뒷이야기: 우리 회사에서는 클라이언트가 SQL 서버와 직접 통신하는 클라이언트/서버 프로세스 관리 소프트웨어를 구입했습니다. 모든 클라이언트 컴퓨터의 레지스트리에서 SQL 서버 암호를 읽을 수 있기 때문에 이것은 주요 보안 결함이라고 생각합니다. 이 SQL 사용자는 전체 데이터베이스에 액세스할 수 있습니다. 이 소프트웨어는 사용자 기반이며 이는 분명히 위약일 뿐이며 보안을 추가하지 않습니다. 소프트웨어 제조업체는 문제를 알고 있지만 SQL 서버와의 직접 통신을 방지하기 위해 웹 액세스 모듈만 제공하며, 이로 인해 ~5000$의 추가 비용이 발생합니다.
그래서 클라이언트 소프트웨어를 설치하고 이를 "RemoteApp"으로 게시하는 다른 Windows Server를 설정하는 것이 좋은 생각인지 궁금했습니다. 이것이 사용자가 게시되지 않은 프로그램을 시작하는 것을 방지하기에 충분한지 궁금합니다. 클라이언트 소프트웨어가 추가 소프트웨어를 시작하면 사용자도 이 소프트웨어에 액세스할 수 있다는 것을 알고 있습니다. 이는 PDF 리더나 기타 텍스트 편집기에만 해당됩니다.
이 정보를 고려할 때 RemoteApp 사용자가 업로드한 레지스트리 키를 읽거나 소프트웨어(네트워크 스니퍼 등)를 시작할 수 없다고 가정할 수 있습니까?
답변1
예.
RemoteApp 서버의 소프트웨어 제한 정책 및/또는 AppLocker를 사용하여 이를 관리할 수 있습니다. 언급한 보안 문제로 인해 최종 사용자의 워크스테이션에서 클라이언트가 실행되는 것을 원하지 않을 것입니다. 단, 위험에 대해 철저하고 잘 문서화된 논의를 거쳐 경영진이 보안 문제를 무시하지 않는 한 말입니다.
원하는 경우 RemoteApp 서버를 잠그기 위한 추가 단계를 수행할 수 있습니다. 예를 들어, RemoteApp 사용자 가 아닌 RDP 로그인을 방지하기 위해 RemoteApp 사용자의 기본 셸을 에서 explorer.exe로 변경했습니다 .logoff.exe
당신 말이 맞아요~ 아니다RemoteApp 자체가 보안 계층을 제공할 것으로 기대합니다. 이것이 하는 일은 애플리케이션이 로컬에서 실행되는 것처럼 보이도록 사용자의 애플리케이션 보기를 조정하는 것뿐입니다. RemoteApp 사용자가 RDP를 통해 정상적으로 로그인하는 것처럼 RemoteApp 서버의 보안 구성을 관리해야 합니다.