Как заблокировать программные сайты для удаленного доступа, такие как TeamViewer
Если вы хотите заблокировать все удаленные подключения TeamViewer в вашей сети, эта статья именно для вас. TeamViewer не требует специальной настройки или каких-либо правил брандмауэра, чтобы позволить ему подключаться к Интернету. Все, что вам нужно сделать, это загрузить файл .exe с веб-сайта TeamViewer и выполнить его. Из-за этого кому-то очень легко обойти ваши меры безопасности. Любой серьезный бизнес не хотел бы иметь такую уязвимость, так как вы блокируете TeamViewer? Давайте взглянем.
Table of Contents
Включить блокировку DNS
Вы можете заблокировать разрешение DNS-записей в домене teamviewer.com. Это возможно, если вы запускаете свой собственный DNS-сервер.
Войдите в консоль управления DNS и создайте запись верхнего уровня для «teamviewer.com» .
И это почти все, что нужно. Направляя эту запись куда-то еще, вы можете заблокировать соединения с этим доменом и всеми его поддоменами.
Убедитесь, что клиенты не могут подключиться к внешним DNS-серверам
Вы можете убедиться, что единственные DNS-подключения, разрешенные в сети вашей компании, - это ваши собственные внутренние DNS-серверы. Это исключает возможность проверки клиентом TeamViewer DNS-записей на своих собственных серверах, а не на фиктивных, которые вы установили на предыдущем шаге. Вы также можете добавить новое исходящее правило брандмауэра, чтобы заблокировать TCP и UDP-порт 53 от всех исходных IP-адресов, кроме ваших собственных DNS-серверов. Зачем? Потому что теперь ваши клиенты смогут разрешать только те записи DNS, которые вы разрешаете, через собственный DNS-сервер.
Запретить доступ из диапазона IP-адресов TeamViewer
Иногда клиент TeamViewer по-прежнему сможет подключаться к известным IP-адресам, даже если вы заблокировали записи DNS. Вам нужно заблокировать доступ ко всему диапазону IP-адресов, чтобы решить эту проблему. Вы должны снова войти в брандмауэр / маршрутизатор и добавить новое правило исходящего брандмауэра, чтобы запретить подключения к 178.77.120.0/24. Диапазон IP-адресов TeamViewer - 178.77.120.0/24. Это означает 178.77.120.1 - 178.77.120.254.
Заблокируйте порт TeamViewer
Возможно, вам не нужно этого делать, но это тоже не повредит. TeamViewer подключается через порт 5938, но также туннелирует через порты 80 (HTTP) и 443 (SSL), если 5938 недоступен. Чтобы заблокировать его, необходимо войти в брандмауэр или маршрутизатор и добавить новое правило исходящего брандмауэра, чтобы остановить порт 5938 TCP и UDP со всех исходных IP-адресов.
Создание и применение ограничений групповой политики
Добавьте программные ограничения в групповую политику в сети Active Directory. Вот как:
- Загрузите файл TeamViewer .exe с веб-сайта TeamViewer.
- Запустите консоль управления групповыми политиками и создайте новый объект групповой политики.
- Перейдите к Политике ограниченного использования программ в вашем новом объекте групповой политики. Их можно найти в разделе «Конфигурация пользователя»> «Настройки Windows»> «Настройки безопасности»> «Политики ограниченного использования программ».
- Щелкните правой кнопкой мыши Политики ограниченного использования программ и выберите «Новые политики ограниченного использования программ» .
- Выберите «Обзор» в окне New Hash Rule, которое будет отображаться. Найдите файл установки TeamViewer .exe и дважды щелкните по нему.
- Подключите новый объект групповой политики к домену и примените его ко всем своим клиентам.
Провести глубокую проверку пакетов
Если ничто из вышеперечисленного не помогло вам, возможно, вам придется использовать брандмауэр, который выполняет Deep Packet Inspection и Unified Threat Management. Эти функции специально разработаны для поиска общих инструментов удаленного доступа и их блокировки. Однако недостатком является то, что они дорогие. Попробуйте другие методы из нашего списка, прежде чем приступить к этому шагу.