一、 1、实现不了,需要第三方方案 2、Windows系统本身无此功能,第三方软件或许可以,比如共享文件夹不允许任何形式拿走文件的需求给微软开过单,微软实现不了,第三方软件方案比如https://cloud.tencent.com/developer/article/1871398 二、 普通用户做不了管理员用户的配置 需要远程的用户加远程用户组 需要能改系统配置的用户加管理员组 服务器自带功能有限,第三方安全软件,比如服务器安全狗(https://www.safedog.cn/about.html)有多维度安全策略,比如通过客户端电脑主机名来设置允许/禁止 1、组策略配置禁止远程桌面会话主机的设备和资源重定向策略 2、指定用户加入remote desktop users组,不在该组的用户则远程不了,禁止访问所有外网通过IP安全策略可实现 3、访问指定IP通过IP安全策略实现 4、不允许修改系统配置的用户(非管理员)不能做修改,包括但不限于重启/关闭机器、以管理员身份运行命令、修改注册表、修改组策略、修改防火墙、修改IP安全策略、修改本地用户和组等配置,普通用户权限即可 防火墙、IP安全策略配置说明: 1、清空防火墙出/入站规则、保持防火墙开启的情况下,是:入站禁止所有、出站放行所有
2、放行端口在防火墙入站规则放行,IP范围在IP安全策略把控 3、IP安全策略(secpol.msc)配置技巧: ①先配IP范围(出或入方向的IP、协议、端口)和 动作(允许/禁止) ②创建IP安全策略(创建过程中选①中创建的IP范围,并对选定的IP范围应用①中创建的动作) ③应用IP安全策略 举例:仅允许221.218.140.195、111.206.145.0/24段的客户端访问服务器3389端口,且仅允许服务器跟115.159.148.149的80端口、221.218.140.195和111.206.145.0/24的所有端口交互,其他的全部禁止 1、确保windows firewall服务是运行状态,这样运行wf.msc后才能操作防火墙规则。运行wf.msc,然后用鼠标和shift键选中所有启用的规则,右键禁止所有规则(相当于清空规则),然后创建放行3389的入站规则,创建时不要在意IP范围,简单配置本地ALL、远程ALL即可,
2、配置好后,开启防火墙,步骤: ①运行services.msc找到windows firewall服务,看下是否是运行中,如果不是开启下;如果不是运行中、且是禁止状态,先调整成自动状态,然后开启下。
如果不是运行中、是自动状态,防火墙启动报 “错误代码 87”,需要删掉HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall 。
如果不是运行中、是自动状态,防火墙启动报"错误 1068: 依赖服务或组无法启动",请检查Base Filtering Engine(即BFE)是不是运行中,不是的话启动BFE,然后查看系统日志,如果是相关驱动问题,修正驱动问题后再启动防火墙,如果驱动服务(mpsdrv)的注册表和对应驱动文件(C:WindowsSystem32driversmpsdrv.sys)都没有问题,但还是报这个错,那就只能用sfc /scannow试试了,sfc修不好基本就没戏了,只能备份数据后重装系统。
发现mpsdrv.sys的路径好像不对,跟正常系统对比,发现正常系统就是这样的,但是与其他服务对比发现,还是有差异的,环境变量核实了没有变化,先尝试改成%systemroot%system32driversmpsdrv.sys试试,改了后重启机器还是报一样的错
以管理员身份执行sfc /scannow发现系统文件有损坏,仔细跟正常系统对比,发现C:Windows目录少了好些文件夹,并且还发现这篇文档描述的问题,运行不同的.msc命令,有的正常,有的报错【MMC无法创建管理单元 此管理单元可能没有正确安装】,报错界面有个CLSID:FX:{GUID},解决方案是核实C:windowsassembly 这个目录是否存在,不存在的话,用相同公共镜像买一台新机器,把这个目录打包解压到问题机器的同位置,损坏的.msc命令就恢复了,但是防火墙服务一直报错,不知道是哪些文件损坏引起的,反正微软推荐的这几句命令修不好,无奈,最后只能备份数据重装系统了。
sfc /scannow
DISM.exe /Online /Cleanup-image /Scanhealth
DISM.exe /Online /Cleanup-image /Checkhealth
DISM.exe /Online /Cleanup-image /Restorehealth
假设启动防火墙服务不存在问题,或者有问题都修好了,这是启用防火墙规则的前提。
②运行firewall.cpl打开防火墙规则开关
3、参考前述IP安全策略配置技巧配置IP安全策略,在IP范围上精细把控 ①IP组和动作
这里的IP组有4个,截图如下
②应用IP组和动作来创建IP安全策略
③右击应用IP安全策略