Ez egy jó kérdés! Először egy olyan felelősség kizárása, miszerint nem vagyok képes teljes körű választ adni, mivel eddig meglehetősen jól tudtam elkerülni az RDP biztonsági problémákat nem megbízható környezetekben. Azért használok RDP klienseket és szervereket is, de mindig csak megbízható gazdagépeken. Ennek ellenére van néhány gondolatom, miért látunk ilyen figyelmeztetéseket;
Meglehetősen ésszerű lenne feltételezni, hogy a biztonsági kockázatok nagy részét egy RDP futtatása vállalná. szerver (amit a Microsoft Távoli asztali szolgáltatások nak nevez), és a múltban ennek néhány hírhedt kihasználása volt, például a A pass-the-hash vagy a MiTM támadások nem titkosított kapcsolatok ellen. Valószínűleg még mindannyian emlékszünk a Távsegítség letiltására és a kapcsolódó port kivételek eltávolítására a tűzfalakban, mint például az első dolgok közül, amelyeket a Windows XP telepítésekor tettünk. De az RDP kliens (vagy a Microsoft terminológiájában távoli asztali kapcsolat ) használatával járó kockázatok nem tűnnek annyira magától értetődő.
A használt terminológia részletesebb magyarázatához, valamint az RDP kliens és az RDP szerver megkülönböztetéséhez lásd a válaszom végén található frissítést. De a dolgok egyértelműbbé tétele érdekében ez az a figyelmeztető párbeszédpanel, amelyről az OP a kérdésben beszél:
Bár nem sikerült dokumentációt találnom egyetlen közelmúltról sem önszaporító kiaknázások (azaz vírusok, trójaiak vagy férgek), amelyek kihasználják a Távoli asztali kapcsolatok előnyeit a frissített RDP protokoll kliensek használatával, különösen azok, amelyek a TLS-t használják még mindig vannak olyan kockázatok, amelyek a nem megbízható RDP szerverekhez való csatlakozással járnak:
Felhasználói tevékenységek nyomon követése és kulcsbemutató : Lényegében a nem megbízható RDP-kiszolgáló minden tevékenységét naplózhatja a szerveren, beleértve a böngészett webhelyeket, a letöltött fájlokat, a megnyitott és módosított dokumentumokat , a távoli szolgáltatások RDP-szerveren keresztüli eléréséhez megadott jelszavak, alapvetően nyomon követik a teljes felhasználói munkamenetet.
-
Az ügyfél fertőzése távoli hosztolt fájlokon keresztül : Az RDP munkamenetet szerverről letöltött fájlok manipulálhatók vagy rosszindulatú programokkal fertőzöttek lehetnek. Hamisan feltételezheti a bizalmat ezekben a fájlokban, gondolván, hogy mivel az előző RDP-munkamenet során oda tette őket, hogy közben nem lettek manipulálva vagy megfertőzve őket, továbbítsa őket az RDP-kliensére, és nyissa meg / futtassa / ...
-
Man-in-the-middle : Hasonlóan a felhasználói tevékenységek követéséhez, a támadó csak ezúttal aktív abban az RDP-kiszolgálóban, amelyhez csatlakozik, és meghallgatja az RDP kliensen az RDP szerver kapcsolatot, az RDP szervert a távoli LAN / WAN kapcsolatokkal, vagy esetleg mindkettőt. A kicserélt hálózati csomagok tartalmának ellenőrzésén felül a középső ember képes megváltoztatni azok tartalmát is. Az RDP munkamenet titkosítható a TLS használatával, hatékonyan megakadályozva a lehallgatást, de ez nem feltétlenül áll fenn abban az esetben, ha máshova csatlakozol (távoli LAN vagy WAN) az RDP szerver használatával.
-
Társadalmi mérnöki támadások : Társadalmi mérnöki támadás áldozata lehet, ahol a támadó hamis színleléssel elnyeri a bizalmát, és megtanítja Önt egy olyan RDP-kiszolgáló címének megadására, amelyben meggyőződése szerint megbízható új munkamenet létrehozása közben, de a megadott címet valójában a támadó választja. A támadó ezen a címen RDP szervert üzemeltethet, kizárólag azzal a céllal, hogy rögzítse a bejelentkezési adatait egy másik, valódi RDP szerverhez, amelyhez csatlakozni szándékozik. Köszönet @emtunc-nak, hogy emlékeztetett erre a fenyegetésre!
Őszintén szólva valószínűleg sok más lehetőséget is kihagytam, hogy visszaéljek a felhasználók bizalmával abban az RDP-kiszolgálóban, amellyel munkamenetet létesítenek, különösen akkor, ha az RDP-kiszolgáló nem megbízható, de a felhasználó mindenképpen vállalja ezt a bizalmat, látni az esetleges veszélyt. De ennek a négy támadási vektornak remélhetőleg elegendőnek kell lennie annak bizonyítására, hogy egyértelműen szükség van ilyen figyelmeztetésekre.
