Domanda di sicurezza per Teamviewer [chiusa]

2

Attualmente stiamo usando Teamviewer 9. Abbiamo un paio di macchine desktop che sono bloccate nel modo seguente:

1). La shell non è più explorer.exe, è un programma personalizzato che abbiamo creato.

2). Il sistema operativo è Windows 7 incorporato, l'ultima versione, le ultime patch di sicurezza.

3). L'utente accede in due modi: Modalità amministratore che consente la shell di Windows e l'accesso completo al computer per la risoluzione dei problemi, l'altro modo avviene tramite l'accesso dell'utente che esegue il software di esecuzione personalizzato e impedisce all'utente di eseguire la shell di Windows.

Abbiamo trovato alcuni buchi però. In vari momenti per lo più prevedibili (quando la persona di supporto esce da una sessione di Teamviewer su un computer bloccato con l'utente bloccato collegato), la finestra di dialogo di Teamviewer viene visualizzata sul computer client. In questa finestra di dialogo di Teamviewer c'è un pulsante delle opzioni che assomiglia a una piccola icona dell'ingranaggio. Questa icona sarebbe la stessa delle opzioni del menu Extra su un normale pannello Teamviewer (le nostre sono personalizzate e quindi mostra solo un'icona a forma di ingranaggio). Quando l'utente inserisce questa finestra di dialogo delle impostazioni e sceglie l'opzione video a sinistra e quindi preme il pulsante di selezione immagine, l'utente può quindi immettere cmd.exe (che eseguirà una shell di comandi), immettere explorer.exe per eseguire la shell. Se eseguono cmd.exe o explorer questo consentirà loro di eseguire IE o ftp.exe.

Poiché queste macchine sono connesse a Internet tramite modem cellulari, preferiremmo che l'utente non sia in grado di eseguire questi programmi. L'esperienza precedente ci ha insegnato che questi utenti accedono ai propri account Netflix e guardano film e varie cose del genere, che quando vengono eseguite tramite connessioni dati cellulari potrebbero essere molto costose in un breve periodo di tempo.

Abbiamo studiato la possibilità di utilizzare la politica di gruppo ma da ciò che la nostra ricerca ci ha mostrato che la politica di gruppo funziona solo se la shell è in esecuzione. Naturalmente potremmo sbagliarci, ma questa è l'informazione che mi è stata data mentre stavo facendo questo post. Ora, se potessimo bloccare la shell fino al punto in cui potrebbe NON fare NIENTE ma eseguire il programma, vogliamo che venga eseguito includendo qualsiasi cosa dalla USB mentre l'utente bloccato è loggato, lo considereremmo, ma quel livello di blocco non sembra possibile dalla nostra ricerca.

Se qualcuno sa di una buona documentazione sul raggiungimento di questo livello di blocco su un computer (simile per molti aspetti al livello di blocco che vorresti vedere su un bancomat) saremmo più interessati a questa informazione.

    
posta Brent 07.08.2014 - 23:13
fonte

2 risposte

0

(Ovviamente questo deve essere fatto su qualche tipo di account admin / power user)

Probabilmente potresti usare le normali autorizzazioni NT e negare l'accesso a cmd.exe e explorer.exe . Nelle normali proprietà > permessi (potresti dover abilitare le autorizzazioni NT, anche nelle proprietà).

Non è necessario disporre necessariamente dei Criteri di gruppo. Oppure dalla riga di comando potresti usare icacls "cmd.exe" /deny Users:F (Qualcuno mi controlla?) E lo stesso comando con dove explorer.exe sostituisce cmd.exe.

Scusami se ho sbagliato qualcosa. Mi trovo su una scatola Linux adesso, facendo questo a memoria.

    
risposta data 08.08.2014 - 05:32
fonte
0

Sembra che quello che vuoi veramente fare sia inserire nella whitelist delle applicazioni. Windows 7 ha AppLocker, anche se non sono sicuro che Win 7 abbia o meno incorporato.

Puoi leggere più qui

I suoi punti principali sono

Prevent unlicensed software from running in the desktop environment if the software is not on the allowed list

Prevent vulnerable, unauthorized applications from running in the desktop environment, including malware

Stop users from running applications that needlessly consume network bandwidth or otherwise affect the enterprise computing environment

Prevent users from running applications that destabilize their desktop environment and increase help desk support costs

Provide more options for effective desktop configuration management

Allow users to run approved applications and software updates based upon policies while preserving the requirement that only users with administrative credentials can install or run applications and software updates

Help to ensure that the desktop environment is in compliance with corporate policies and industry regulations

    
risposta data 07.09.2014 - 09:05
fonte

Leggi altre domande sui tag