Главная

Thursday, 15 September 2022

Блокируем SCCM Remote Control.

Всем привет.

Применение SCCM Remote Control в работе службы технической поддержки имеет свои плюсы. Главным преимуществом перед тем же RDP-соединеием является возможность подосединиться удаленно в сеанс пользователя и наглядно лицезреть и решать проблему последнего.

Однако, как оказалось, в этом же и его опасность для пользователя. Ибо SCCM Remote Control не требует подтверждения на подсоединение, т.е. спецалист ТП может это сделать в самый "неудобный" момент либо же в момент когда пользователь зевнул и отошел на кофе от своего пк не заблокировав рабочий стол.

В моей ситуации я использую свой ПК для административных задач в нашем домене и считаю что такой вариант со стороны ТП к моему ПК просто недопустим даже случайно. Так как на обоснование подобных опасений к службе инфобеза заняло бы много времени и красивой переписки, то я решил обезопасить себя сам.

Первое - как мы знаем удаленный помошник SCCM Remote Control использует порты:

Console SCCM -> Client tcp 2701,3389 udp 3389

Поскольку 3389-й порт нужен для RDP его мы блокировать не будем, а нацелимся на порт 2701.

Второе - править правила штатного фаерволла Windows я тоже не стал, ибо они часто попадают под политики того же инфобеза и мои локальные запреты дожили бы максимум до следующего gpupdate.

Поэтому был выбран старый добрый IPSec. Если вы подзабыли, то там все просто: запускаем secpol.msc, далее создаем новую политику, далее правило, в нем фильтр для пары IP-адрес источник/назначение, тоже самое для портов, и итожим это действием на наш фильтр "блокировать". В конце тут же не забываем политику "назначить", что является для нее аналогом "включить".


Вот и все. Теперь никто по SCCM Remote Control на мой ПК не зайдет.

Удачи.


3 comments:

  1. Или из командной строки в один клкик:
    netsh ipsec static Add policy name="Test-pol" description="Test01" activatedefaultrule=no

    netsh ipsec static Add filter filterlist="Test-filter" srcaddr=any dstaddr=me description="Test RDP" protocol=TCP mirrored=no srcport=0 dstport=2701

    netsh ipsec static Add filteraction name="Test-action" action=block

    netsh ipsec static Add rule name="Test-rule" policy="Test-pol" filterlist="Test-filter" filteraction="Test-action" conntype=lan

    netsh ipsec static Set policy name=Test-pol assign=yes

    ReplyDelete
  2. RC SCCM так то спокойно можно настроить чтобы требовало подтверждение при подключении. Попросите ваших админов его настроить нормально. Это делается в политиках клиента.

    ReplyDelete
  3. RC SCCM может и требовать approve от пользователя, но до логина пользователя конект проходит и без этого.

    ReplyDelete

А что вы думаете по этому поводу?