如何阻止像TeamViewer这样的远程访问软件网站

如果您希望阻止网络上的所有TeamViewer远程连接,那么本文仅适合您。 TeamViewer不需要特殊的配置或任何防火墙规则即可允许其连接到Internet。您所需要做的就是从TeamViewer网站下载.exe文件并执行。因此,很容易有人绕过您的安全措施。任何严肃的企业都不愿拥有此漏洞,那么如何阻止TeamViewer?让我们来看看。

启用DNS阻止

您可以选择在teamviewer.com域上阻止DNS记录的解析。如果您运行自己的DNS服务器,则可以这样做。
输入您的DNS管理控制台并为“ teamviewer.com”创建一个顶级记录。
这几乎就是全部。通过将此记录定向到其他位置,您可以阻止与此域及其所有子域的连接

确保客户端无法连接到外部DNS服务器

您可以确保公司网络上唯一允许的DNS连接是您自己的内部DNS服务器。这样就消除了TeamViewer客户端对照自己的服务器检查DNS记录(而不是在上述步骤中设置的虚拟服务器)的机会。除了您自己的DNS服务器之外,您还可以添加新的传出防火墙规则以阻止所有源IP地址的TCP和UDP端口53。为什么?因为现在您的客户端将只能解析您通过自己的DNS服务器允许的DNS记录。

阻止从TeamViewer IP地址范围访问

有时,即使您已阻止DNS记录,TeamViewer客户端仍将能够连接到已知IP地址。您需要阻止访问他们的整个IP地址范围,以解决此问题。您必须再次登录防火墙/路由器,并添加新的传出防火墙规则以禁止与178.77.120.0/24的连接。 TeamViewer IP地址范围是178.77.120.0/24。换算为178.77.120.1 – 178.77.120.254。

阻止TeamViewer端口

您可能不需要这样做,但也不会造成伤害。 TeamViewer通过端口5938连接,但如果5938不可用,则通过端口80(HTTP)和443(SSL)进行隧道连接。要阻止它,您必须登录到防火墙或路由器并添加新的传出防火墙规则,以阻止所有源IP地址中的TCP和UDP端口5938。

创建并实施组策略限制

在Active Directory网络中为组策略添加软件限制。这是如何做:

  1. 从TeamViewer网站下载TeamViewer .exe文件。
  2. 启动组策略管理控制台 ,并生成一个新的GPO。
  3. 导航到新GPO中的软件限制策略 。可以在用户配置> Windows设置>安全设置>软件限制策略下找到它们。
  4. 右键单击软件限制策略,然后选择“新软件限制策略”
  5. 在将显示的新哈希规则”窗口中选择“浏览” 。找到TeamViewer安装程序.exe文件,然后双击它。
  6. 将您的新GPO连接到域,并将其应用于所有客户。

执行深度数据包检查

如果到目前为止,没有概述的内容对您有所帮助,您可能需要使用执行深度包检查和统一威胁管理的防火墙。这些功能是专门为寻找常见的远程访问工具并阻止它们而设计的。但是,缺点是它们很昂贵。在执行此步骤之前,请先尝试使用我们列表中的其他方法。

June 26, 2020

发表评论