背景故事:在我們公司,我們購買了客戶端/伺服器進程管理軟體,客戶端可以透過該軟體直接與 SQL 伺服器進行通訊。在我看來,這是一個主要的安全缺陷,因為可以從所有客戶端電腦上的註冊表中讀取 SQL 伺服器密碼。該 SQL 使用者可以存取整個資料庫。該軟體是基於用戶的,這顯然只是安慰劑,並沒有增加安全性。該軟體的製造商已經意識到了這個問題,但只提供了一個Web存取模組來阻止與SQL伺服器的直接通信,這將額外花費約5000美元。
所以我想知道設定另一個 Windows Server 來安裝客戶端軟體並將其發佈為「RemoteApp」是否是一個好主意。我想知道這是否足以阻止用戶啟動任何未發布的程式?我知道如果客戶端軟體啟動任何其他軟體,用戶也可以存取該軟體。這僅適用於 PDF 閱讀器或其他文字編輯器。
考慮到這些信息,我是否可以假設無法讀取 RemoteApp 用戶上傳的註冊表項和/或啟動任何軟體(網路嗅探器等)?
答案1
是的。
您可以使用 RemoteApp 伺服器上的軟體限制原則和/或 AppLocker 進行管理。由於您提到的安全問題,您絕對不希望客戶端在最終用戶的工作站上運行,除非管理層在對風險進行徹底且有據可查的討論後消除了這些安全問題。
如果您願意,可以採取其他步驟來鎖定 RemoteApp 伺服器。例如,我已將 RemoteApp 使用者的預設 shell 從 變更為 ,explorer.exe以logoff.exe防止非 RemoteApp RDP 登入。
你是正確的不是期望 RemoteApp 本身提供一層安全性。它所做的只是調整用戶對應用程式的視圖,使其看起來像是在本地運行。您仍然需要管理 RemoteApp 伺服器的安全性配置,就像 RemoteApp 使用者透過 RDP 正常登入一樣。