RemoteApp: Pode-se ter certeza de que nenhum programa indesejado é iniciado?

Question

RemoteApp: Pode-se ter certeza de que nenhum programa indesejado é iniciado?

#1 resposta do (0 votos)

2

História de fundo: Em nossa empresa, compramos um software de gerenciamento de processos cliente / servidor do qual o cliente se comunica diretamente com um servidor SQL. Esta é, na minha opinião, uma grande falha de segurança, porque é possível ler a senha do servidor SQL do registro em todos os computadores clientes. Este usuário de SQL tem acesso ao banco de dados inteiro. O software é baseado no usuário, o que obviamente é apenas um placebo e não adiciona segurança. O fabricante do software está ciente do problema, mas oferece apenas um módulo de acesso à web para evitar a comunicação direta com o servidor SQL, o que custaria aproximadamente US $ 5.000.

Então, imaginei se seria uma boa idéia configurar outro Windows Server no qual eu instalasse o software cliente e o publicasse como "RemoteApp". Gostaria de saber se isso seria suficiente para impedir que os usuários iniciem programas não publicados? Sei que, se o software cliente iniciar qualquer software adicional, o usuário também terá acesso a esse software. Este é apenas o caso de leitores de PDF ou outros editores de texto.

Considerando essas informações, posso supor que não é possível ler as chaves do Registro e / ou iniciar qualquer software (sniffer de rede ou assim por diante) que seja carregado por um usuário do RemoteApp?

windows security sql-server

por schlimpf 04.10.2015 / 19:17

1 resposta

Tags windows security sql-server

Disposição excessiva de matriz RAID5 criando uma matriz menor? De quais permissões o schtasks.exe precisa consultar outro servidor?

score 0 · Answer 1

Sim.

Você pode gerenciar isso usando Políticas de Restrição de Software e / ou AppLocker no servidor RemoteApp. Você definitivamente não deseja que o cliente seja executado nas estações de trabalho dos usuários finais devido às preocupações de segurança mencionadas, a menos que essas preocupações de segurança sejam canceladas pela gerência após uma discussão completa e bem documentada dos riscos.

Se desejar, é possível executar etapas adicionais para bloquear o servidor RemoteApp. Por exemplo, eu mudei o shell padrão dos usuários do RemoteApp de explorer.exe para logoff.exe para evitar logins RDP não-RemoteApp.

Você está correto em não esperar que o próprio RemoteApp forneça uma camada de segurança. Tudo o que ele faz é ajustar a visão do usuário sobre o aplicativo para que ele pareça estar sendo executado localmente. Você ainda precisa gerenciar a configuração de segurança do servidor RemoteApp como se os usuários do RemoteApp estivessem fazendo login normalmente via RDP.