Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Jak na RDP serveru spustit cokoliv přes RemoteApp
květen 04
Jak na RDP serveru spustit cokoliv přes RemoteApp

Netušil jsem ani jakou tímhle vyvolám u jednoho zákazníka paniku :-) Taky to nevíte? Máte RDP farmu a na ní provozujete RDP RemoteApps. Tedy nějaké aplikace, jako je Office, nebo Adobe, nebo nějaký jiný business systém. Lidé se k tomu připojují přes RDWeb, nebo mají rovnou nějaké zástupce na ploše. V každém případě lidé vidí pouze okno své aplikace, nevidí celou plochu. A vy máte dojem, že si na tom serveru nic jiného spustit nemohou. Tak to máte špatný dojem :-)

Pokud ten program má standardní Open nebo Save as dialog, tak si spustí cokoliv chtějí. Stačí vědět jak. Prostě si necháte zobrazit i exe soubory a namísto toho, abyste na ně rovnou kliknuli, použijete pravé tlačítko a vyberete správnou volbu:

Co z toho plyne?

RemoteApp je jenom uživatelské zpříjemnění, určitě to není bezpečnostní fíčura. Server nemá principiálně jak kontrolovat, co startujete z čeho. Prostě se jenom přenáší individuální okna namísto celé plochy. Pokud chcete startování aplikací skutečně omezit, musíte použít AppLocker (Application Control Policies).

Comments

Applocker je dobra vec.... ale

Jojo, applocker je dobra vec, ale.. misty nepouzitelna ... protoze stari aplikace nema digitalni podpis (zdravim treba ASPI-automatizovany system pravnich informaci) , nejde ani pouzit UNC cestu - a liny admin nechce ani po kazde aktualizaci pocitat nove CRC....

Ale na zakazani skajpu, teamvieweru, karet min a jinych blbinek je to skvela vec
Roman on 4.5.2017 16:51

Re: Jak na RDP serveru spustit cokoliv přes RemoteApp

@Roman: ty si neděláš vlastní MSI balíčky s podepsanými aplikacemi? kdybys dělal, tak máš podepsané i ty staré aplikace (podepisuji si tak vše co mám v provozu ve firemní síti).
Michal Zobec on 4.5.2017 18:58

remote app

Trochu mi to připomnělo takovou nechutnost jako cracknout rdp na win7, udělat z toho RDS server a při přihlášení každýho užívatele(kromě admina) killnout explorer) a při vypnutí aplikace uživatele odhlásit. "Remoteapp po domácku" jen proto, že SQL klient se přes VPN a ADSLkovy spoje se prostě nedá provozovat.  Systémy uživatelů, caly atd všechno legál. Jen jedna knihovnička ... :)
  
David on 5.5.2017 14:52

Terminal Server GPO settings

no pre taketo pripady mam defaultne na vsetkych terminaloch zapnute 2 policy:

Windows Components\File Explorer\
- Hide these specified drives in My COmputer
- Prevent access to drives from My Computer

standartny explorer.exe to osetruje, no cez iny interpreter je to prakticky nepouzitelne. Na druhej strane standartny API interface vyuziva explorerove veci, takze pokial to nie je specialna legacy app, ktora aj dialogy si robi vlastne, je to postacujuce riesenie.
Martin on 9.5.2017 14:41

Re: Jak na RDP serveru spustit cokoliv přes RemoteApp

:o)) Podobně jsem kdysi "hacknul" nějaké superzabezpečené PC, kde bylo jen menu s povolenýma programama a jedním z nich byla T602 :o))
RaT on 17.5.2017 13:17

Add Comment

Sorry comments are disable due to the constant load of spam *


Omlouvám se, ale příval spamu nelze kontrolovat, takže mi prosím pošlete email, pokud máte nějaký dotaz, nebo připomínku.

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments