去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年,結案後他們就自己管理主機,怎麼管到會中毒我不清楚(其實是被值入木馬),當時不疑有他的就透過遠端桌面程式(mstsc)登入他的主機,不過才剛連上沒多久,我的防毒軟體就不斷的發出警示說有檔案被發現病毒應立即處理,一開始還以為防毒軟體秀逗了,但不斷跳出警告後開始覺得不對勁,查了 3 分鐘之後確認是病毒是從遠端桌面的遠端寫入到我的硬碟,過程中我的硬碟已經被值入 70 多支木馬,實在恐怖!
有了這次經驗,我就對遠端桌面連線作業更加小心,沒事千萬不要重新導向本機裝置和資源到遠端,也就是不要掛載本機磁碟機到遠端的意思,請參考以下設定畫面:
這個功能雖然好用,但是卻很危險,要是遠端主機中毒了,就很有可能直接從遠端電腦直接侵門踏戶到你的電腦來。反之亦然,如果用戶端中毒了,一樣很容易會危害到遠端的伺服器主機,因此站在資安的立場上來說,這一點不得不防範!
以下是 Windows Server 2003 的 群組原則物件編輯器 設定方式:
[開始] > [執行] > 輸入 gpedit.msc 後按下確定
展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [終端機服務] > [用戶端或伺服器資料重新導向]
預設來說這裡的所有設定都會是「尚未設定」的狀態,你可以視情況將部分重新導向的能力關閉,最重要的就是「不允許磁碟重新導向」要設定為「已啟用」。至於「剪貼簿」有時候還是蠻方便的,如果你要關閉的話,也可以將他修改為「已啟用」即可限制剪貼簿的重新導向。
最後 [開始] > [執行] > 輸入 gpupdate 後按下確定即可完成套用,不過現有已登入的帳戶可能需要先登出再登入設定才能生效。
以下是 Windows Server 2008 的 本機群組原則編輯器 設定方式:
[開始] > [執行] > 輸入 gpedit.msc 後按下確定
展開至 [電腦設定] > [系統管理範本] > [Windows 元件] > [遠端桌面服務] > [遠端桌面工作階段主機] > [裝置及資源重新導向]
最重要的是要將「不允許磁碟重新導向」要設定為「啟用」。至於「剪貼簿」有時候還是蠻方便的,如果你要關閉的話,也可以將他修改為「啟用」即可限制剪貼簿的重新導向。
最後 [開始] > [執行] > 輸入 gpupdate 後按下確定即可完成套用,不過現有已登入的帳戶可能需要先登出再登入設定才能生效。
當然,如果能透過 AD 的群組原則來設定網域內的電腦,那是再方便不過的了。
相關連結