如何阻止像TeamViewer這樣的遠程訪問軟件網站
如果您希望阻止網絡上的所有TeamViewer遠程連接,那麼本文僅適合您。 TeamViewer不需要特殊的配置或任何防火牆規則即可允許其連接到Internet。您所需要做的就是從TeamViewer網站下載.exe文件並執行。因此,很容易有人繞過您的安全措施。任何嚴肅的企業都不願擁有此漏洞,那麼如何阻止TeamViewer?讓我們來看看。
Table of Contents
啟用DNS阻止
您可以選擇在teamviewer.com域上阻止DNS記錄的解析。如果您運行自己的DNS服務器,則可以這樣做。
輸入您的DNS管理控制台並為“ teamviewer.com”創建一個頂級記錄。
這幾乎就是全部。通過將此記錄定向到其他位置,您可以阻止與此域及其所有子域的連接
確保客戶端無法連接到外部DNS服務器
您可以確保公司網絡上唯一允許的DNS連接是您自己的內部DNS服務器。這樣就消除了TeamViewer客戶端對照自己的服務器檢查DNS記錄(而不是在上述步驟中設置的虛擬服務器)的機會。除了您自己的DNS服務器之外,您還可以添加新的傳出防火牆規則以阻止所有源IP地址的TCP和UDP端口53。為什麼?因為現在您的客戶端將只能解析您通過自己的DNS服務器允許的DNS記錄。
阻止從TeamViewer IP地址範圍訪問
有時,即使您已阻止DNS記錄,TeamViewer客戶端仍將能夠連接到已知的IP地址。您需要阻止訪問他們的整個IP地址範圍,以解決此問題。您必須再次登錄防火牆/路由器,並添加新的傳出防火牆規則以禁止與178.77.120.0/24的連接。 TeamViewer IP地址範圍是178.77.120.0/24。換算為178.77.120.1 – 178.77.120.254。
阻止TeamViewer端口
您可能不需要這樣做,但也不會造成傷害。 TeamViewer通過端口5938連接,但如果5938不可用,則通過端口80(HTTP)和443(SSL)進行隧道連接。要阻止它,您必須登錄到防火牆或路由器並添加新的傳出防火牆規則,以阻止所有源IP地址中的TCP和UDP端口5938。
創建並實施組策略限制
在Active Directory網絡中為組策略添加軟件限制。這是如何做:
- 從TeamViewer網站下載TeamViewer .exe文件。
- 啟動組策略管理控制台 ,並生成一個新的GPO。
- 導航到新GPO中的軟件限制策略 。可以在用戶配置> Windows設置>安全設置>軟件限制策略下找到它們。
- 右鍵單擊軟件限制策略,然後選擇“新軟件限制策略” 。
- 在將顯示的“新哈希規則”窗口中選擇“瀏覽” 。找到TeamViewer安裝程序.exe文件,然後雙擊它。
- 將您的新GPO連接到域,並將其應用於所有客戶。
執行深度數據包檢查
到目前為止,如果所概述的內容對您沒有幫助,那麼您可能需要使用執行深度包檢查和統一威脅管理的防火牆。這些功能是專門為尋找常見的遠程訪問工具並阻止它們而設計的。但是,缺點是它們很昂貴。在執行此步驟之前,請先嘗試使用我們列表中的其他方法。