Использование клиентов удаленного рабочего стола

Carder

Carder

Professional
Messages
2,619
Reaction score
1,921
Points
113

Введение​

Решения удаленного доступа все чаще используются для доступа к системам организаций. Один из распространенных методов включения удаленного доступа - использование клиента удаленного рабочего стола. Этот документ содержит руководство по рискам безопасности, связанным с использованием клиентов удаленного рабочего стола.

Безопасная настройка клиента удаленного рабочего стола​

Ниже обсуждаются риски безопасности, связанные с использованием клиентов удаленного рабочего стола.

Копирование файлов на подключенные устройства​

Большинство клиентов удаленного рабочего стола сопоставляют локальные интерфейсы данных для главного компьютера с сеансом удаленного рабочего стола. Это представляет угрозу безопасности для организации, поскольку злоумышленник может передавать информацию за пределы сеанса удаленного рабочего стола, подключив запоминающее устройство USB или записав на оптический носитель.

Отключение параметра сопоставления дисков клиента на сервере удаленного рабочего стола может снизить этот риск безопасности.

Виртуальная печать​

Возможность доступа к виртуальному принтеру, такому как PDF-принтер, на главном компьютере из сеанса удаленного рабочего стола представляет угрозу безопасности для организации. Если виртуальный принтер установлен на главном компьютере, а виртуальная печать включена клиентом удаленного рабочего стола, злоумышленник может печатать из сеанса удаленного рабочего стола в файл на главном компьютере.

Отключение виртуальной печати для клиентов удаленного рабочего стола может снизить этот риск безопасности.

Скопировать и вставить​

По умолчанию клиент удаленного рабочего стола сопоставляет буфер обмена в сеансе удаленного рабочего стола с буфером обмена хост-компьютера. Хотя это выполняет полезную функцию, это представляет угрозу безопасности для организации. Злоумышленник может использовать эту функцию для копирования информации из сеанса удаленного рабочего стола и вставки ее в другой документ на главном компьютере.

Отключение настройки сопоставления буфера обмена клиента на сервере удаленного рабочего стола может снизить этот риск безопасности.

Отключение шифрования после аутентификации​

По умолчанию клиент удаленного рабочего стола может отключить использование шифрования после завершения аутентификации клиента. Это позволяет злоумышленнику перехватить информацию, передаваемую в сеансе удаленного рабочего стола.

Обеспечение включения шифрования после аутентификации клиентом удаленного рабочего стола может снизить этот риск безопасности.

Слабое шифрование​

Клиент удаленного рабочего стола может предлагать различные степени шифрования для защиты информации, передаваемой между сервером удаленного рабочего стола и клиентом удаленного рабочего стола. Часто базовое шифрование в клиенте удаленного рабочего стола предназначено просто для обфускации связи для защиты от простого сетевого захвата, а не для подробного криптографического анализа.

Если клиент удаленного рабочего стола не реализует протоколы и алгоритмы, одобренные Австралийским управлением сигналов (ASD), использование зашифрованного туннеля, реализующего утвержденные протоколы и алгоритмы ASD, обеспечит использование надежного шифрования для защиты информации, передаваемой между сервером удаленного рабочего стола и удаленным компьютером. настольный клиент.

Однофакторная аутентификация​

Клиент удаленного рабочего стола может потребовать только использования однофакторной аутентификации для аутентификации в системе организации. Злоумышленник, зная учетные данные пользователя, такие как его кодовая фраза, может получить несанкционированный доступ к системе организации, часто до тех пор, пока пользователь не изменит свою парольную фразу. Если несанкционированный доступ осуществляется удаленно, его может быть очень сложно обнаружить или предотвратить.

Использование многофакторной аутентификации, такой как кодовая фраза и одноразовый случайно сгенерированный ПИН-код из аппаратного токена, может снизить этот риск безопасности.

Защита информации в сеансе удаленного рабочего стола​

Ниже обсуждаются некоторые риски безопасности, связанные с доступом к информации во время сеанса удаленного рабочего стола.

