none
剪贴板重定向禁用 RRS feed

  • 问题

  • 一、场景:
    1、加域电脑A:不允许剪贴板重定向+不允许驱动器重定向
    2、不加域电脑B:未做任何策略(域控无法管控)

    二、诉求:保护A电脑的资料不能外泄(假定其它外泄通过第三方软件均可阻止,只需windows自身协助:禁止重定向和剪贴板)

    三、测试结果:
    结果1:A远程B,A电脑磁盘挂盘到B,能成功挂磁盘到B电脑上,可以把A磁盘的资料,拷贝到B电脑

    结果2:B远程A,B电脑磁盘无法挂到A电脑,A电脑资料拷贝不出来

    结果3:2台加域电脑,加载截图所示的策略,彼此挂盘和剪贴板是可以阻止的;

    四、结论:结果1 无法保护A电脑资料,

    五、核实下:

    1、我们的设置是否有无问题(截图如下)?

    2、我们的解决认知是否有欠缺,是否有其它方式?假定A电脑其它访问方式有第三方拦截,需解决:挂盘和剪贴板期望

    达到保护“保护A电脑的资料不能外泄”,还有什么办法?

    2020年11月18日 4:10

答案

  • 您好,

    您的理解是对的。注册表设置是针对结果1的。目的是从电脑A端来阻止它本身的驱动和剪贴板重定向到B电脑。

    而您原先设置的驱动器+剪贴板组策略是阻止B电脑的驱动及剪贴板重定向到A电脑。

    所以要完全达到您的要求,应该要两个策略一起设置。

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 super.ma 2020年11月19日 2:05
    2020年11月18日 8:52

全部回复

  • 您好,

    您还需要在加域电脑A上做如下注册表设置, 从而阻止A磁盘资料被拷贝到B。

    您也可以通过域组策略将注册表设置应用到整个域。

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

    DisableDriveRedirection     REG_DWORD     0x00000001

    DisableClipboardRedirection     REG_DWORD     0x00000001

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    • 已编辑 Elevenyh 2020年11月18日 6:05
    2020年11月18日 6:04
  • 非常感谢回复,

    意思是,

    策略1、除了组策略:启用“不允许剪贴板重定向”+ 启用“不允许驱动器重定向”

    策略2、再加注册表

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

    DisableDriveRedirection     REG_DWORD     0x00000001

    DisableClipboardRedirection     REG_DWORD     0x00000001

    才可以阻止A(通过域控下发策略)电脑 拷贝到B电脑(未加域,未下发策略)

    “策略1+策略2”:才可以阻止?

    电脑A挂盘电脑B(=》组策略推注册表),

    电脑B挂盘到A电脑拷贝(=》组策略驱动器+剪贴板)

    2020年11月18日 8:22
  • 您好,

    您还需要在加域电脑A上做如下注册表设置, 从而阻止A磁盘资料被拷贝到B。

    您也可以通过域组策略将注册表设置应用到整个域。

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

    DisableDriveRedirection     REG_DWORD     0x00000001

    DisableClipboardRedirection     REG_DWORD     0x00000001

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.


    创建第二条记录

    2020年11月18日 8:44
  • 您好,

    您的理解是对的。注册表设置是针对结果1的。目的是从电脑A端来阻止它本身的驱动和剪贴板重定向到B电脑。

    而您原先设置的驱动器+剪贴板组策略是阻止B电脑的驱动及剪贴板重定向到A电脑。

    所以要完全达到您的要求,应该要两个策略一起设置。

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 super.ma 2020年11月19日 2:05
    2020年11月18日 8:52
  • 您好,

    您的理解是对的。注册表设置是针对结果1的。目的是从电脑A端来阻止它本身的驱动和剪贴板重定向到B电脑。

    而您原先设置的驱动器+剪贴板组策略是阻止B电脑的驱动及剪贴板重定向到A电脑。

    所以要完全达到您的要求,应该要两个策略一起设置。

    Thanks,

    Eleven


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    经过验证测试:

    1、组策略:驱动器+剪贴板组策略是阻止其它电脑挂到本地

    2、注册表:禁止本地挂其它电脑

    2个一起实施,确实可以达到双向阻止;୧(๑•̀◡•́๑)૭ 

    2020年11月19日 2:07
  • 如果策略恢复,更新推送,修改为“0”,表示功能恢复,对吧?

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

    DisableDriveRedirection     REG_DWORD     0x00000000

    DisableClipboardRedirection     REG_DWORD     0x00000000

    2020年11月19日 2:36
  • 对的,数值为0或者这两条注册表值被删除,则驱动和剪贴板恢复成可以重定向到其他电脑。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年11月20日 7:16
  • 对的,数值为0或者这两条注册表值被删除,则驱动和剪贴板恢复成可以重定向到其他电脑。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

    DisableDriveRedirection     REG_DWORD     0x00000001

    DisableClipboardRedirection     REG_DWORD     0x00000001

    =>测试这个结果,感觉是双向禁止了,不是单纯禁止传出去?


    2020年11月20日 11:41