Remote desktop là một tính năng quan trọng trong mạng Windows. Remote Desktop cho phép người quản trị có thể điều khiển các máy tính trong mạng từ máy tính của mình mà không cần phải đến tận nơi. Remote desktop còn cho phép bạn copy file (sử dụng Clipboard) thẳng từ máy tính của bạn qua máy tính đang được remote. Ngoài ra dịch vụ còn cho phép người dùng map ổ đĩa và các tài nguyên khác từ máy của mình lên máy được remote.
Các tính năng nói trên có lẽ là một tiện ích khá tốt, nhưng vấn đề phát sinh là các server của bạn thường đặt trong vùng DMZ, vùng này với các server được cách ly đặc biệt, do vậy việc tự do chép dữ liệu lên xuống và map các ổ đỉa và tài nguyên tạo ra lỗ hỏng bảo mật, làm phát sinh nguy cơ phá tán virus cho hệ thống server. Để ngăn chặn các nguy cơ, bạn có thể tắt tính năng này.
Để tắt copy dữ liệu, map ổ đỉa và các tài nguyên trên các server tại vùng DMZ ta tiến hành thiết lập các Group Policy. Bạn có thể triển khai từ Local Group Policy hoặc Group Policy trên Active Directory. Ở đây, ta thiết lập cho máy tính, nên sẻ cấu hình trong phần Computer Configuration trong Group Policy.
Theo mô hình trên, các may tình được thiết lập Policy là các server trong vùng DMZ.
Sau khi mở trình quản lý Local Group Policy hoặc Group Policy trên Active Directory. Bạn sẽ truy cập vào Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Hosts > Device and Resource Redirection
Để chặn tính năng copy, bạn chỉ cần Enable tính Policy Do not allow Clipboard redirection
Để chặn việc máp ổ đỉa, bạn Enable Policy Do not allow drive direction.
Sau khi thực hiện các Policy này, bạn không thể copy dữ liệu sử dụng Clipboard cũng như map các ổ đỉa và tài nguyên từ client đến các server thông qua remote desktop.Ngoài ra bạn còn có thể thực hiện các Policy khác để chặn việc chia sẻ các resource khác qua remote desktop.
