Установка удалённо управляемой браузерной системы (ReCoBS) — это один из способов создания безопасной среды веб-сёрфинга для ваших пользователей, использующих Windows Server с бесшовным окном браузера RemoteApp.

Содержание:

  1. Недостатки ReCoBS
  2. Настройка безопасного веб-сёрфинга с помощью ReCoBS
  3. Повышенная безопасность ReCoBS
  4. Заключение

На протяжении последних десятилетий разработчики программного обеспечения придерживаются мнения, что клиентские машины постоянно находятся в сети. Пользователи находятся в сети дома и на работе — возможность искать и обмениваться информацией 24 часа в сутки 7 дней в неделю воспринимается как должное. Тот факт, что любое подключение к интернету сопряжено с определёнными рисками, обычно не вызывает беспокойства, поскольку в современном мире, похоже, нет другой альтернативы.

Я работаю в компании, которая всегда требовала отключать компьютеры от интернета по соображениям безопасности. Как можно догадаться, как минимум просмотр веб-страниц всё же должен быть возможен.

Решение заключается в работе с Windows Server со службами удалённых рабочих столов, которым разрешён доступ в интернет. Пользователи могут подключаться к нему и просматривать веб-страницы оттуда, так что они видят только графический вывод браузера в рамках удалённого сеанса, оставляя свою собственную машину отключённой от публичного интернета.

Эта концепция проста, но малоизвестна. Она называется удалённо управляемой браузерной системой (ReCoBS). Наберите в Google термин ReCoBS, и вы обнаружите, что он был описан федеральным агентством по информационной безопасности (BSI) ещё в 2006 году и, вероятно, впервые возник в Германии. Наша компания (прим. переводчика — компания автора оригинального материала) использует его уже около 20 лет, начиная с Linux-машины в качестве браузерной системы. Со временем мы перешли на Windows Server и используем бесшовное окно браузера, оно же просмотр через RemoteApp.

Концепция, которую я описываю, подойдёт не каждому, поэтому я начну с определения того, кому стоит её рассматривать.

Недостатки ReCoBS


Во-первых, представьте, что вы просто отключили интернет на конечных компьютерах ваших пользователей. Электронная почта будет продолжать поступать и отправляться до тех пор, пока вы используете местный почтовый сервер, на котором всё ещё есть интернет. Во-вторых, то же самое будет относиться и ко всем интернет-сервисам, которые передаются через локальный сервер.

Но как быть с приложениями, которым необходим доступ в интернет для доступа к удалённым службам в облаке? Сюда относятся и облачные хранилища в интернете, и подключение к серверам лицензий для программного обеспечения. Приложения отныне необходимо будет исправлять и обновлять с помощью сервера обновлений в локальной сети, поскольку эти приложения больше не смогут получать обновления из интернета. Кроме того, решения для удалённого управления, такие как Team Viewer, которые вы, возможно, используете для получения помощи по продукту от службы поддержки производителя, больше нельзя будет использовать на ваших конечных точках, по крайней мере, напрямую.

Работа с ReCoBS является решением для вашей корпоративной сети только в том случае, если эти ограничения не оказывают негативного влияния на общую продуктивность вашей рабочей среды.

Настройка безопасного веб-сёрфинга с помощью ReCoBS


Для создания безопасного веб-сёрфинга с использованием среды ReCoBS необходим сервер Windows Server с удалённым узлом сеанса удалённого рабочего стола (RD Session Host). Я рекомендую работать с Windows Server 2022. Конечно, вам также понадобятся клиентские лицензии удалённого рабочего стола (Remote Desktop CALs).

Роль Remote Desktop Server можно установить двумя разными способами: на основе сеанса или на основе виртуальной машины. Последний способ более безопасен, но требует корпоративного лицензирования Windows по программе обслуживания (software assurance). Если у вас нет корпоративных лицензий, придётся использовать сеансовый способ. В этой статье я подробнее рассмотрю вариант на основе сеансов.

Сервер может быть физическим или виртуальным и должен быть достаточно мощным, поскольку просмотр веб-страниц потребляет значительное количество ресурсов. Чтобы дать вам представление, наше решение (основанное на сеансах) иногда используется 40 пользователями одновременно, поэтому нам нужно 12 ядер процессора и 32 ГБ оперативной памяти. Этого может быть недостаточно для продвинутых пользователей, которые держат открытыми множество вкладок и регулярно просматривают видеоруководства в интернете. Давайте примерно предположим, что для обычного пользователя нам нужно предоставить 1 ГБ оперативной памяти на пользователя и как минимум одно ядро ЦП на каждые три пользователя.

Ваш сервер может быть подключён к домену Active Directory, поэтому вы можете использовать GPO для централизованного управления сервером. Однако, если вы используете RDP, единый вход с использованием доменных учётных записей представляет собой серьёзный риск для безопасности. Если у вас есть машина на основе сеанса, то значит, что все пользователи используют одну и ту же систему. Если эта система скомпрометирована, все учётные записи подвергаются риску стать мишенью для Mimikatz и подобных атак. Поэтому для обеспечения максимальной безопасности я рекомендую не работать с доменными учётными записями, а использовать локальные учётные записи сервера.

Если вы настроите систему таким образом, то у неё будет только один недостаток: лицензирование RDS CAL. Microsoft разрешает использовать RDS CAL только для пользователей домена. Использование локальных пользователей означает, что вам придётся покупать CAL для устройств. Если в вашей среде устройств больше, чем пользователей, это может означать, что ваши расходы в этой сфере немного возрастут.

Остальная часть установки проста: установите ваш любимый браузер на сервер (в этой статье я просто предположу, что вы будете использовать встроенный Microsoft Edge 64 bit) и разверните его как RemoteApp.

RemoteApp и Desktop Connection в браузере Edge

Теперь, когда пользователи перейдут на страницу https://yourTS.yourdom/rdweb с помощью (локального) браузера Edge и нажмут на опубликованный значок (удалённого) браузера Edge, им будет предоставлен файл RDP, который они могут сохранить на своём рабочем столе. Затем они могут подключиться к удалённому сеансу и сохранить учётные данные своего личного локального пользователя, после чего откроется удалённый браузер. Он работает и выглядит точно так же, как локальный браузер, но ему не требуется локальное онлайн-соединение на конечной точке. И производительность хорошая, вы можете даже смотреть HD-видео без каких-либо задержек и без необходимости покупать специальные графические адаптеры для сервера.

Повышенная безопасность ReCoBS


Вы не только сделали свои конечные машины более безопасными, отказавшись от локального доступа в интернет, но и повысили безопасность самого веб-сёрфинга.

Наличие выделенного сервера для просмотра позволяет администратору сервера сократить функциональность этого сервера до «только просмотр». Это попросту означает, что администратор сможет без проблем использовать правила белого списка приложений (AppLocker). Вы разрешаете только выполнение браузера, а всё остальное остаётся под запретом. Эта защитная мера, кстати, уже встроена в систему.

Белые списки приложений намного превосходят безопасность, обеспечиваемую антивирусными продуктами, поскольку не требуют никаких определений или анализа поведения. Все drive-by вирусы в какой-то момент попытаются запустить вредоносный процесс, который просто не будет запущен.

Кроме того, представьте, как легко можно изолировать этот сервер с помощью брандмауэра. Входящий сервер должен быть доступен только по RDP, а исходящий сервер должен иметь доступ только к вашему прокси-серверу или маршрутизатору. Таким образом вы можете изолировать сервер от всех ценных данных компании.

Так как RemoteApp по умолчанию позволяет перенаправлять локальные диски на сервер, это, конечно же, будет необходимо отключить. На скриншоте ниже видно, как именно это сделать через опции сбора сеансов (Session Collection):

Свойства QuickSessionCollection — Отключить перенаправление дисков (Drives)

Даже если злоумышленники обойдут AppLocker, им нечего будет атаковать. Рабочие данные не сохраняются локально, и они смогут увидеть только локальные учётные записи. Следовательно, даже учётные данные домена не могут быть перехвачены.

Но, увы, этот идеальный сценарий основан на предположении, что браузер нужен только для просмотра, но не для загрузки. Как только вы захотите перенести свои загрузки с сервера на вашу персональную систему, вам придётся построить некий мост. К счастью, это легко сделать, разрешив SMB-трафик и предоставив общий доступ к папке загрузок сервера в режиме только для чтения. Это означает, что клиенты смогут читать загрузки, но не смогут ничего записать в эту папку, даже случайно; это означает, что утечка данных будет довольно эффективно предотвращена.

Заключение


Как я показал в данной статье, ReCoBS — это эффективный способ развёртывания безопасного просмотра веб-страниц и минимизации поверхности для атаки конечных серверов при минимальных затратах и усилиях. Тестовая установка заняла у меня менее часа, и она не требует никаких лицензий. Если вашим конечным точкам нужен интернет только для просмотра веб-страниц, вам стоит попробовать это решение.


НЛО прилетело и оставило здесь промокод для читателей нашего блога:

15% на все тарифы VDS (кроме тарифа Прогрев) — HABRFIRSTVDS.

Комментарии (3)


  1. rezdm
    29.04.2022 21:55
    +1

    У нас подобная пепяка установлена (Цитриксом). По факту -- просто ремоут окно броузера, куда-то вроде в цитрикс зене. Оно для броузинга -- ну нормуль, но есть неудобства:

    • Запускается дико долго

    • Нужно держать что-то, что будет определять, какой броузер открывать (интранет или интернет) при нажатии по ссылке в письме

    • Оно всё же медленно (то есть, если надо работать с медиаконтентом -- так себе)

    • (В случае решения у нас) переключение раскладок клавиатуры -- боль, тоска и унижение

    • Надо пробрасывать принтеры

    • Я видел (сам же и разрешил) грабли с хай-дпи мониторами

    • Иногда бывает нужно что-то закопипастить из локального документа в своё собственное письмо, ну или отсканировать файл и передать его себе -- с этим плохо

    • И всё равно некоторым приложениям надо иметь доступ напрямую -- соотв. надо держать инфраструктуру для этого

    • Если разраб -- всё несколько усложняется тем, что держать открытым надо больше, чем для среднего пользователя

    Ещё есть решения в друхе Bromium, HP Enterprise Browser -- вот это выглядит получше. Это локальный броузер, но он работает в своей песочнице. Насколько из неё можно вылезти -- это вопрос.


  1. connected201
    30.04.2022 09:47

    Хорошая актуальная альтернатива:

    https://github.com/kimmknight/rdpx