Hintergrund: In unserem Unternehmen haben wir eine Client/Server-Prozessmanagementsoftware gekauft, bei der der Client direkt mit einem SQL-Server kommuniziert. Dies stellt meiner Meinung nach eine große Sicherheitslücke dar, da es möglich ist, das SQL-Server-Passwort aus der Registrierung auf allen Client-Computern zu lesen. Dieser SQL-Benutzer hat Zugriff auf die gesamte Datenbank. Die Software ist benutzerbasiert, was offensichtlich nur ein Placebo ist und keine Sicherheit bietet. Der Hersteller der Software ist sich des Problems bewusst, bietet jedoch nur ein Webzugriffsmodul an, um die direkte Kommunikation mit dem SQL-Server zu verhindern, was zusätzlich ~5000 $ kosten würde.
Daher habe ich mich gefragt, ob es eine gute Idee ist, einen weiteren Windows-Server einzurichten, auf dem ich die Client-Software installiere und sie als „RemoteApp“ veröffentliche. Ich habe mich gefragt, ob dies ausreichen würde, um zu verhindern, dass Benutzer nicht veröffentlichte Programme starten. Ich weiß, dass der Benutzer auch auf diese Software zugreifen kann, wenn die Client-Software zusätzliche Software startet. Dies ist nur bei PDF-Readern oder anderen Texteditoren der Fall.
Kann ich angesichts dieser Informationen davon ausgehen, dass es nicht möglich ist, die Registrierungsschlüssel auszulesen und/oder eine von einem RemoteApp-Benutzer hochgeladene Software (Netzwerk-Sniffer usw.) zu starten?
Antwort1
Ja.
Sie können dies mithilfe von Softwareeinschränkungsrichtlinien und/oder AppLocker auf dem RemoteApp-Server verwalten. Aufgrund der von Ihnen genannten Sicherheitsbedenken möchten Sie den Client auf keinen Fall auf den Arbeitsstationen der Endbenutzer ausführen, es sei denn, diese Sicherheitsbedenken werden vom Management nach einer gründlichen und gut dokumentierten Erörterung der Risiken abgetan.
Wenn Sie möchten, können Sie zusätzliche Schritte unternehmen, um den RemoteApp-Server zu sperren. Ich habe beispielsweise die Standard-Shell der RemoteApp-Benutzer von auf geändert, explorer.exeum logoff.exeRDP-Anmeldungen von anderen Benutzern als RemoteApp zu verhindern.
Sie haben Recht innichtErwarten Sie, dass RemoteApp selbst eine Sicherheitsebene bereitstellt. Es passt lediglich die Ansicht der Anwendung für den Benutzer so an, dass es aussieht, als würde sie lokal ausgeführt. Sie müssen die Sicherheitskonfiguration des RemoteApp-Servers weiterhin so verwalten, als würden sich die RemoteApp-Benutzer normal über RDP anmelden.