:fill(white):strip_exif()/i/1292846523.jpeg?f=thumbmini)
:strip_icc():strip_exif()/u/961/crop687fa3fc8a3e4_cropped.jpg?f=community)
Voor ik dit onderwerp tikte heb ik gezocht op "rdp sessie" en "rdp sessie overnemen" in dit subforum, zonder resultaat. Verder heb ik even door technet gebladerd, maar ook daar kon ik niet snel het exacte antwoord vinden.
Op mijn werk is er een omgeving van ThinClients welke via RDP verbinden met een Terminal Server. Dit is in Win2k8 R2 omgeving en op zich werkt het allemaal prima.
Laatst echter kwam ik tot de ontdekking dat het mogelijk is om iemand anders uit zijn sessie te duwen. (N.B. mits je het wachtwoord van de andere account hebt)
Ik heb hiervoor toen een intern ticket aangemaakt met de opmerking dat mij dat een ongewenste feature lijkt. Van de externe partij die het netwerkbeheer verzorgt, kreeg ik het antwoord dat het een gecompliceerd issue was om op te lossen en wel om de volgende reden:
Mijn argumentering om er toch een ticket voor aan te maken was, dat het mogelijk is voor de mensen die met een niet persoonlijke account inloggen maar met een algemeen account, om elkaar van het netwerk te duwen, de sessie over te nemen en zo verder te gaan waar de vorige fysieke persoon die het account gebruikte gebleven was. Als hier dus (privé) webmail o.i.d. open staat, of noem maar een toepassing waarvoor persoonlijke gegevens gebruikt worden, kan deze informatie door iemand anders gezien/gewijzigd/etc. worden. Echter, als we het breder trekken, en iemand van buitenaf weet een login te bemachtigen, dan is er al een meer zorgelijke situatie. Vooral als het een login betreft van iemand die wel bij alle netwerk-bronnen kan. Op een aantal netwerk-bronnen staat wel degelijk bedrijf kritische informatie.
Toch geboeid door deze constructie van hoe RDP blijkbaar werkt, heb ik de volgende vragen:
Het enige dat ik zelf tot nu toe heb kunnen bedenken is dat er actief geïnvesteerd kan worden in kennis over te brengen naar alle medewerkers over hoe correct hun sessies af te sluiten e.d. Rest alleen nog de enkele sessie die gewoon vast loopt waarna er een lock-out op treedt als de policy dan alsnog wordt om multiple login niet mogelijk te maken.
Terwijl ik dit typ herinner ik me een mogelijke oplossing welke ik al eerder eens heb voorgedragen, en dat is dat mensen met tokens gaan werken om aan te melden. Dit plan heeft het echter niet gehaald, aangezien ik niet voor De Nederlandsche Bank o.i.d. werk. Eigenlijk is de hele bedrijfscultuur zeer open en transparant, en alleen ik verzin dit soort (tegen het paranoïde aan) potentiële dreigingen/maatregelen. Overigens is het wel zo dat we o.a. persoonsgegevens verwerken, dus dat het niet een compleet onzinnig vraagstuk is.
Op mijn werk is er een omgeving van ThinClients welke via RDP verbinden met een Terminal Server. Dit is in Win2k8 R2 omgeving en op zich werkt het allemaal prima.
Laatst echter kwam ik tot de ontdekking dat het mogelijk is om iemand anders uit zijn sessie te duwen. (N.B. mits je het wachtwoord van de andere account hebt)
Ik heb hiervoor toen een intern ticket aangemaakt met de opmerking dat mij dat een ongewenste feature lijkt. Van de externe partij die het netwerkbeheer verzorgt, kreeg ik het antwoord dat het een gecompliceerd issue was om op te lossen en wel om de volgende reden:
- Een fors aantal gebruikers laat zijn sessie open en zet alleen de Thin-Client uit (Hiervoor is dan wel bedacht dat sessies na 2 uur vervallen)
- Er zijn mensen die van locatie binnen of buiten wisselen, en wanneer die mensen hun sessie niet goed afsluiten en vervolgens proberen in te loggen, zou dat niet mogelijk zijn wanneer het door mij gesignaleerde feature van RDP dichtgetimmerd wordt.
- Mensen die niet in hun account kunnen omdat de sessie nog open hangt zijn aangewezen op de externe netwerkbeheerders om hun sessie te laten beëindigen. De beheerders hebben echter wel wat beters te doen dan halve dagen te spenderen met het afschieten van verlaten sessies.
Mijn argumentering om er toch een ticket voor aan te maken was, dat het mogelijk is voor de mensen die met een niet persoonlijke account inloggen maar met een algemeen account, om elkaar van het netwerk te duwen, de sessie over te nemen en zo verder te gaan waar de vorige fysieke persoon die het account gebruikte gebleven was. Als hier dus (privé) webmail o.i.d. open staat, of noem maar een toepassing waarvoor persoonlijke gegevens gebruikt worden, kan deze informatie door iemand anders gezien/gewijzigd/etc. worden. Echter, als we het breder trekken, en iemand van buitenaf weet een login te bemachtigen, dan is er al een meer zorgelijke situatie. Vooral als het een login betreft van iemand die wel bij alle netwerk-bronnen kan. Op een aantal netwerk-bronnen staat wel degelijk bedrijf kritische informatie.
Toch geboeid door deze constructie van hoe RDP blijkbaar werkt, heb ik de volgende vragen:
- Hoe groot is het risico dat er misbruik van gemaakt kan en gaat worden?
- Is het mogelijk om op andere wijze RDP dicht te timmeren voor meerdere sessies van andere locaties zonder dat het lock-out probleem optreedt voor de medewerkers die wel legitiem ergens anders hun sessie weer oppikken?
Het enige dat ik zelf tot nu toe heb kunnen bedenken is dat er actief geïnvesteerd kan worden in kennis over te brengen naar alle medewerkers over hoe correct hun sessies af te sluiten e.d. Rest alleen nog de enkele sessie die gewoon vast loopt waarna er een lock-out op treedt als de policy dan alsnog wordt om multiple login niet mogelijk te maken.
Terwijl ik dit typ herinner ik me een mogelijke oplossing welke ik al eerder eens heb voorgedragen, en dat is dat mensen met tokens gaan werken om aan te melden. Dit plan heeft het echter niet gehaald, aangezien ik niet voor De Nederlandsche Bank o.i.d. werk. Eigenlijk is de hele bedrijfscultuur zeer open en transparant, en alleen ik verzin dit soort (tegen het paranoïde aan) potentiële dreigingen/maatregelen. Overigens is het wel zo dat we o.a. persoonsgegevens verwerken, dus dat het niet een compleet onzinnig vraagstuk is.
Het leven is als koffie: heel lekker, maar veel te duur en zo weer op.
:strip_icc():strip_exif()/u/32232/laupro60x60.jpg?f=community)
:strip_icc():strip_exif()/u/85308/mirko.jpg?f=community)
/u/10064/leuk_he.png?f=community)
(wat dacht je nou zelf, ...) :strip_icc():strip_exif()/u/180748/avatar%2520nieuw%252060x60.jpg?f=community){kind=avatar}
/u/97359/crop64803232ade4a_cropped.png?f=community)