Компания Microsoft выпустила незаметное, но крайне важное обновление мехнанизмов безопасности, которое меняет подход к работе с протоколом удаленного рабочего стола (RDP). Нововведение призвано сократить класс атак, использующих социальную инженерию и специально сформированные .rdp-файлы для компрометации корпоративных сетей.
В чем суть угрозы?
Файл .rdp — это текстовый конфигурационный файл с параметрами подключения к серверу Terminal Services. Проблема в том, что он может содержать директивы о перенаправлении ресурсов:
Redirection местных дисков (чтобы украсть файлы жертвы).
Перенаправление буфера обмена (для перехвата паролей и敏感ных данных).
Проброс принтеров и USB-устройств.
Подмена легитимного сервера на фишинговый с похожим именем.
Раньше при двойном клике по такому файлу Windows могла установить соединение без лишних вопросов, либо показывала сухое техническое предупреждение, которое пользователи привыкли игнорировать.
Что изменилось: теперь при открытии появляется уведомление
Начиная с актуальных обновлений, при первом открытии любого .rdp-файла пользователь видит понятное предупреждение. В диалоговом окне объясняется:
Что такое RDP-файл и для чего он используется.
Что удаленный сервер потенциально может получить доступ к локальным дискам, буферу обмена, принтерам и другим устройствам.
Что подключение к незнакомому или подозрительному серверу несет риски утечки данных.
Пользователь обязан явно подтвердить, что ознакомился с предупреждением (например, нажать кнопку «Я понял» или установить соответствующую галочку). Только после этого соединение будет установлено.
И самое главное — теперь по умолчанию все функции перенаправления ресурсов отключены.
Это означает, что даже если в .rdp-файле прописаны директивы на проброс дисков, буфера обмена, принтеров или USB-устройств, Windows их проигнорирует. Пользователю приходится каждый раз вручную проставлять галочки напротив тех ресурсов, которые он готов предоставить удаленной машине
Как администратор может отключить защиту (и зачем?)
Microsoft понимает, что в корпоративной среде, где используются тысячи легитимных .rdp-файлов (например, для подключения к защищенным RDP-шлюзам), массовое появление предупреждений может вызвать хаос в службе поддержки.
Поэтому предусмотрена возможность отката к старому поведению через редактор реестра.
Путь:HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
Параметр:RedirectionWarningDialogVersion (DWORD)
Значения:
0 или отсутствие параметра — действуют новые механизмы безопасности (рекомендовано).
1 — предупреждение отключается, система ведет себя как до обновления.
Комментарии