Как заблокировать удалённые помощники?

Question

[Тимон]

Всем привет!

Не получается заблокировать удалённые помощники в локальной сети. Всякие anydesk, teamviewer, ammyy admin, rustdesk.
Перепробовал ВСЁ. Нифега не получается. пользователи всеравно конетятся. Порядок подключения к интернету такой:

Маршрутизатор микротик > Коммутатор микротик > Пользователи под windows 10(11).

Премного благодарен буду за помощь.

Comments

[shurshur]

С rustdesk ещё сложно из-за того, что можно поднять кастомный сервер.

[Тимон]

shurshur, С ним пока только одного пользователя в поймал на подключении. Видимо один прошареный.

Answer 1

[Тимон]

Всем спасибо. В общем кому интересно. Прописные правила через drop не помогали. Сделал проще. Добавил весь домен и поддомены какие нашел в блокировку адресов, а в правилах вместо drop указал reject. Вроде работает.

Answer 2

[Дмитрий]

На сайтах подобных программ всегда пишется какие порты оно использует. Блокируйте на микротике все подключения на эти порты.
Как вариант, мы боролить с тимвьюером с помощью днс - на днс-сервере локалки адрес teamviewer.com резолвили на адрес роутера или 127.0.0.1

Comments

[Тимон]

Прописал диапазон адресов, не помогает. Порты заблочел, всеравно просачивается. Есть еще Касперский на сервере, который в свою очередь управляет всеми клиентским версиями на компах, но на нем получается только доступ к веб ресурсам заблокировать. Через само приложение всеравна подключаются. Качают откуда-то еще. Как вариант заблокировать запуск приложений через политику.

[bit8]

Тимон, А точно порты закрыты? Просто если заблокировать все кроме, 80/443 для веба, то не выйдет в инет. Как вне блокировать так и извне.
Точно не подскажу, но блокировать можно на уровне роутера, как есть организации где заблокировано подобно. В Школах, гос учреждениях и т.д. Там не работает.

p.s. Там только работает если через 80/443 порт шифрует трафик и через него выходит.

[Дмитрий]

Тимон, если у вас есть доступ к микротик-маршрутизатору, можно сделать так - качаете себе нужную прогу,вешаете на микротике правило с логом на свой адрес и пытаетесь подключаться, добавляя правила, запрещающие то, что попадает в логи выше правила с логом. Как перестанет подключаться - бинго! Потом меняете свой адрес в запретах на адрес сети и у всех все заблочится

[Тимон]

Дмитрий, Спасибо! Уже пробую

Answer 3

[Gregory]

/ip firewall layer7-protocol
add name="DROP remote" regexp="^.+(ammyy|teamviewer|anydesk|aeroadmin|logmein|beyondtrust|remotetopc|ultraviewer|litemanager|join.me).*\$"

/ip firewall mangle
add action=mark-connection chain=prerouting layer7-protocol="DROP remote" new-connection-mark=Block_list_conn passthrough=yes src-address=\
    192.168.88.0/24 

/ip firewall filter
add action=drop chain=forward comment="block teamviewer,ammy" connection-mark=Block_list_conn

Answer 4

[CityCat4]

TW в РФ не работает, но если Вы не в РФ - могу дать полный список гейтов TW. Все прочие банятся как обычно - ставишь, смотришь, как работает, банишь. В тырнете можно диапазоны сетей нарыть.

Comments

[Keffer]

А можно проще - запретить все запуски бинарников не одобренных администратором.

[Тимон]

Keffer, Cпасибо! Хороший вариант, тоже рассмотрю.

[Михаил Анатольевич]

Keffer, изящно)) А как это сделать?

[Keffer]

Михаил Анатольевич, GPO в помощь

[Михаил Анатольевич]

Аа, в этом смысле...