У меня есть требование отключить конечных пользователей, которые используют удаленный рабочий стол на компьютере с Server 2008 R2, для захвата изображений в цифровом виде, например, с помощью клавиши Print Screen. Есть ли надежный способ сделать это? Следует отметить, что сеанс удаленного рабочего стола выполняется в полноэкранном режиме, поэтому пользователь не может использовать Snipping Tool с клиентского компьютера для захвата экрана рабочего стола. Снайперский инструмент также отключен на сервере.
1 ответ
Клиент может использовать снайперский инструмент даже в полноэкранном режиме. Даже если вы найдете способ отключить ключ печати экрана на клиентах (вы можете, если у вас есть контроль над их реестром, но для этого необходимо полностью отключить ключ и перезагрузить клиентскую систему. Если люди подключаются к своим собственным системам (этого не произойдет), существуют сотни утилит захвата экрана, которые могут снимать с экрана и записывать окно RDP в том виде, в каком оно отображается на их компьютере.
И они всегда могут сделать снимок с помощью своего смартфона. Похоже, вы пытаетесь найти техническое решение социальной проблемы - это почти никогда не работает хорошо.
Если вы не говорите о системе киоска, где у вас есть 100% полный контроль над клиентом, и у вас есть ресурсы, чтобы написать утилиту, которая предотвращает потерю фокуса RDP, тогда клиент RDP может сделать снимок экрана и записать что-нибудь в сеансе RDP, который они хотят.
Ваше требование технически неосуществимо. Как пользователь клиента, я либо уполномочен просматривать данные, либо нет. Если вы не можете доверять тому, что кто-то будет делать с данными, не разрешайте им просматривать их вообще.
Если у вас есть полная физическая безопасность, то
- Удалите ножевой инструмент с клиентских машин
- Отключить локальный буфер обмена в удаленном рабочем столе
- Используйте SharpKeys или что-то подобное, чтобы настроить пользовательскую раскладку клавиш, которая отключает PrintScrn (переназначить ее на код
00
) - Брандмауэр компьютеров, так что единственным сервером, который они могут видеть в сети, является сервер RDP (и, возможно, контроллер домена). Клиентские машины не должны иметь доступа к Интернету каким-либо образом, в любой форме или форме.
- Убедитесь, что на клиентских компьютерах физически нельзя получить доступ к портам ввода / вывода (DVD-рекордер, eSata, USB и т.д.). Всегда держите машину в закрытом шкафу, или я даже слышал о компаниях, которые наносят клей на порты USB.
Идея здесь такова:
- Они не должны иметь возможности загружать или устанавливать какие-либо сторонние инструменты для захвата экрана.
- Если им удастся захватить экран, они не смогут снять изображение с машины.
Все это разбивается на части, если пользователь может подключить компьютер к другой сети или если он может физически прикоснуться к самой клиентской машине (кроме мыши / клавиатуры).