我们有一台大型专用打印机,该打印机配有供应商专用软件,可让其在打印机之外使用,并在 Windows 控制面板中显示为打印机。该软件可识别我们何时通过 RDP 进入机器,并在其专有控制面板中“断开” PC 与打印机的连接。
当使用 TeamViewer 之类的应用程序访问机器时,一切都很顺利。
表面上,该应用程序通过“强制”将用于打印机的机器设置为步入式工作站来帮助保证我们的安全,或者支持人员是这样告诉我的。
如果 TeamViewer 等解决了这个问题,那么问题是什么?我们的仓库中有许多无头工作站,连接到各种专用机器,全部通过 RDP 使用。为了确保生产人员的理智,我们希望/需要保持对机器的访问权限不变。
问题的关键是 - 具体来说,机器如何知道它正在通过 RDP(终端服务管理?)进行访问,以及如何在不改变应用程序或驱动程序的情况下击败这种攻击。
值得注意的是,所使用的系统是通过 USB 连接到打印机的 Windows 7 Pro 机器。
谢谢!Nat
编辑
是否有任何 /admin 开关组合等可以解决这个问题?简单地说 /admin 不能。
答案1
具体来说,机器如何知道它正在通过 RDP 被访问?
这机器不在乎。软件可以使用以下方法了解:
获取系统指标(SM_REMOTESESSION)——可以被欺骗
/admin或/console;查询会话信息(WTS_CURRENT_SESSION)并检查会话名称(WTSWinStationName)是否是
console或rdp-tcp#<n>——可以使用未记录的 wtsapi32.dll 函数重命名会话;查询会话信息(WTS_CURRENT_SESSION)并检查协议(WTSClientProtocolType)是否是
wdcon或rdpwd——这根本无法改变。
TeamViewer 和 VNC 之所以能工作是因为它不使用终端服务,而只连接到用户所在的同一会话。
另一个可能的原因是远程桌面中的“打印机重定向”,可以在客户端的“本地资源”下禁用它。