Блокировка TeamViewer через GPO

Задача: Нужно проработать как запретить в домене использование сотрудниками программы TeamViewer, но не всем как может показаться, а только офисным, за исключением некоторых системных администраторов.

Под тестовым полигоном поднимаю инфраструктуру

srv-dc1 (AD, DNS, DHCP)

• OS: Windows Server 2012 R2 Std

srv-gw (Gateway)

• OS: pfsense 2.4.4

W10X64 (Рабочая станция)

• OS: Windows 10 Pro x64

Шаг №1: Я проработал пока один способ централизованного блокирования работы программы TeamViewer для всех без каких либо исключений ни для офисных сотрудников, ни руководителя IT-отдела, ни системных администраторов. Выглядит данная настройка так, на домен контроллере авторизуюсь под учетной записью Login ekzorchik Group: Domain Admins, запускаю оснастку управления записями DNS

Win + X — Control Panel — View by: Category (Small icons) — Administrative Tools — DNS — и через правый клик на зоне «Forward Lookup Zones» создаю новую зону New Zone…

• Select the type of zone you want to create: Primary zone
• Store the zone in Active Directory (available only if DNS server is a writeable domain controller): отмечаю галочкой

и нажимаю Next

• Select how you want zone data replicated: To all DNS servers running on domain controllers in this domain: polygon.com

и нажимаю Next

• Zone name: указываю teamviewer.com

и нажимаю Next

• Select the type of dynamic updates you want to allow: Allow only secure dynamic updates (recommened of Active Directory)

и нажимаю Next, Finish

Итого новая зона принимаем вид:

не лишним будет создать запись Type: A с пустым именем указывающую на адрес 127.0.0.1

Это приведет к тому, что все имена входящие в указанную зону будут разрешаться как 127.0.0.1 и соединение с серверами TeamViewer окажется невозможным.

Вот после этих настроек работа программы TeamViewer (любой версии) в компании станет не возможной, раз нельзя ограничить взаимодействие программы через сетевое оборудование будет посредством политик.

Шаг №2: Проверяю, как работает блокировка программы TeamViewer любой версии. Давайте на домен контроллер попробует в браузере обратиться к сайту Teamviewer.com и скачать программу, но уже сразу же получаем отбивку от браузера со следующим содержанием:

Так, а если клиент все же есть, то запускаем его, переходим в Remote Control и видит, что клиент не получает и не присваивает идентификатор через который можно подключаться откуда угодно.

Да! К тому же после того как не удается получить Your ID приложение TeamViewer предлагает проверить настройки Вашего интернет соединения, возможно дело в недобавленном прокси сервере. НО, увы, все дело в DNS. Этот способ работает для всех в домене.

Шаг №3: Но если программа TeamViewer нужна системным администраторам, то как быть, на время убирать зону заглушку — нет и еще раз нет.

Можно на данных рабочих местах на это время прописывать в настройках сетевой карты не дефолтный dns сервер компании, он устанавливается автоматически, а указать любой из публичных адресов. К примеру 8.8.8.8 — но опять но, на данной машине у Вас должны быть права локального администратора.

На заметку: Если запретить исходящий трафик из доменной сети на UDP/53 адреса 8.8.8.8 то данный умник с админскими правами не сможет ничего открыть в интернете со своего ПК. Только если не найдет любой другой публичный DNS и не укажет его.

Чтобы противодействовать изменению в ручном режиме DNS-сервера на системе нужно запретить запросы на 53 порт из локальной сети.

Шаг №4: Можно на шлюзе сделать правило которое будет блокировать любое обращение на URL: teamviewer.com

on pfsense 2.4.4

Создаем Aliases

• Name: teamviewer
• Type: Hosts
• IP or FQDNS: teamviewer.com

Создаем Aliases для офисных IP-адресов которые предопределены в области DHCP на рабочих ПК

• Name: DHCP_LAN
• Type: Hosts
• IP or FQDN: 10.90.90.10 и по такому же принципу добавляем все остальные.

Создаю правило:

https://IP&DNS/(pfsense 2.4.4) (https://10.90.90.2) — user&pass (admin:712mbddr@) - Firewall — Rules — LAN — Add

• Action: Reject
• Interface: LAN
• Address Family: IPv4
• Protocol: Any
• Source: Single host or alias и указываю DHCP_LAN
• Destination: Signel host or alias и указываю teamviewer

и нажимаю Save — Apply Changes

Но вот запуск ПО TeamViewer на рабочей станции пользователем все еще возможен: Ваш ID и Пароль создаются.

Шаг №5: Можно применить GPO базирующееся на схема ограниченного запуска программ Software Restricted Policies (GPO: User Configuration — Windows Settings — Security Settings — Software Restriction Policies) и всем пользователям назначить что запуск по как по пути установки в систему и по хешу запрещен. Ведь новая версия TeamViewer не работает со старой, а старая не работает с новой, работает если версия и там и там одинаковая.

Об этом смотрим в дополнении "Блокировка TeamViewer через GPO дополнения"

Итого как мое мнение это вообще запретить через GPO использование всех программ кроме явного разрешенного и это касается не только обычных пользователей но и разработчиков 1С, системным же администраторам ограничивать использованием программы TeamViewer не нужно, т. к. они удаленно обслуживают офисных пользователей в такое непростое время. На этом моя заметка завершена, с уважением автор блога Олло Александр aka ekzorchik.