Регистрация нажатия клавиш​

Возможность фиксировать нажатия клавиш на главном компьютере с помощью клиента удаленного рабочего стола представляет угрозу безопасности для организации. Злоумышленник может удаленно установить программное обеспечение кейлоггера для сбора информации аутентификации для сеанса удаленного рабочего стола или для сбора информации, введенной во время этого сеанса.

Использование доверенной операционной среды для главного компьютера может снизить риск безопасности злоумышленника, удаленно устанавливающего программное обеспечение кейлоггера.

Снимаем скриншоты​

Функциональность снимка экрана операционной системы представляет угрозу безопасности для организации. Злоумышленник может использовать эту функцию на главном компьютере с помощью ряда методов, таких как использование клавиши Print Screen для копирования информации в буфер обмена, установка программного обеспечения для захвата экрана или установка вредоносного ПО, которое обнаруживает наличие сеанса удаленного рабочего стола и автоматически снимает экран захватывает с заранее заданными интервалами.

Реестр или глобальные привязки клавиш хост-компьютера можно изменить таким образом, чтобы клавиша Print Screen не была связана и не выполняла никаких функций. Это снизит угрозу безопасности злоумышленника, использующего клавишу Print Screen. Кроме того, организация может использовать надежную операционную среду для главного компьютера. Это снизит риск, связанный с установкой злоумышленником программного обеспечения для захвата экрана или вредоносного ПО.

Серфинг на плечах​

Использование клиента удаленного рабочего стола для доступа к системе организации в публичном месте представляет угрозу безопасности для организации. Это может позволить злоумышленнику или любопытному наблюдателю наблюдать за информацией на экране главного компьютера.

Особые меры предосторожности для снижения вероятности того, что экран главного компьютера будет виден в общественных местах, например в общественном транспорте, общественном транспорте и кафе, могут снизить этот риск безопасности. Следует избегать использования клиента удаленного рабочего стола в общественных местах без крайней необходимости.

Оставление главного компьютера без присмотра​

Оставление хост-компьютера без присмотра в общественном месте представляет для организации ряд угроз безопасности. Злоумышленник может использовать такую возможность, чтобы украсть хост-компьютер, установить программное обеспечение или оборудование для кейлоггера или, если клиент удаленного рабочего стола уже прошел аутентификацию в системе организации, получить доступ к информации.

Постоянная бдительность главного компьютера во время его использования и соответствующая защита, когда он не используется, могут снизить эти риски безопасности.

Доступ к информации с повышенной чувствительностью​

Предоставление неограниченного доступа к системе организации через клиент удаленного рабочего стола, особенно из общедоступного места, представляет угрозу безопасности для организации. Злоумышленник, получивший несанкционированный доступ к системе организации через клиент удаленного рабочего стола, может нанести больший ущерб, если у него есть доступ к информации и приложениям с повышенной чувствительностью.

Часто пользователю клиента удаленного рабочего стола не требуется доступ к такой информации, особенно из общедоступного места. Ограничение доступа только к важной информации и приложениям, доступ к которым осуществляется через клиент удаленного рабочего стола, может снизить этот риск безопасности.

Привилегированный доступ​

Использование привилегированного доступа через клиент удаленного рабочего стола при доступе к системе организации представляет угрозу безопасности для организации. Злоумышленник, который получает доступ к учетным данным пользователя для аутентификации, может нанести больший ущерб, если у него будет привилегированный доступ вместо непривилегированного доступа. Кроме того, использование этих привилегий удаленно с меньшей вероятностью будет обнаружено.

Предотвращение использования привилегированного доступа через клиент удаленного рабочего стола, включая аутентификацию в качестве непривилегированного пользователя и последующее повышение привилегий, может снизить этот риск безопасности.

Защита систем организации​

Ниже обсуждаются некоторые риски безопасности, связанные с разрешением сеанса удаленного рабочего стола для подключения к системе организации.

Недоверенная операционная среда​

Главный компьютер, используемый для доступа к системе организации через сеанс удаленного рабочего стола, потенциально может быть подвержен воздействию вирусов, вредоносных программ или другого вредоносного кода. Это представляет угрозу безопасности для организации, так как главный компьютер может непреднамеренно заразить другие компьютеры в системе организации или использоваться для кражи информации.

