Защита от прямого подключения к виртуальному рабочему столу минуя протокол AccentOS VDI

Для гарантии безопасности виртуального рабочего стола от подключения стороннего пользователя к виртуальному рабочему столу реализован ряд мер безопасности, исключающий подобные сценарии.

Теоретически сторонний пользователь может попытаться проэксплуатировать один из следующих сценариев:

  • Подключение стороннего пользователя к виртуальному рабочему столу с произвольного ПК.

Данный сценарий невозможен, особенно в случае использования протокола Kerberos и ввода АРМ пользователей в домен.

  1. Уже при попытке подключения ПК в домен будет получен отказ на подключение пользователя.
  2. Если этот барьер удастся преодолеть, то на следующем этапе доступ к гостевому рабочему столу будет возможен только с IP адреса того АРМ, который прошел подключение по протоколу VDI.
  3. Если и это ограничение удастся преодолеть, то для подключения к гостевому рабочему столу потребуется запустить скрипт подключения, который может быть запущен только после его проверки дайджеста целостности. Поскольку у стороннего пользователя нет ключа для формирования аналогичного дайджеста целостности, он не сможет выполнить запуск ПО для доступа к виртуальному рабочему столу.

Дополнительными средствами можно ограничить количество одновременных сеансов к виртуальному рабочему столу.

  • Подключение непосредственно к виртуальному рабочему столу непосредственно с уже авторизованного АРМ пользователя (пользователь уже вошел в систему, но не осуществляет контроль за АРМ).

1. Данный сценарий невозможен, поскольку сторонний пользователь должен знать пароль от заставки операционной системы.

2. В случае подключения тут же будет отключено соединение подлинного пользователя и он может оповестить об этом администратора

  • Подключение стороннего пользователя непосредственно к виртуальному

рабочему столу со стороннего введенного в домен АРМ, с заранее похищенным login/password или тикет/IP-адрес (подлинный пользователь уже вошел в систему, но не осуществляет контроль за своим АРМ).

1. В случае подключения с тикетом со стороннего введенного в домен АРМ система не даст ему авторизоваться как пользователю, выдав ошибку подключения. При прерывании соединения для подмены IP адреса рабочий стол будет отключен и протокол Kerberos потребует повторной авторизации

2. В случае подключения с login/password система может заблокировать подключение при настройке количества одновременных сеансов

3. В случае попытки подключения к виртуальному рабочему столу будет дан отказ, т.к. у стороннего АРМ будет другой IP адрес.

  • Подключение стороннего пользователя c бесконтрольно подключенного АРМ,

когда пользователь перешел на другой АРМ и подключился с него к виртуальному рабочему столу.

  1. Как только пользователь проведет подключение с нового АРМ, соединение со старым АРМ будет отключено
  • Прямое подключение к виртуальному рабочему местe c другого виртуального рабочего места.

1. В случае подключения с виртуального рабочего стола, его IP адрес не будет совпадать с IP адресом АРМ пользователя, поэтому в подключении будет отказано.