Блокируем SCCM Remote Control.

Всем привет.

Применение SCCM Remote Control в работе службы технической поддержки имеет свои плюсы. Главным преимуществом перед тем же RDP-соединеием является возможность подосединиться удаленно в сеанс пользователя и наглядно лицезреть и решать проблему последнего.

Однако, как оказалось, в этом же и его опасность для пользователя. Ибо SCCM Remote Control не требует подтверждения на подсоединение, т.е. спецалист ТП может это сделать в самый "неудобный" момент либо же в момент когда пользователь зевнул и отошел на кофе от своего пк не заблокировав рабочий стол.

В моей ситуации я использую свой ПК для административных задач в нашем домене и считаю что такой вариант со стороны ТП к моему ПК просто недопустим даже случайно. Так как на обоснование подобных опасений к службе инфобеза заняло бы много времени и красивой переписки, то я решил обезопасить себя сам.

Первое - как мы знаем удаленный помошник SCCM Remote Control использует порты:

Console SCCM -> Client tcp 2701,3389 udp 3389

Поскольку 3389-й порт нужен для RDP его мы блокировать не будем, а нацелимся на порт 2701.

Второе - править правила штатного фаерволла Windows я тоже не стал, ибо они часто попадают под политики того же инфобеза и мои локальные запреты дожили бы максимум до следующего gpupdate.

Поэтому был выбран старый добрый IPSec. Если вы подзабыли, то там все просто: запускаем secpol.msc, далее создаем новую политику, далее правило, в нем фильтр для пары IP-адрес источник/назначение, тоже самое для портов, и итожим это действием на наш фильтр "блокировать". В конце тут же не забываем политику "назначить", что является для нее аналогом "включить".

Вот и все. Теперь никто по SCCM Remote Control на мой ПК не зайдет.

Удачи.