L
Если поставить эту галочку, то терминальный сервер, будучи скомпрометирован (заражен), теоретически может пошифровать/позаражать подключенные диски, в автозагрузку c:\users накидать чего угодно
Если ее не ставить, то вариантов нету?
Size: a a a
2020 July 26
AK
Для этого эта галочка и ставится. Жаль в ней нет режима ReadOnly. Подключенные диски и читаются и писать в них можно
L
Для этого эта галочка и ставится. Жаль в ней нет режима ReadOnly. Подключенные диски и читаются и писать в них можно
То есть я могу не ставить любые галочки и я защищен?
AK
А если галочку не ставить, то терминальный сервер не сможет получить доступ к папкам клиентской машины. Через драйверы принтера тоже ее заразить не сможет, только если клиент самостоятельно будет цеплять принтер терминального сервера к своему ПК. Так же юзер может копипастом (без подключения своих дисков) из окна RDP терминального сервера забрать зараженные файлы и заразить свой ПК (при условии, что терминальный сервер заражен). Ну и ещё терминальный сервер может атаковать клиента по разным протоколам, например, через Samba (это уже зависит от изобретательности вирусмейкера, который пишет заразу для терминального сервера). Думаю, что терминальный сервер может ещё перехватывать вводимые с клавиатуры данные в терминальной сессии (логины, пароли). Аля кейлоггер. Больше пока не могу придумать способов атаки со стороны терминального сервера в сторону клиента
L
А если галочку не ставить, то терминальный сервер не сможет получить доступ к папкам клиентской машины. Через драйверы принтера тоже ее заразить не сможет, только если клиент самостоятельно будет цеплять принтер терминального сервера к своему ПК. Так же юзер может копипастом (без подключения своих дисков) из окна RDP терминального сервера забрать зараженные файлы и заразить свой ПК (при условии, что терминальный сервер заражен). Ну и ещё терминальный сервер может атаковать клиента по разным протоколам, например, через Samba (это уже зависит от изобретательности вирусмейкера, который пишет заразу для терминального сервера). Думаю, что терминальный сервер может ещё перехватывать вводимые с клавиатуры данные в терминальной сессии (логины, пароли). Аля кейлоггер. Больше пока не могу придумать способов атаки со стороны терминального сервера в сторону клиента
Спасибо за подобный ответ.
L
А если галочку не ставить, то терминальный сервер не сможет получить доступ к папкам клиентской машины. Через драйверы принтера тоже ее заразить не сможет, только если клиент самостоятельно будет цеплять принтер терминального сервера к своему ПК. Так же юзер может копипастом (без подключения своих дисков) из окна RDP терминального сервера забрать зараженные файлы и заразить свой ПК (при условии, что терминальный сервер заражен). Ну и ещё терминальный сервер может атаковать клиента по разным протоколам, например, через Samba (это уже зависит от изобретательности вирусмейкера, который пишет заразу для терминального сервера). Думаю, что терминальный сервер может ещё перехватывать вводимые с клавиатуры данные в терминальной сессии (логины, пароли). Аля кейлоггер. Больше пока не могу придумать способов атаки со стороны терминального сервера в сторону клиента
Алекс, а обратная сторона?
AK
Алекс, а обратная сторона?
Не понял вопрос
L
Атака пользователем RDP, есть какое-то пособие?
AK
Пособие?:)) Мы не взломщики. Я моделирую в голове эту ситуацию со стороны защиты, а не нападения.
AK
Теоретически со стороны клиента больше возможностей заразить терминальный сервер
AK
То есть атаковать его
AK
У моих клиентов вирусы шифровальщики попадали на терминальные серверы через RDP сессию зараженных машин RDP-пользователей. Это при том, что они на терминальном сервере не имели админских прав. Та же файловая 1С - доступ к база должен иметь любой RDP пользователь этой 1С. Поэтому с этими же правами вирус шифровальщик так же легко получает доступ к этим базам и их шифрует
AK
Я утопично мечтаю, когда Майкрософт начнет внедрять ограничение доступа к файлам/папкам не по пользователям и группам, а по списку приложений. Чтобы, например, к файловым базам 1С никто не имел доступа кроме, например, экзешника самой 1С. Ну и бэкап-агента.
L
Пособие?:)) Мы не взломщики. Я моделирую в голове эту ситуацию со стороны защиты, а не нападения.
Не, пособие как защитить от базовых атак сервер. Я думаю такое есть, не я первый кто задает такой вопрос.
L
Я утопично мечтаю, когда Майкрософт начнет внедрять ограничение доступа к файлам/папкам не по пользователям и группам, а по списку приложений. Чтобы, например, к файловым базам 1С никто не имел доступа кроме, например, экзешника самой 1С. Ну и бэкап-агента.
Я вообще удивился что нет бекап агента на WS2012
AK
Стандартные способы защиты терминальных серверов описаны в интернетах. Руководствуйтесь ими. Делайте бэкапы
Sf
Вы компьютеры тоже бекапите?
L
Да, это все, конечно изучаю, это не моя сфера, я слабый программист, но вот приходиться в никак с нуля, поэтому и поинтересовался, возможно имея опыт есть какие-то хорошие рекомендации готовые.
AK
Да, это все, конечно изучаю, это не моя сфера, я слабый программист, но вот приходиться в никак с нуля, поэтому и поинтересовался, возможно имея опыт есть какие-то хорошие рекомендации готовые.
Есть. В интернете. Гуглится на раз-два. Только я не понимаю, зачем программисту поручили сисадминскую работу.