Применение SCCM Remote Control в работе службы технической поддержки имеет свои плюсы. Главным преимуществом перед тем же RDP-соединеием является возможность подосединиться удаленно в сеанс пользователя и наглядно лицезреть и решать проблему последнего.
Однако, как оказалось, в этом же и его опасность для пользователя. Ибо SCCM Remote Control не требует подтверждения на подсоединение, т.е. спецалист ТП может это сделать в самый "неудобный" момент либо же в момент когда пользователь зевнул и отошел на кофе от своего пк не заблокировав рабочий стол.
В моей ситуации я использую свой ПК для административных задач в нашем домене и считаю что такой вариант со стороны ТП к моему ПК просто недопустим даже случайно. Так как на обоснование подобных опасений к службе инфобеза заняло бы много времени и красивой переписки, то я решил обезопасить себя сам.
Первое - как мы знаем удаленный помошник SCCM Remote Control использует порты:
Console SCCM -> Client tcp 2701,3389 udp 3389
Поскольку 3389-й порт нужен для RDP его мы блокировать не будем, а нацелимся на порт 2701.
Второе - править правила штатного фаерволла Windows я тоже не стал, ибо они часто попадают под политики того же инфобеза и мои локальные запреты дожили бы максимум до следующего gpupdate.
Поэтому был выбран старый добрый IPSec. Если вы подзабыли, то там все просто: запускаем secpol.msc, далее создаем новую политику, далее правило, в нем фильтр для пары IP-адрес источник/назначение, тоже самое для портов, и итожим это действием на наш фильтр "блокировать". В конце тут же не забываем политику "назначить", что является для нее аналогом "включить".
Вот и все. Теперь никто по SCCM Remote Control на мой ПК не зайдет.
Удачи.
3 comments:
Или из командной строки в один клкик:
netsh ipsec static Add policy name="Test-pol" description="Test01" activatedefaultrule=no
netsh ipsec static Add filter filterlist="Test-filter" srcaddr=any dstaddr=me description="Test RDP" protocol=TCP mirrored=no srcport=0 dstport=2701
netsh ipsec static Add filteraction name="Test-action" action=block
netsh ipsec static Add rule name="Test-rule" policy="Test-pol" filterlist="Test-filter" filteraction="Test-action" conntype=lan
netsh ipsec static Set policy name=Test-pol assign=yes
RC SCCM так то спокойно можно настроить чтобы требовало подтверждение при подключении. Попросите ваших админов его настроить нормально. Это делается в политиках клиента.
RC SCCM может и требовать approve от пользователя, но до логина пользователя конект проходит и без этого.
Post a Comment
А что вы думаете по этому поводу?