Как заблокировать программные сайты для удаленного доступа, такие как TeamViewer

Если вы хотите заблокировать все удаленные подключения TeamViewer в вашей сети, эта статья именно для вас. TeamViewer не требует специальной настройки или каких-либо правил брандмауэра, чтобы позволить ему подключаться к Интернету. Все, что вам нужно сделать, это загрузить файл .exe с веб-сайта TeamViewer и выполнить его. Из-за этого кому-то очень легко обойти ваши меры безопасности. Любой серьезный бизнес не хотел бы иметь такую уязвимость, так как вы блокируете TeamViewer? Давайте взглянем.

Включить блокировку DNS

Вы можете заблокировать разрешение DNS-записей в домене teamviewer.com. Это возможно, если вы запускаете свой собственный DNS-сервер.
Войдите в консоль управления DNS и создайте запись верхнего уровня для «teamviewer.com» .
И это почти все, что нужно. Направляя эту запись куда-то еще, вы можете заблокировать соединения с этим доменом и всеми его поддоменами.

Убедитесь, что клиенты не могут подключиться к внешним DNS-серверам

Вы можете убедиться, что единственные DNS-подключения, разрешенные в сети вашей компании, - это ваши собственные внутренние DNS-серверы. Это исключает возможность проверки клиентом TeamViewer DNS-записей на своих собственных серверах, а не на фиктивных, которые вы установили на предыдущем шаге. Вы также можете добавить новое исходящее правило брандмауэра, чтобы заблокировать TCP и UDP-порт 53 от всех исходных IP-адресов, кроме ваших собственных DNS-серверов. Зачем? Потому что теперь ваши клиенты смогут разрешать только те записи DNS, которые вы разрешаете, через собственный DNS-сервер.

Запретить доступ из диапазона IP-адресов TeamViewer

Иногда клиент TeamViewer по-прежнему сможет подключаться к известным IP-адресам, даже если вы заблокировали записи DNS. Вам нужно заблокировать доступ ко всему диапазону IP-адресов, чтобы решить эту проблему. Вы должны снова войти в брандмауэр / маршрутизатор и добавить новое правило исходящего брандмауэра, чтобы запретить подключения к 178.77.120.0/24. Диапазон IP-адресов TeamViewer - 178.77.120.0/24. Это означает 178.77.120.1 - 178.77.120.254.

Заблокируйте порт TeamViewer

Возможно, вам не нужно этого делать, но это тоже не повредит. TeamViewer подключается через порт 5938, но также туннелирует через порты 80 (HTTP) и 443 (SSL), если 5938 недоступен. Чтобы заблокировать его, необходимо войти в брандмауэр или маршрутизатор и добавить новое правило исходящего брандмауэра, чтобы остановить порт 5938 TCP и UDP со всех исходных IP-адресов.

Создание и применение ограничений групповой политики

Добавьте программные ограничения в групповую политику в сети Active Directory. Вот как:

  1. Загрузите файл TeamViewer .exe с веб-сайта TeamViewer.
  2. Запустите консоль управления групповыми политиками и создайте новый объект групповой политики.
  3. Перейдите к Политике ограниченного использования программ в вашем новом объекте групповой политики. Их можно найти в разделе «Конфигурация пользователя»> «Настройки Windows»> «Настройки безопасности»> «Политики ограниченного использования программ».
  4. Щелкните правой кнопкой мыши Политики ограниченного использования программ и выберите «Новые политики ограниченного использования программ» .
  5. Выберите «Обзор» в окне New Hash Rule, которое будет отображаться. Найдите файл установки TeamViewer .exe и дважды щелкните по нему.
  6. Подключите новый объект групповой политики к домену и примените его ко всем своим клиентам.

Провести глубокую проверку пакетов

Если ничто из вышеперечисленного не помогло вам, возможно, вам придется использовать брандмауэр, который выполняет Deep Packet Inspection и Unified Threat Management. Эти функции специально разработаны для поиска общих инструментов удаленного доступа и их блокировки. Однако недостатком является то, что они дорогие. Попробуйте другие методы из нашего списка, прежде чем приступить к этому шагу.

June 26, 2020

Оставьте Ответ