Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
編者:Chohan Wu
圖一、 Windows 8 遠端桌面連線 (來源)
本篇文章主要介紹如何安全的使用 Windows 遠端桌面連線功能,各版本的 Windows 用戶皆可參考本篇文章來設定。若有更新的資安應用,我們會在第一時間跟大家分享。
本文作者為黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。
去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖!
有了這次經驗,我就對遠端桌面連線作業更加小心,沒事千萬不要 重新導向 本機裝置和資源到遠端,也就是不要掛載本機磁碟機到遠端的意思,請參考以下設定畫面:
這個功能雖然好用,但是卻很危險,要是遠端主機中毒了,就很有可能直接從遠端電腦直接侵門踏戶到你的電腦來。反之亦然,如果用戶端中毒了,一樣很容易會危害到遠端的伺服器主機,因此站在資安的立場上來說,這一點不得不防範!
以下是 Windows Server 2008 的 本機群組原則編輯器 設定方式:
[開始] > [執行] > 輸入 gpedit.msc 後按下確定
展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [遠端桌面服務] > [遠端桌面工作階段主機] > [裝置及資源重新導向]
最重要的是要將「不允許磁碟重新導向」要設定為「啟用」。至於「剪貼簿」有時候還是蠻方便的,如果你要關閉的話,也可以將他修改為「啟用」即可限制剪貼簿的重新導向。
最後 [開始] > [執行] > 輸入 gpupdate 後按下確定即可完成套用,不過現有已登入的帳戶可能需要先登出再登入設定才能生效。
當然,如果能透過 AD 的群組原則來設定網域內的電腦,那是再方便不過的了。
相關連結
作者:黃保翕 (Will保哥) / 多奇數位創意有限公司 技術總監
部落格: https://blog.miniasp.com
粉絲團: https://www.facebook.com/will.fans