4
Internet Explorer für Terminal Server einschränken
Hallo zusammen.
Im Rahmen eines Security Projektes soll ein Terminal Server (MS TS 2008 oder bald RemoteApp 2012 R2) als Sprungserver dienen. Das ist so weit nicht unüblich. Es missfällt mir aber, daß ich im Internet Explorer dann auf das lokale Verzeichnis des Servers zugreifen kann. Die Rechte sind zwar eingeschränkt aber ich würde es gerne trotzdem unterbinden. Selbst im Kiios-Mode (iexplore.exe -k) kann ich mit STRG+O auf C: etc zugreifen.
Da wir im Ramen des Projektes auch mit iMacro etc. arbeiten um Logins automatisiert durchzuführen, muss ich nach Möglichkeit beim IE bleiben und das irgendwie hinkriegen. Vielleicht kennt ja jemand da den notwendigen Trick um das in der Registry oder per GPO zu verbessern. Die Alternative ist daß wir im Visual Studio nen ganz vereinfachten Browser stricken dem wir irgednwie den iMacro Support beibringen aber das ist ein Aufwand dich nicht nicht betreiben möchte.
Hat jemand Erfahrungen wie man den IE entsprechend einschränken kann? Wäre super.
Im Rahmen eines Security Projektes soll ein Terminal Server (MS TS 2008 oder bald RemoteApp 2012 R2) als Sprungserver dienen. Das ist so weit nicht unüblich. Es missfällt mir aber, daß ich im Internet Explorer dann auf das lokale Verzeichnis des Servers zugreifen kann. Die Rechte sind zwar eingeschränkt aber ich würde es gerne trotzdem unterbinden. Selbst im Kiios-Mode (iexplore.exe -k) kann ich mit STRG+O auf C: etc zugreifen.
Da wir im Ramen des Projektes auch mit iMacro etc. arbeiten um Logins automatisiert durchzuführen, muss ich nach Möglichkeit beim IE bleiben und das irgendwie hinkriegen. Vielleicht kennt ja jemand da den notwendigen Trick um das in der Registry oder per GPO zu verbessern. Die Alternative ist daß wir im Visual Studio nen ganz vereinfachten Browser stricken dem wir irgednwie den iMacro Support beibringen aber das ist ein Aufwand dich nicht nicht betreiben möchte.
Hat jemand Erfahrungen wie man den IE entsprechend einschränken kann? Wäre super.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312464
Url: https://administrator.de/contentid/312464
Ausgedruckt am: 08.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Hi.
Erlaube die Frage: warum? Was hilft es der Sicherheit? Wenn Du das Lesen von Daten oder Starten von anderen Anwendungen unterbinden willst, dann benutze die NTFS ACLs dafür.
Erlaube die Frage: warum? Was hilft es der Sicherheit? Wenn Du das Lesen von Daten oder Starten von anderen Anwendungen unterbinden willst, dann benutze die NTFS ACLs dafür.
Das Problem ist, daß es sich hier nicht um einen 0815 Terminal Server handelt out of the box sondern dieser nur unter der Haube werkelt. Die User werden dynamisch erzeugt und wieder weggeschmissen.
Generell hab ich mit dem FileOpen Dialog die Möglichkeit, Daten von A nach B zu kopieren. Das soll zum Einen unterbunden werden. Zum Anderen kann ich so auch eine andere Website aufrufen. Auch das soll so unterbunden werden.
Der Prozess sieht so aus:
User meldet sich an einem System an und wählt einen Account aus den er nutzten muß. Er klickt auf Connect und über den TS kommt ein Internet Explorer hoch. Er wird direkt auf die Seite geleitet, Benutzername und Kennwort werden ausgefüllt ohne daß der User die Daten zu sehen bekommt.
Nun kann der User aber über die FileOpen Funktion auch versuchen, andere Ziele zu erreichen, EXE Files von einem zentralen Share auf den TS kopieren und versuchen auszuführen (AppLocker sollte es unterbinden) etc. So der grobe Aufbau.
Da ich nicht auf der ganzen Platte unterbinden kann daß der User irgendwo hin schreibt, soll der Dialog weg. Evtl kann man auch den Shortkut STRG+O und STRG-S manipulieren und umleiten?
PS: Im Rahmen von Penetration Tests konnten wir über oben geschildertes Szenario den Terminal Server stark negativ beeinflussen. Da der Betrieb so weit als möglich gesichert werden soll, suchen wir nun eine Lösung.
Generell hab ich mit dem FileOpen Dialog die Möglichkeit, Daten von A nach B zu kopieren. Das soll zum Einen unterbunden werden. Zum Anderen kann ich so auch eine andere Website aufrufen. Auch das soll so unterbunden werden.
Der Prozess sieht so aus:
User meldet sich an einem System an und wählt einen Account aus den er nutzten muß. Er klickt auf Connect und über den TS kommt ein Internet Explorer hoch. Er wird direkt auf die Seite geleitet, Benutzername und Kennwort werden ausgefüllt ohne daß der User die Daten zu sehen bekommt.
Nun kann der User aber über die FileOpen Funktion auch versuchen, andere Ziele zu erreichen, EXE Files von einem zentralen Share auf den TS kopieren und versuchen auszuführen (AppLocker sollte es unterbinden) etc. So der grobe Aufbau.
Da ich nicht auf der ganzen Platte unterbinden kann daß der User irgendwo hin schreibt, soll der Dialog weg. Evtl kann man auch den Shortkut STRG+O und STRG-S manipulieren und umleiten?
PS: Im Rahmen von Penetration Tests konnten wir über oben geschildertes Szenario den Terminal Server stark negativ beeinflussen. Da der Betrieb so weit als möglich gesichert werden soll, suchen wir nun eine Lösung.
1
Hast Du dich schon mit assigned access beschäftigt? https://blogs.technet.microsoft.com/askperf/2013/10/28/windows-8-1-windo ... ist schnell eingerichtet und lässt kein Ausbrechen zu, kein STRG-O usw. Ob man dann jedoch noch die Adresszeile ändern kann und auf andere Seiten surfen kann, weiß ich nicht. Jedenfalls kannst Du auch über die Adresszeile nicht das lokale Dateisystem aufrufen.
1
Ich schau mir das gleich mal an. Ich geb Feedback ob das passt. Merci.
