web邮件发送文件。

    • 即时通讯工具:通过QQ、微信等传输文件。

    • 云盘:上传到个人网盘。

    • U盘:如果员工能物理接触到这台电脑。
      您可能需要结合其他域策略(如软件限制策略、网络防火墙策略等)来构建一个更全面的数据防泄露体系。

发表评论:

验证码