Ключевые меры, которые организация может реализовать на главном компьютере, чтобы снизить этот риск безопасности, или запросить установку устройства, принадлежащего лично владельцу, включают:
  • использование контроля приложений для обеспечения запуска только утвержденных приложений
  • с использованием последней версии операционной системы и приложений
  • применение последних исправлений безопасности к операционной системе и приложениям
  • включение функций безопасности в приложениях при отключении любых ненужных функций
  • обеспечение использования стандартных учетных записей пользователей вместо учетных записей администратора
  • внедрение многофакторной аутентификации, где это возможно.
Кроме того, с помощью управления доступом к сети системные администраторы могут устанавливать политики для требований к работоспособности системы на главном компьютере, используемом для доступа к системе через сеанс удаленного рабочего стола. Это может включать проверку того, что все исправления операционной системы обновлены, антивирус или продукт безопасности установлен, все подписи обновлены, а программный брандмауэр установлен и используется. Хост-компьютерам, которые соответствуют всем требованиям к работоспособности, может быть предоставлен доступ, в то время как хост-компьютеры, которые не работают, могут быть помещены в карантин или предоставлен ограниченный доступ.

Остаточная информация в файле подкачки​

Операционные системы используют файл подкачки, также известный как файл подкачки. Файл подкачки - это виртуальное расширение памяти главного компьютера, которое хранится на его жестком диске. Информация, к которой осуществляется доступ из клиента удаленного рабочего стола, может быть записана в файл подкачки во время сеанса удаленного рабочего стола. Когда сеанс удаленного рабочего стола завершен, любая информация, которая была записана в файл подкачки, останется до тех пор, пока она не будет перезаписана операционной системой. Это представляет угрозу безопасности для организации, поскольку злоумышленник может скопировать файл подкачки и извлечь из него информацию.

Настройка операционной системы хост-компьютера на перезапись файла подкачки при завершении работы может снизить этот риск безопасности. Обратите внимание, что этот метод только частично эффективен для главного компьютера, использующего твердотельный накопитель. В качестве альтернативы хост-компьютер может реализовать полное шифрование диска или зашифровать файл подкачки (при использовании NTFS) для защиты его содержимого.

Остаточная информация в памяти​

Клиент удаленного рабочего стола хранит информацию в памяти главного компьютера во время сеанса удаленного рабочего стола. Эта информация, если она не будет должным образом обработана после завершения сеанса удаленного рабочего стола, может быть перехвачена злоумышленником с физическим доступом с помощью так называемой «атаки с холодной загрузкой».

Некоторые клиенты удаленного рабочего стола автоматически очищают память главного компьютера после завершения сеанса удаленного рабочего стола, уменьшая этот риск безопасности. Если автоматическая очистка памяти не реализована, для снижения этого риска организация может реализовать один из следующих процессов:
  • Обеспечение перезагрузки пользователем своего хост-компьютера по завершении сеанса удаленного рабочего стола. Чтобы это было эффективным, быстрая загрузка должна быть отключена в BIOS главного компьютера.
  • Обеспечение того, чтобы пользователь выключил главный компьютер на 10 минут после завершения сеанса удаленного рабочего стола.

Функциональность сна и гибернации​

Операционные системы предлагают режимы сна и гибернации как часть функций энергосбережения. Эта функция позволяет сохранить или записать содержимое памяти на диск, в то время как остальная часть главного компьютера выключена. Это представляет угрозу безопасности для организации, поскольку информация, хранящаяся в памяти или на диске, может быть перехвачена злоумышленником, имеющим физический доступ к главному компьютеру.

Отключение функции энергосбережения в режиме сна и гибернации в операционной системе главного компьютера может снизить этот риск для безопасности.
 
You must log in or register to reply here.

Similar threads

chushpan
Как работает HVNC
Replies
1
Views
294
Man
Man
chushpan
Как работает RDP
Replies
1
Views
373
Man
Man
chushpan
Как работает UEBA
Replies
1
Views
324
Man
Man
chushpan
Список инструментов RDP
Replies
0
Views
294
chushpan
chushpan
Tomcat
Исследователи обнаружили вредоносный пакет npm, нацеленный на пользователей Gulp
Replies
0
Views
192
Tomcat
Tomcat
Back
Top