Sicurezza della mappatura delle risorse locali su RDP

1

Lavoro con un gruppo di sviluppatori che fanno programmi a livello di rete. Per impedire a questi sviluppatori di causare accidentalmente problemi sulla rete aziendale, è stata data loro una rete isolata (un diverso intervallo IP con una DMZ condivisa).

In passato questi sviluppatori hanno mantenuto 2 computer (uno per ogni rete) e quando avevano bisogno di spostare i file da una rete all'altra utilizzavano una pen drive. Tuttavia, recentemente abbiamo spostato gli uffici e ciascuno degli sviluppatori è stato dotato di un computer aggiornato e ha dichiarato che, per l'accesso alla rete aziendale, è possibile effettuare il backup remoto in una configurazione server RDP nella DMZ. Il problema è che non possiamo più usare le thumb drive. Una delle soluzioni che abbiamo creato è stata quella di utilizzare la scheda "Dispositivi e risorse locali" in "Mostra opzioni" per mappare le unità locali alla sessione RDP, tuttavia, IS ha chiamato "fallo".

In che modo la mappatura "Dispositivi e risorse locali" tramite RDP è più o meno sicura rispetto al nostro vecchio sistema di spostamento di file tramite una pen drive?

    
posta CaffeineAddiction 05.09.2017 - 15:30
fonte

3 risposte

1

Credo che il problema sia dovuto al controllo. Una sessione RDP non è la stessa di una sessione di accesso locale. Dal momento che il controllo di thumb drive è molto specifico, scommetto che non avvia un evento a causa della natura di RDP.

Un esempio di RDP woes (non causa il blocco del tentativo di account): link

Se avrò più tempo, cercherò di aggiornare con fatti reali contro congetture.

    
risposta data 06.10.2017 - 00:33
fonte
0

Con dispositivi e risorse locali puoi consentire alla tua unità locale di essere disponibile sull'altra rete. Verrà visualizzato come \ tsclient \ c per l'unità C: locale in Rete e C su [computername] nel riquadro destro di Explorer. Ciò vanifica lo scopo di avere le sottoreti scollegate.

Vorrei richiedere un server FTPS interno che può essere limitato a un singolo percorso di cartella che NON dovrebbe essere la tua area di archiviazione comune. Il server Filezilla funzionerebbe bene.

    
risposta data 05.09.2017 - 18:11
fonte
0

Dipende da ciò che mappi. Se si esegue il mapping dell'unità C, il client può effettivamente eseguire codice arbitrario sul server in quanto può eseguire qualsiasi programma in stile psexec. Questo è soprannominato "attacco RDP inception" e consente al client di saltare fuori dal dmz.

Se si mappa una cartella, è necessario fare attenzione e non eseguire mai alcun programma nella cartella, perché il client può backdoor qualsiasi file in quella cartella. Può anche eliminare exploit, come l'exploit di lnk "stuxnet".

link

    
risposta data 05.10.2017 - 21:02
fonte

Leggi altre domande sui tag