Комментарии 9
Спасибо за статью!
Но Вы, надеюсь, не сотрудник фирмы "Новое зрение" или "Зоркий сокол"?
Нет? Тогда почему картинки в таком разрешении?
0
Вариант 4. Запрет запуска приложений при помощи чёрных списков по названию исполняемых файлов не панацея, их можно обойти.
Достаточно скопировать powershell.exe из папки C:\Windows\System32\WindowsPowerShell\v1.0 в пользовательскую папку, изменить имя на отличное от powershell.exe, и возможность запуска появится.
какую такую папку?
в первую очередь блочится запуск любых исполняемых файлов из %userprofile% %temp%
0
Да всегда найдется какая-нибудь папка в которую есть доступ, но в список ограничений не попала. Более того, если это корпоративный комп, то всегда найдется скрипт оставленный какими-нибудь разработчиками ПО, который можно не только исполнить, но и дописать. Я не раз встречал такие скрипты выполняемые даже с правами администратора домена. Так что черные списки совсем даже не панацея.
+1
На сколько я понял в статье расписаны кейсы при условии, что RDP доступен из вне.
Ну и тогда наверное первое, что можно было бы порекомендовать (у кого реализована такая схема подключения) — это доступность rdp только после подключения к сети через vpn.
За статью спасибо!
Ну и тогда наверное первое, что можно было бы порекомендовать (у кого реализована такая схема подключения) — это доступность rdp только после подключения к сети через vpn.
За статью спасибо!
0
это кейсы работают (возможно, надо пробовать) когда RDP опубликован через Remote Desktop Gateway, в обычно пробросе RDP они точно не работают (злоумышленник будет серфить по своему локальному компу)
В любом случае рассматривается вариант когда у злоумышленника есть учетные данные пользователя и производится попытка эскалировать полномочия на удаленном компьютере.
В любом случае рассматривается вариант когда у злоумышленника есть учетные данные пользователя и производится попытка эскалировать полномочия на удаленном компьютере.
+1
Я наверное очень плохо поступаю прокинув RDP порт домашнего компа наружу?
Есть какие-то варианты усилить защиту не прибегая к VPN?
0
Сменить порт по умолчанию, установить и настроить на свой новый RDP порт cyberarms.net
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Remote Desktop глазами атакующего