datenreise
Goto Top

Infektionsrisiko Remote Desktop?

Guten Abend zusammen!

Aus gegebenem Anlass stelle ich mir die Frage, ob das Infizieren mit Schadsoftware von Rechnern untereinander möglich ist, wenn lediglich per (Microsoft) Remote Desktop aufeinander zugegriffen wird.

Ich konnte leider nicht allzuviel Konkretes zu dieser Frage finden - da im Prinzip ja lediglich Bildinhalt übertragen wird (sofern nicht noch extra mit gemappten Laufwerken gearbeitet wird), sollte die Gefahr nach meinem Verständnis gleich null sein.

Lizenzrechtlich könnte man sich somit auf die Absicherung des oder der Terminalserver konzentrieren, während die Endpoints, soweit sie wirklich "reine Terminals" sind, nicht bedacht werden müssten, selbst wenn ein vollwertiges Betriebssystem darauf läuft.

Wahrscheinlich ist die Sache aber nicht so eindeutig, wie ich sie darstelle?

Verändert sich das (Gefahren-)Szenario, wenn die Clients zwar wirklich nur als Terminal fungieren, aber als Domänenmitglied beispielsweise zusätzlich Gruppenrichtlinien abfragen?


Vielen Dank im Voraus für jeden erhellenden Beitrag!

Content-ID: 214194

Url: https://administrator.de/contentid/214194

Ausgedruckt am: 21.11.2024 um 17:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 13.08.2013 um 21:51:34 Uhr
Goto Top
Zitat von @Datenreise:
Guten Abend zusammen!

Aus gegebenem Anlass stelle ich mir die Frage, ob das Infizieren mit Schadsoftware von Rechnern untereinander möglich ist,
wenn lediglich per (Microsoft) Remote Desktop aufeinander zugegriffen wird.

Ich konnte leider nicht allzuviel Konkretes zu dieser Frage finden - da im Prinzip ja lediglich Bildinhalt übertragen wird
(sofern nicht noch extra mit gemappten Laufwerken gearbeitet wird), sollte die Gefahr nach meinem Verständnis gleich null
sein.


Auch die RDP-Clients haben oft fehler, weswegen da auch hin und wieder updates kommen. Sofern der Terminal-Server etnsprechend präpariert ist, könnte er unter Ausnutzung eiens exploits natürlich schadsoftware auf den client schieben.

Hier etwas zum einlesen .


Umgekehrt kann natürlich der Client genauso den terminalserver infizieren, sofern auf dem Client malware ist. Eine enfache variante wäre enfach Schadsoftware zum TS zu übertragen, indem die Clientlaufwerke eingebunden werden. Notfalls könnte er sogar eine einfache "erlaubte" RDP-Sitzung aufmachen und per "copy con: datei.exe" malware einspielen.

Lizenzrechtlich könnte man sich somit auf die Absicherung des oder der Terminalserver konzentrieren, während die
Endpoints, soweit sie wirklich "reine Terminals" sind, nicht bedacht werden müssten, selbst wenn ein vollwertiges
Betriebssystem darauf läuft.


welche Lizenzen meinst Du jetzt?

Wahrscheinlich ist die Sache aber nicht so eindeutig, wie ich sie darstelle?

Eher unklar, was du meinst.


Verändert sich das (Gefahren-)Szenario, wenn die Clients zwar wirklich nur als Terminal fungieren, aber als
Domänenmitglied beispielsweise zusätzlich Gruppenrichtlinien abfragen?

Was für clients? Wenn das normale windowsrechner sind, ist es egal. sobald da Malware drauf ist, könnte die, sofern die malware es darauf anlegt, auch den TS infizieren, zumindest den Account desjenigen, der sich anmelden darf.

lks
Datenreise
Datenreise 13.08.2013 um 22:10:12 Uhr
Goto Top
Hallo LKS,

danke für deine Antwort.
Um es etwas konkreter zuzuspitzen, ich rede grundsätzlich von Windows (XP/7/8)-Clients und Windows Server (2008/2012) als Terminalserver, weil dies in den von mir bearbeiteten Netzen die weitaus gängigste Konfiguration ist.

Bei den Lizenzen bezog ich mich auf AV-Produkte, war etwas unklar ausgedrückt, entschuldige.

