Az alabbi problemara keresek megoldast. Van egy windows-os laptop, amit szeretnek RDP-n managel-ni, viszont ezen a gepen nem vagyok rendszergazda es az rdp eleres is tiltva van.
Ismertek olyan megoldast, ami vel ezt meg lehet ugrani?
Valami olyasmi az elkepzelesem, hogy beiktatnek egy ugro gepet (mondjuk egy pi-t vagy valamit), amit osszekotok a laptoppal usb-n es valami video porton. Az rdp a pi-re menne, a pi meg vezerelne a laptopot (mint ha fizikai input lenne).
A ipkvm megoldas lehetne tudom, de az boven a problema megoldasara szant budget felett kezdoik
Jelenlegi ismereteim szerint, azon eszkoz mely felett nem rendelkezunk beavatkozasi engedellyel, annak tartalmanak felugyelete/modositasa inkabb a buntetendo kategoriat surolja. Barmennyire is furcsa ezt olvasni, de az adatok vedelme, informaciok erzekenysege miatt manapsag ez mar igen kenyes tema.
Bar nem volt ecsetelve pontosan, hogy kinek a tulajdona a laptop, ki az adminisztrator…stb.
Ha ceges, akkor ez max a belso szabalyozastol fugg. Meg ugyebar itt a vallalton belul elerheto informaciok vedelme miatt nem adnak, nem tesznek lehetove kulso elerest. Van hogy ezt jol sikerul megteremteni, van hogy nem… ez mar az informatikus felelossege.
Felreertes ne essek van userem arra a laptopra amire be szeretnek lepni, csak nem szeretnek ket szamitogepet hurcivalni magammal. Tehat nem tudom mennyivel masabb hogy fizikailag en nyomkodom vagy rdp-n keresztul vezerlem (szinten ugyan azzal a userrem mint ha fizikailag elotte ulnek).
Egyébként sejtettem, hogy nem fogják megtenni a rendszergazdák és pont emiatt nyitottad a topikot, de arra akartam kiluykadni, hogy nem biztos, hogy van értelme más úton járni.
Pl ha jól sejtem, céges környezetben nem hiába vannak szabályok és nem hiába nem engednek meg bizonyos dolgokat.
Egyébként az egyik legfontosabb dolog nem került szóba: honnan szeretnéd iránytani a gépet? Belső hálózaton lévő másik gépről vagy külső, esetleg otthoni számítógépről? Sőt ha csak belső hálózatról van szó, akkor sem biztos, hogy menni fog a vlan miatt. Tehát hiába próbálkozol bármivel, ha nem tudod, hogy az adott port, amin az eszközök kommunikálnának tiltva van-e vagy sem.
Ha mondjuk a cégnak van külső VPN kapcsolata és jól megfogalmazott kéréssel/indokkal nem kizárt, hogy adnak jogosultságot. Legalábbis nálunk, ha kérik adunk jogot.
Erre elfelejtettem reggálni, hogy mennyivel másabb: sokkal. Biztonsági szemptontokból óriási a különbség.
Azert ezt kifejthetned. Amigy ezt az egesz rdp tiltast sem ertem, attol mert engedelyezve van az rdp en nem tudok mas hozzaferesevel garazdalkodni csak a sajatommal, ezert nem ertem azt sem mivel masabb a gep elott ulni es egy AD- userrel belepve csinalni a dolgat az embernek, mint rdp-n ugyan azzal az ad-s usernek… Nem fogok tudni mast csinalni en mindenhol csak a sajat useremet erem el…
Így, hogy említetted, hogy AD, így még durvább a dolog. Ha átvesznek egy gépet RDP-n keresztül és a gép tartományban van, akkor az összes!!! felhasználó bizonyos adatait ki tudod olvasni. Köztük email cím, telefonszám és kinek a ki a felettese, kinek milyen egyéb fiók jogosultságai vannak. Mindezt egy sima mezei felhasználóval. Nem beszélve arról, hogy gyakran van, hogy több cég egy AD-n csücsül és ilyenkor az összes rajta lévő felhasználóira igazak ezek, nem csak a sajátra.
De ha meg már bent vannak egy gépen, akkor akik eleve be akartak jutni, különböző biztonsági réseket kihasználva fel tudják törni a gépet. És utána azt tesznek a hálózaton szinte amit akarnak. Jó persze nem ennyire fekete-fehér minden, meg ezek nem két perces dolgok, mint a filmekben, de megvalósíthatóak!
Technikailag egyebkent nem lehetetlen. A Linux kernel tartalmaz “usb-gadget” kategoriat, amit usb kliens eszkoznek lehet hasznalni olyan gepeken, ahol az USB host mellett USB kliens interface is van. (pl. amikor egy Android telefont bedugsz a gepedre, akkor a korabban betoltott usb-gadget interface lesz az, aminek koszonhetoen pl. disknek latod az Androidos eszkozt). A gyari gadget modulok kozott van HID (keyboard biztosan, de szerintem eger is). Tehat azt meg tudod oldani, hogy az RPI, amiben veletlenul pont van USB client eszkoz, keybaordnak es mousenka latszodjek (ehhez gondolom kell valami egyeb megoldas, amivel ezt tavolrol majd piszkalod, de ezt mar meg lehet irni egyszeruen).
Ami nyugosebb, az a VGA jel digitalizalasa vagy a HDMI digitalis atvitele. Ami biztosan letezik ide, azok USB-s VGA es/vagy HDMI “digitalizalo” kartyak (mikor legutobb ilyet vettem az vagy 5 eve volt, ismerte a VGA es a HDMI feluletet is es kb US$300-ba kerult). Ebbol ha kifogsz egy olyat, amihez van Linux driver, akkor maris bedughatod az rpibe es el is tudod streamelni a tartalmat.
Ertem en, de rdp-n is kell authentikalni es localban is :) Szoval ez inkabb olyan kerdes, hogy tiltsuk az rdp-t akkor csak lokalban tudjak hasznalni egyel kevesebb lehetoseg…
Igen, de localban lokálisan is oda kell menni, míg RDP-n a világ bármely tájáról megtehető. Nem mindegy.
Én pont erre akartam eddig is írni amiket írtam, hogy ha tényleg ez a helyzet, akkor egy felsőbb vezető segítségével jól megfogalmazva kérni kell az Informatika felsőbb vezetőjét, hogy segítsenek ez ügyben.