Kann sich ein Virus über eine Netzwerkfreigabe verbreiten, die von einer RDP-Verbindung verwendet wird?

7

Wenn Sie von einem lokalen Windows-PC (7 oder XP) mit aktivierten Netzwerkfreigaben über RDP eine Verbindung zu einem Windows Server-Desktop (2003 oder 2008) herstellen (normalerweise wird die lokale C: -Diskette für den Remoteserver freigegeben), besteht eine echte Chance dass ein Virus den Remote-Server infiziert?

Natürlich schützen wir unsere lokalen PCs so gut wie möglich. Daher möchte ich nur wissen, ob es sinnvoll ist, eine Richtlinie zur Beschränkung der Dateiübertragung auf FTP oder WebDAV und zum Verbot von Freigaben festzulegen.

Ich glaube, eine Frage wie diese hätte schon früher gestellt werden sollen, aber ich konnte wirklich nichts finden.

Olaf
quelle
Es ist möglich, ja, aber plausibel ist eine ganz andere Geschichte.
Soße Gesicht
@gravyface: danke - aber können wir uns diese "andere Geschichte" etwas genauer ansehen? Ich würde gerne ein solides Bauchgefühl bekommen, wenn wir diese Möglichkeit schließen müssen oder nicht.
Olaf

Antworten:

3

Es gibt keinen automatisierten Mechanismus, bei dem sich ein Virus über die gemeinsam genutzten lokalen Laufwerke ausbreiten würde. Es sei denn, Sie zählen Benutzer als Automated Tools of Destruction ™ (was ich nicht unterschätzen würde).

Wir blockieren diesen Zugang aus mehreren Gründen:

  • Benutzer haben die unangenehme Angewohnheit, überflüssige Funktionen auszunutzen, die wir für ihren persönlichen Genuss (und / oder aus Versehen) zulassen, was normalerweise dazu führt, dass ich eine Art Durcheinander bereinige (wie diese 90 + GB Heimbilder, die jemand versehentlich kopiert hat). Es muss kein Virus sein , um den Server in die Knie zu zwingen.
  • Wir können uns weniger Gedanken darüber machen, was die Benutzer aus unserem Netzwerk kopieren. Sie sind vielleicht nicht in der gleichen Position wie wir, aber wir haben überall finanzielle und persönliche Daten. Die meisten Benutzer haben Zugriff darauf. Wir möchten das Kopieren dieser Daten auf externe Orte auf Mechanismen beschränken, die protokolliert und im Allgemeinen leicht zu verfolgen sind.
  • Grundsätzlich gibt es für diesen Zugriff überhaupt keinen Anwendungsfall. Wir haben bereits eine Dateiübertragungswebsite, die einfacher und zuverlässiger ist als das Kopieren von Dateien in einer RDP-Sitzung. Ich habe bisher nur einen Benutzer nach dem Übertragen von Dateien und einen anderen nach dem Drucken fragen lassen (was auch durch die Richtlinie deaktiviert ist).
Chris S.
quelle
2
+1 für die "Automated Tools of Destruction", die mich tatsächlich zum LOL gemacht haben
Coding Gorilla
3

JA, INDEED.

Das Zuordnen von Festplatten über eine RDP-Verbindung ist fast so unsicher wie das Zulassen, dass jemand zu Ihrem Server geht und einen unbekannten USB-Stick daran anschließt. Hier gibt es keine zusätzliche Sicherheitsebene. Benutzer müssten natürlich die gefährlichen Dateien wie jede andere Virusinfektion öffnen.

Die Optionen sind einfach:

  • Lassen Sie keine Festplattenzuordnungen zu (verwenden Sie stattdessen Sharepoint in Kombination mit UAG oder ähnlichem).

oder

  • Sichern Sie Ihre Server (mit Antivirus, Anti-Spyware usw., was Sie sowieso tun sollten).

Firewalls helfen nichts, da die RDP-Sitzung bereits verschlüsselt ist.

pauska
quelle
1
Zu klären; Wenn Sie das Laufwerk / die Freigabe zuordnen, können Sie Malware auf den Server kopieren lassen. Die Ausführung ist ein zweiter (und separater) Schritt. Sofern Ihre Benutzer nicht böswillig sind oder Ihr Netzwerk ausnutzen sollen, ist es relativ sicher, nur RDP-Zugriff zu haben.
Bart Silverstrim
1
Automatisierte Angriffe (Kopieren und Ausführen) erfordern normalerweise die Nutzung eines Exploits. Ich mache mir mehr Sorgen darüber, dass Ihre Benutzer während der RDP-Sitzung im Internet surfen und sich selbst mit Malware infizieren.
Bart Silverstrim
-1

Ja, wenn Sie Programme von Ihrer freigegebenen Festplatte ausführen. Autorun funktioniert nicht (mit Standardeinstellungen).

Migabi
quelle
1
Ok, aber das wäre ein eher unwahrscheinliches Szenario. Ich dachte eher an eine automatische Infektion.
Olaf
Es ist wahrscheinlicher, dass der Benutzer ein infiziertes Programm von einer freigegebenen Festplatte ausführt, anstatt einen Virus mit RDP- "Fähigkeiten", um Ihren Server zu erreichen.
Migabi