Die Frage der Eindeutigkeit bezog sich auf meine Grundannahme, dass keine Schadsoftware übertragen werden könne, wenn lediglich die RDP-Verbindung zwischen zwei Systemen besteht.
Das ist ja die Kernfrage, in wieweit dies stimmt oder eben nicht. Dazu hast du ja nun zumindest einige Diskussionsanstöße geliefert. face-smile

Wenn ich dich richtig verstehe gehst du davon aus (oder bist dir sicher?), dass ein Windows RDP-Client seinen RDP-Server rein über die RDP-Sitzung infizieren kann und umgekehrt. Richtig?
Lochkartenstanzer
Lochkartenstanzer 13.08.2013 aktualisiert um 22:18:42 Uhr
Goto Top
Zitat von @Datenreise:
Wenn ich dich richtig verstehe gehst du davon aus (oder bist dir sicher?), dass ein Windows RDP-Client seinen RDP-Server rein
über die RDP-Sitzung infizieren kann und umgekehrt. Richtig?

Prinzipiell ja.

ein verseuchter client kann auf jeden fall den account des benutzers auf dem Server infizieren. Dazu muß er nur passende "Maus-" und "Tastendrücke" erzeuge,n die z.B. bestimmte Bytefolgen in eine Datei schreiben udn dann diese datei ausführen lassen. das haben wir vor fast 30 Jahren schon an DOS-rechnern mit Copy CON: Datei.com gemacht, um herauszufinden, wie man Programm ein ein System bekommt, bei dem die Diskettenlaufwerke deaktiviert/kaputt waren. War damals ein lustiger Wettbewerb unter den Kommilitonen, Das ist also Prinzipiell nichts anderes. auch wenn mir bisher keine solche Malware bekannt ist.

Der weg vom infizierten TS zum Client ist da schon eher beackert und da gibt es auch schon exploits dazu. man muß also darauf achten, den neuesten RDP-Client ohne Security-flwas einzusetzen., wenn man da sichergehen will.


Fazit: Es muß sowohl der Client sich vor dem Serevr in Acht nehmen, als auch der Server vor dem Client.

lks
jsysde
jsysde 14.08.2013 um 00:15:24 Uhr
Goto Top
N'Abend.

Zitat von @Datenreise:
Ich konnte leider nicht allzuviel Konkretes zu dieser Frage finden - da im Prinzip ja lediglich Bildinhalt übertragen wird
(sofern nicht noch extra mit gemappten Laufwerken gearbeitet wird), sollte die Gefahr nach meinem Verständnis gleich null
sein.
Nö, da wird mehr übertragen, z.B. wenn die Laufwerke des Clients vom Server zurückverbunden werden und/oder die Client-Drucker auf via RD-Host zur Verfügung gestellt werden. Reine Bildübertragung ist das nicht, dazu müsstest du all diese Funktionen auf dem RD-Host deaktivieren.

Wenn du auf den Endpoints keinerlei Sicherheitssoftware installiert hast müsstest du weiterhin sicherstellen, dass auch wirklich nur Port 3389 (oder welchen Port auch immer du für RDP verwendest) "offen" ist, bestenfalls also die RD-Hosts hinter ner Firewall verschanzen, die nur den entsprechenden Port durchlässt.

Und selbst dann kann ein Fehler in der Protokoll-Implementierung zu einer Infektion führen - Lücken gab es in der Vergangenheit immer wieder, einer der Gründe, warum man einen RD-Host nicht offen aus dem Internet erreichbar machen sollte.

Deine Annahme ist also sehr theoretisch... face-wink

Cheers,
jsysde
108012
108012 14.08.2013 um 01:35:16 Uhr
Goto Top
Hallo,

also Du gehst immer nur von den PCs aus und über was die denn nun genau verbunden sind,
es kommt eben auch immer auf den Virus an!

Es gibt Viren die aktiv das ganze Netzwerk nach allem und nichts ab scannen und sich neue Opfer in dem Netzwerk suchen
und dann natürlich auch bei einer aktiven Verbindung von einem PC auf einen anderen übersetzen (Infektion) können.

Es ist daher auch immer ratsam möglichst alle im Netzwerk befindlichen Geräte mit einem Antivirus auszustatten.
UTM oder Firewall und STM (transparenter Proxy) dahinter, Server, NAS, SAN, DAS, File Server, Klient PCs.

sollte die Gefahr nach meinem Verständnis gleich null sein.
Es kommt eben darauf an was das für ein Virus ist, wenn es sich um einen Wurm handelt kann er sogar das ganze
Netzwerk infizieren.

Gruß
Dobby