16.04.2016 10:18
alfatapok 16 2600 Источник
Столкнулся с ситуацией, когда при работе в RemoteApp в ОС Windows 7 Professional x64 сохраняются введенные учетные данные, даже если в настройках приложения «Подключение к удаленному рабочему столу» не активирован параметр «Разрешить мне сохранять учетные данные». В связи с этим возникает два вопроса:
  1. данная ситуация является результатом уязвимости ОС или неправильных настроек безопасности;
  2. если это уязвимость, то есть ли патч/обновление, которые ее устраняют, или если это проблема в настройках, например групповой политики, то какие параметры необходимо поправить.

ПК работает в рабочей группе, не в домене, настройки в групповой политике не менялись, версия протокола RDP 7.1, версия оболочки 6.1.7601. Ниже представлена последовательность действий которые приводят к данной ситуации.

  1. В настройках удаленного рабочего стола проверяем, что бы не стояла галочка возле параметра “Разрешить мне сохранять учетные данные”.
  2. Запускаем приложение “RemoteApp”, появляется диалоговое окно “Безопасность Windows”.
  3. Вводим имя пользователя и пароль, нажимаем “ОК”, запускается приложение “RemoteApp”.
  4. При повторном запуске приложения, учетные данные не запрашиваются.
  5. Для того что бы сбросить введенные учетные данные при подключении к “RemoteApp” необходимо открыть приложение “Удаленный рабочий стол” и нажать кнопку “Подключить”, никакие другие манипуляции в интерфейсе программы “Удаленный рабочий стол” не позволяют сбросить учетные данные введенные при запуске “RemoteApp”.
  6. Запускаем приложение “RemoteApp”, и снова появляется окно “Безопасность Windows”.

Таким образом, при определенных условиях есть вероятность обхода системы безопасности ОС “Windows 7 Professional” при работе с “RemoteApp”.

Комментарии (16)


  1. MagicGTS
    16.04.2016 14:38
    #8856473
    +2

    RTFM товарищи. mstsc в режиме RemoteApp может висеть фоном некоторое время (зависит от политик как клиента, так и сервера), обычно 5 минут. Именно поэтому нет запроса логина и пароля.


  1. alfatapok
    16.04.2016 14:55
    #8856489

    Товарищи, у меня не отображаются комментарии WTF?


    1. MagicGTS
      16.04.2016 14:56
      #8856493

      Кажись камент из приложения «поломался», сейчас написал через сайт.


      1. alfatapok
        16.04.2016 14:59
        #8856497

        Но при подключении к удаленному рабочему столу, запрос учетных данных происходит, хотя за удаленный рабочий стол отвечает тот же mstsc


        1. sonor
          26.04.2016 13:49
          #8870247

          Разные типы сессий, можно одновременно иметь активные сессии на «Удаленный рабочий стол» и RemoteApp.
          В том числе «зависшую» RA сессию можно самостоятельно завершить, подключившись через «Удаленный рабочий стол» и завершив в диспетчере свою вторую сессию, если конечно не используется брокер с запретом прямых подключений.


  1. MagicGTS
    16.04.2016 14:55
    #8856491

    RTFM товарищи! Mstsc в режиме RemoteApp, после закрытия приложения, оставляет сеанс открытым еще некоторое время (5 минут, зависит от политик на стороне сервера и клиента). Поэтому, повторное открытие приложения в этот промежуток времени не приводит к вводу логина и пароля.


    1. alfatapok
      16.04.2016 14:57
      #8856495

      Но при подключении к удаленному рабочему столу, запрос учетных данных происходит, хотя за удаленный рабочий стол отвечает тот же mstsc


      1. MagicGTS
        16.04.2016 15:01
        #8856501

        Это такая фича. При полном раб. столе, ты запускаешь приложения, видя удаленный раб. стол сервера. А в режиме RemoteApp, это от тебя прячут (типа для удобства), и запуск тогоже файла подключения, ищет уже открытый сеанс.


        1. alfatapok
          16.04.2016 15:07
          #8856517

          и запуск тогоже файла подключения, ищет уже открытый сеанс.
          имеется ввиду mstsc?


          1. MagicGTS
            16.04.2016 15:10
            #8856525
            +1

            Да, это можно считать как постоянно открытый обычный сеанс RDP, твой раб. стол = удаленному (условно конечно), и если ты закрыл приложение в полном сеансе, то сеанс не закрывается, то и в RemoteApp также, только оформления подключения не видно.


            1. alfatapok
              16.04.2016 15:44
              #8856569

              Мужик, спс за разъяснение!


              1. maximw
                16.04.2016 22:25
                #8856733
                +1

                Не забудьте отметить это решением, пожалуйста.
                Хотя, блин, это ж не Тостер.


      1. LoadRunner
        18.04.2016 12:39
        #8857731

        Не тот же, запускается отдельный процесс mstsc, а на сервере запускается параллельный сеанс под тем же пользователем. Строго говоря, сеанс RDP != сеансу RemoteApp (запрет\разрешение в политике на разные параллельные сеансы одного пользователя тут никаким боком не подходит) и под каждое приложение RemoteApp свой сеанс создаётся.


        1. alfatapok
          18.04.2016 13:35
          #8857787

          Тогда почему не происходит запроса логина и пароля при повторном подключении к RemoteApp?


          1. LoadRunner
            18.04.2016 13:49
            #8857801

            Вам же уже ответили — при закрытии окна RemoteApp, закрывается только GUI, сам процесс ещё работает. Можете через Диспетчер задач проверить.
            И запустить RDP туда же — откроется новый процесс mstsc.exe, а на сервере — новая сессия. Соответственно, и запрос учётных данных.


  1. alfatapok
    16.04.2016 15:07
    #8856513

    и запуск тогоже файла подключения, ищет уже открытый сеанс.
    имеется ввиду mstsc?