Szerkesztés hozzáadáshoz : Látva, hogy vannak ilyenek a saját és más válaszaimban használt terminológia zavara (amit mindannyian ugyanúgy használunk, amennyire meg tudom mondani), szeretném tisztázni a dolgokat, hogy az RDP munkamenetben részt vevő két vég közül melyik tekinthető ügyfélnek erős>, és amely egy szerver (vagy gazdagép). Ezek a részletek a Wikipedia-ból, az esetleges elfogult és véleményalapú magyarázatok kizárása érdekében:
Wikipedia a Client (computing) oldalon: olyan számítógépes hardver vagy szoftver, amely hozzáfér a szerver által elérhetővé tett szolgáltatáshoz. A szerver gyakran (de nem mindig) egy másik számítógépes rendszerben van, ilyenkor az ügyfél egy hálózat útján jut el a szolgáltatáshoz. A kifejezés azokra a programokra vagy eszközökre vonatkozik, amelyek egy kliens-szerver modell részét képezik.
Az ügyfél egy olyan számítógépes program, amely működésének részeként egy másik számítógépes programra irányuló kérelem küldésére támaszkodik (amely nem található egy másik számítógépen). Például a webböngészők olyan ügyfelek, amelyek webszerverekhez csatlakoznak, és lekérik a weboldalakat a megjelenítéshez. Az e-mail kliensek lekérik az e-mailt a szerverekről. Az online csevegés különféle klienseket használ, amelyek a használt csevegési protokolltól függően változnak. A többjátékos vagy online videojátékok kliensként futhatnak minden számítógépen. Az "ügyfél" kifejezés alkalmazható az ügyfélszoftvert futtató számítógépekre vagy eszközökre, vagy az ügyfélszoftvert használó felhasználókra is.
Wikipédia a kiszolgálón (számítástechnika) : A szerver egy rendszer
(szoftver és megfelelő számítógépes hardver), amely válaszol a számítógépes hálózaton keresztüli kérésekre, hogy hálózati szolgáltatást nyújtson, vagy segítséget nyújtson. A szerverek futtathatók dedikált számítógépen, amelyet gyakran "szervernek" is neveznek, de sok hálózati számítógép képes kiszolgálókat szerverezni. Sok esetben egy számítógép több szolgáltatást is képes nyújtani, és több szerver is fut.
A szerverek kliens-szerver architektúrán belül működnek, a kiszolgálók olyan számítógépes programok, amelyek más programok, az ügyfelek kéréseinek kiszolgálására szolgálnak. Így a szerver az ügyfelek nevében végez valamilyen feladatot. Az ügyfelek általában a hálózaton keresztül csatlakoznak a kiszolgálóhoz, de ugyanazon a számítógépen futhatnak. Az Internet Protocol (IP) hálózatokkal összefüggésben a szerver egy olyan program, amely socket figyelőként működik.
Ennek szemszögéből való áttekintése érdekében, hogy ez a terminológia hogyan vonatkozik az RDP munkamenetre, I ' m kivonatokat is tartalmaz a korábban összekapcsolt RDP szerver ről ( Távoli asztali szolgáltatások ) és az RDP kliens ről ( Távoli asztali kapcsolat ) Wikipédia-oldalak:
Távoli asztali kapcsolat (RDC, más néven Távoli asztal, korábban Microsoft néven ismert A Terminal Services Client vagy az mstsc) a Távoli asztali szolgáltatások ügyfélalkalmazása. Lehetővé teszi a felhasználó számára, hogy távolról bejelentkezzen a terminálszolgáltatás-kiszolgálót futtató hálózatba kötött számítógépbe. Az RDC bemutatja a távoli rendszer asztali felületét (vagy az alkalmazás GUI-ját), mintha lokálisan érnék el.
A Távoli asztali szolgáltatások kiszolgálója komponense a Terminal Server (termdd.sys) ), amely a 3389-es TCP porton hallgat. Amikor egy RDP kliens csatlakozik ehhez a porthoz, egyedi SessionID azonosítóval látja el és társítja egy frissen kikerült konzol munkamenethez (0. szekció, csak billentyűzet, egér és karakter módú felhasználói felület). Ezután elindul a bejelentkezési alrendszer (winlogon.exe) és a GDI grafikus alrendszer, amely
kezeli a felhasználó hitelesítését és a grafikus felhasználói felület bemutatását.
És vizuálisan fogalmazva, a Windows 8 távoli asztali kapcsolat kliens je így néz ki, mielőtt RDP-t hoz létre munkamenet: