Могут ли вирусы переходить на другой компьютер при подключении по RDP?

Question

[Nabi Alimetov]

У специалистов ИТ-отделов нет возможности следить за состоянием домашних компьютеров с точки зрения информационной безопасности. Поэтому хотелось бы узнать, могут ли каким-либо образом (буфер, локальные ресурсы) вирусы перейти на рабочие компьютеры сотрудников с их домашних. И если да, то как с этим бороться? Если они подключаются к терминальному серверу, то там много опций и вопрос решается быстро. А что делать если они подключаются к своим компьютерам на рабочих местах?

Answer 1

[#]

RDP не гарантирует защиты от вирусов. к примеру есть предупреждения, когда в парамерах подключения, разрешено мапить локальные дисковые устройства. но если вам нужен обмен файлами - придется разрешить

можно по другому сказать - как мимнимум, есть угроза заражения, при любом способе обмена файлами (флешка, сеть, в тч мапинг по RDP)

какой то особой защиты не требуется - если у вас есть антивирус, вам не чего добавить upd кроме как не делать ляпов

ps экстремальная защита (шутка с долей юмора):

- не мапить устройства
- не качать файлы
- уволиться
- отключить интернет и сотовые
- уехать жить в тайгу или в горы

pps ну и об экстремальных угрозах:

- 0day может быть найден везде. возможно и в RDP*, даже если заходите без доступа к локальным устройствам. доступ же предусмотрен протоколом, просто запрещен. а крутые зловреды создаются именно для обхода запретов
- все кто более менее интересовался темой ИБ, знакомы с одним из самых показательных случаев - Stuxnet. но если вы работаете там, где есть гостайна, за нее есть кому беспокоится
- если вы самый главный по ИТ/ИБ, в своей конторе, и задаете такой вопрос, думаю, что самая большая угроза, для вашей конторы, это обычные зловреды - майнеры, воры банковских данных, паролей, и тд. но защита от них, требует только повышения вашего общего уровня в ИТ/ИБ. говоря коротко - не делать ляпов, хотя бы выполнять рекомендации МС для администраторов. а их довольно легко искать. удачи

* еще пример экстрима - специалисты по ИБ, продемонстрировали выход в хостовую систему, даже из виртуалки. но не сохранил ссылку, или сохранил далеко, истории чуть не пару лет.. а может и более ))

Comments

[#]

John Smith, вы про что? гугл предложил как минимум два варианта трактовки, но оба не очень в тему ))

[frrykt]

#, Software Restriction Policies (SRP)

[#]

frrykt, аа.. ну да.. но в домашних условиях (а мы говорим про удаленку) винда (не кряченая сборка, а свежая 10, с настройками по дефолту, и родным антивирем) нашпигована (по дефолту же) оными на столько, что многие считают это шпионажем, и нарушением личных прав ))

а на стороне офиса.. ну я там в ответе дописал про либо доверяйте своим админам, либо учите маны, если вы и есть админ

[frrykt]

#, если на работе применена эта политика и настроена, как надо - ничего с домашнего пека не грозит.

Answer 2

[res2001]

Если не брать в расчет, что в самом RDP могут быть какие-то уязвимости, то передать вирус юзера могут только скопировав какой-то файл со своего компа на рабочий, если мапятся диски. Скопировать файлы теоретически может и вирус работающий на домашней машине клиента. Но передать файл мало - его надо еще и запустить удаленно. Если зловред подменит собой стандартный RDP клиент - то тут он сможет сделать уже много чего в рамках пользовательских прав на удаленном ПК. Я про такой вариант вирусов не слышал, но теоретически - почему бы и нет.
Защита обычная - антивирус на удаленном компьютере и только ограниченные права + блокирующий корпоративный фаервол. Принудительно не мапить диски и прочие флэшки. В таких условиях и в локальном варианте вирусу достаточно трудно развить свою деятельность.
На счет настроек RDP на десктопной винде - да кнопочек нет, но все то же самое есть в GPO и в локальных политиках безопасности (если AD не развернута).

Я бы не пускал юзеров на свои локальные компы в сети удаленно, т.к. вы получаете Nое количество толком не контролируемых точек входа в сеть. Вирус то может туда и не проникнет, а вот сами пользователи смогут унести все что плохо лежит.
По уму выделить терминальный сервер в ДМЗ. С него предоставить доступ в ЛВС через дополнительный (не локальный) закрытый фаервол с доступом только к нужным сетевым ресурсам. Нужные файлы пользователи должны держать в доступных сетевых каталогах. В терминальном сервере оставить работающими только безопасные защищенные протоколы, настроить полноценный сертификат с собственным ЦА, обязательно включить авторизацию на уровне сети.

Answer 3

[АртемЪ]

Нет.
Но при удаленном доступе пользователь может загрузить зараженные файлы и запустить их самостоятельно.

У специалистов ИТ-отделов нет возможности следить за состоянием домашних компьютеров с точки зрения информационной безопасности.

А такой необходимости и нет.
Зачем следить за безопасностью домашних компьютеров? Да пусть там хоть что будет.
Следить надо за безопасностью рабочей инфраструктуры - сервера терминалов или рабочей станции куда подключается пользователь.

Грамотная настройка исключает возможность заражения на 99,9%.
Под грамотной настройкой понимается в первую очередь настройка прав пользователей -как на доступ к файлам так и на запуск программ.

Answer 4

[Владимир Коротенко]

Кто то ставит антивирусы, касперский там или доктора
Но это вам решать

Answer 5

[Therapyx]

полностью никак. Разве что вообще запретить какую либо передачу фаилов. Но адекватные методы, чтобы минимизировать шансы, это:
- Доступ только через интранет, т.е. сначала обязательно подключение через впн
- Для каждого юзера 2-й аккаунт с правами даже на запуск .exe itd фаилов. (но тут опять же человеческий фактор, стоит хорошенько разьяснять людям, что можно, а что нет)
- настроить фаирфолл на максимум изоляции.
- Использовать виртуальные машины с выше-сказанным пунктом ))

А так вроде еще слышал, что есть специальный вид софта, который отслеживает подозрительный сетевой трафик в сетевым сегментах, но тут хз... Только слышал))

Comments

[Karpion]

VPN точно никак не защищает от вирусов.

Answer 6

[Nertsan -]

Смотря какие вирусы и как все настроено в целом могут но не всегда