W jaki sposób Microsoft Remote Desktop Manager szyfruje hasła?

9

Podczas przechowywania haseł połączenia MS RDP umożliwia przechowywanie hasła w postaci zwykłego tekstu lub szyfrowanie.

Wygląda wynikowy węzeł w pliku 

<logonCredentials inherit="None">
   <userName>USER</userName>
   <domain>DOMAIN</domain>
   <password storeAsClearText="False">AQAdERjHoAwE/Cl+sBAAAA(...)zh</password>
</logonCredentials>

Zastanawiam się, jak bezpieczne jest to szyfrowanie i czy plik może być udostępniany współpracownikom bez możliwości odgadnięcia hasła.

Zgaduję, że „niewiele”, ale nie mogłem znaleźć dokładnie, w jaki sposób generowany jest ten zaszyfrowany łańcuch.

Dowolny pomysł? Dzięki!

security  remote-desktop  encryption 
Luk
źródło
1
Zdefiniuj „łatwo zgadnij”, domyślam się, że byłby specyficzny dla maszyny, byłby to najbezpieczniejszy sposób na zrobienie czegoś takiego. Oczywiście, biorąc pod uwagę wystarczającą ilość czasu, można brutalnie użyć praktycznie wszystkiego, zależy to od tego, jak dobre jest hasło i oczywiście, co dokładnie jest używane. Przeprowadziłem wyszukiwanie w Google .... ** Wydaje się, że ogólną radą jest szyfrowanie samego pliku konfiguracyjnego. ** Sugeruję, aby to zrobić.
Ramhound
Jaki jest sens ochrony hasła, jeśli użytkownicy i tak mogą się połączyć?
Shadok
@Ramhound Chciałbym, abyś przesłał swój komentarz jako odpowiedź, chciałbym wyrazić zgodę.
Łuk

Odpowiedzi:

7

Nie wiem, w jaki sposób robi to RemoteDesktopManager, ale zakładam, że byłby taki sam, jak sposób przechowywania go w pliku .RDP .

CryptProtectData, który (z ustawieniami używanymi dla RDP) pozwala tylko na dekrpytację ciągu na tym samym komputerze, co ten, który go zaszyfrował, ponieważ używa unikalnego identyfikatora instalacji systemu Windows w ramach procesów szyfrowania ( flaga CRYPTPROTECT_LOCAL_MACHINE). Tak, osoba atakująca może odszyfrować Twoje hasło, ale może to zrobić tylko na komputerze, na którym zostało zapisane hasło, nie może wykonać ataku „offline”.

Uwaga: to wszystko dotyczy .RDPplików. Nie wiem, czy Menedżer pulpitu zdalnego robi to samo.

Scott Chamberlain
źródło
1
po zabawie z plikiem wydaje się, że szyfrowanie zależy od komputera. Pewnie masz rację (a to oznacza także, że pliku nie można udostępnić, jeśli hasła nie są jawnym tekstem)
Luk
1

W rzeczywistości RDP z RDPMan wyróżnia tylko sposób przechowywania skrótu: najpierw przechowuje go w notacji szesnastkowej, a drugi wykonuje kodowanie Base64. Po dekodowaniu Base64 za pomocą narzędzia RDP Password Hasher uzyskaj oryginalne hasło. Ale można go uruchomić tylko w imieniu użytkownika, który utworzył hasło.

Aleksiej Kramnyuk
źródło
-2

MS RDP jest podatny na ataki typu „człowiek w środku”, a także robaki Worms. Dlatego w celu złagodzenia tego można dodać szyfrowanie warstwy transportowej.

Oto lista wszystkich komercyjnych programów RDP. Chociaż szyfrowanie jest pokazane jako zastrzeżone i nie jest wyraźnie wymienione.

Przeczytaj tutaj, aby uzyskać dalsze wyjaśnienia http://blogs.msdn.com/b/rds/archive/2008/07/21/configuring-terminal-servers-for-server-authentication-to-prevent-man-in-the-middle -attacks.aspx

Przeczytaj tutaj, aby uzyskać informacje na temat aktualizacji zabezpieczeń serwerów MS, które dotyczą szyfrowania i uwierzytelniania RDP w warstwie transportowej i aplikacji. http://technet.microsoft.com/en-us/library/dd582586.aspx

i więcej informacji: http://social.technet.microsoft.com/forums/en-US/winserverTS/thread/8b9a13a4-6d0a-496d-b331-b1fbe9ebcb28/ Zauważ, że skrypty .ica do inicjalizacji RDP Citrix zawierają wpis do usunięcia plik skryptu .ica, który zawiera domenę hosta po zalogowaniu. Jest to dodatkowa funkcja bezpieczeństwa. „UsuńICAFile = tak”

Pliki skryptów .rdp mają podobny format do skryptów ica, ale mogą wykluczać ten wiersz. Być może „RemoveRDPile = yes” może działać?

Ludzie czasami zapisują ten skrypt, aby ułatwić logowanie, ale zawartość może ujawniać zbyt wiele na temat skrótu użytkownika i nazwy domeny, aby umożliwić odgadnięcie hasła. Często 3 blokady strajku zapobiegają temu, więc bezpieczeństwo jest zwiększone.

Tony Stewart Sunnyskyguy EE75
źródło
To nie do końca prawda. Każde niewłaściwie zabezpieczone połączenie może paść ofiarą ataku MITM.
Burgi,
Ten ostatni raport unieważnia swoją opinię i wspiera kopalni od 2012 plugins.openvas.org/nasl.php?oid=902658 popraw go.
Tony Stewart Sunnyskyguy EE75
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.