如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

編者：Chohan Wu

圖一、 Windows 8 遠端桌面連線 (來源)

本篇文章主要介紹如何安全的使用 Windows 遠端桌面連線功能，各版本的 Windows 用戶皆可參考本篇文章來設定。若有更新的資安應用，我們會在第一時間跟大家分享。

本文作者為黃保翕 (Will 保哥) ，為微軟的最有價值專家，專長領域為 ASP.NET / IIS 。

去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點，請我幫他修復網站，不過這案子已經結案超過三年，結案後他們就自己管理主機，怎麼管到會中毒我不清楚（其實是被值入木馬），當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機，不過才剛連上沒多久，我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理，一開始還以為防毒軟體秀逗了，但不斷跳出警告後開始覺得不對勁，查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟，過程中我的硬碟已經被值入 70 多支木馬，實在恐怖！

有了這次經驗，我就對遠端桌面連線作業更加小心，沒事千萬不要 重新導向 本機裝置和資源到遠端，也就是不要掛載本機磁碟機到遠端的意思，請參考以下設定畫面：

這個功能雖然好用，但是卻很危險，要是遠端主機中毒了，就很有可能直接從遠端電腦直接侵門踏戶到你的電腦來。反之亦然，如果用戶端中毒了，一樣很容易會危害到遠端的伺服器主機，因此站在資安的立場上來說，這一點不得不防範！

以下是 Windows Server 2008 的 本機群組原則編輯器 設定方式：

[開始] > [執行] > 輸入 gpedit.msc 後按下確定

展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [遠端桌面服務] > [遠端桌面工作階段主機] > [裝置及資源重新導向]

最重要的是要將「不允許磁碟重新導向」要設定為「啟用」。至於「剪貼簿」有時候還是蠻方便的，如果你要關閉的話，也可以將他修改為「啟用」即可限制剪貼簿的重新導向。

最後 [開始] > [執行] > 輸入 gpupdate 後按下確定即可完成套用，不過現有已登入的帳戶可能需要先登出再登入設定才能生效。

當然，如果能透過 AD 的群組原則來設定網域內的電腦，那是再方便不過的了。

相關連結

• Remote Desktop Services troubleshooting

作者：黃保翕 (Will保哥) / 多奇數位創意有限公司 技術總監
部落格: https://blog.miniasp.com
粉絲團: https://www.facebook.com/will.fans