チームビューアをブロックする
ネットワークへの着信TeamViewer接続をブロックしたいが、同時に発信TeamViewer接続を許可したい。
そのため、ユーザーはテレビで仕事用のPCに接続できませんが(ドメイン認証を回避)、同時にクライアントのPCに接続して問題を解決することができます。
それは可能ですか?
従来のファイアウォールでブロックすることは不可能です。ある種のパケットアナライザが必要になります。
または、次のレジストリキーを設定するGPOを作成することもできます:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer\Version6\Security_AcceptIncoming REG_DWORD = 0
これにより、着信接続が無効になります。
Teamviewerが使用するポートで着信接続を無効にしようとすることができます。テレビは次のポートを使用していると思います。
5938/tcp
80/tcp
そして多分また
443/tcp
5939/tcp
または、TVが接続に使用するURLを使用して何かを行うことができます。
*.teamviewer.*
*dyngate*
発信接続にこれらのURLが必要かどうかはわかりませんが、テストすることはできます。
ほとんどの場合、アプリケーションが使用するネットワークパスは非対称です。つまり、着信トラフィックの適切なポートをブロックして着信接続を防ぐことができますが、そのポートのトラフィックを残して発信トラフィックを許可することができます。
ドメイン上にあるWindowsコンピューターを使用している場合は、 Active Directoryグループポリシーを使用 これらのコンピューターでWindowsファイアウォールを構成して、適切な着信ポートをブロックできます。
ただし、TeamViewerの特定のケースでは、TeamViewerのサーバーに接続し、そのパスに沿って着信接続をルーティングする、ユーザーが実行できるクライアントプログラムを提供します。したがって、着信ファイアウォールでは不十分です。また、teamviewer.comに向かうトラフィックをブロックするルールを(Windowsファイアウォールまたはネットワーク上の他の場所で)設定する必要がありますが、そうすると、ユーザーはツールを自分で使用できなくなります。
つまり、TeamViewerアプリケーションが着信接続を受け入れないようにブロックし、発信接続を開始できるようにするのは簡単ではないと思います。この状況で私が行うことは、クライアントコンピューターに Wireshark をインストールし、リッスンしているクライアントとの着信接続と、別のコンピューターで動作する発信接続の両方に関係するネットワークトラフィックをプロファイルすることです。着信接続にのみ表示されるトラフィックの種類がいくつかある可能性があります。これらのトラフィックは、Windowsファイアウォールでブロックして、それらの接続が機能しないようにすることができます。