In che modo Microsoft Remote Desktop Manager crittografa le password?

9

Quando si memorizzano le password di connessione, MS RDP offre la possibilità di memorizzare la password come testo in chiaro o crittografarla.

Assomiglia al nodo risultante nel file 

<logonCredentials inherit="None">
   <userName>USER</userName>
   <domain>DOMAIN</domain>
   <password storeAsClearText="False">AQAdERjHoAwE/Cl+sBAAAA(...)zh</password>
</logonCredentials>

Mi chiedo quanto sia sicura quella crittografia e se il file può essere condiviso tra colleghi senza che qualcuno sia in grado di indovinare facilmente la password.

Sto indovinando "non molto" ma non sono riuscito a trovare esattamente come viene generata quella catena crittografata.

Qualche idea? Grazie!

security  remote-desktop  encryption 
Luk
fonte
1
Definire "indovinare facilmente", immagino che sarebbe specifico per la macchina, che sarebbe il modo più sicuro per fare qualcosa del genere. Ovviamente, dato il tempo sufficiente per forzare qualsiasi cosa, dipende da quanto è buona la password e, naturalmente, da cosa viene utilizzato esattamente. Ho fatto una ricerca su Google .... ** Sembra che il consiglio generale sia di crittografare il file di configurazione stesso. ** Ti suggerisco di farlo.
Ramhound,
Qual è lo scopo di proteggere la password se i tuoi utenti possono connettersi comunque?
Shadok,
@Ramhound Vorrei che tu avessi inviato il tuo commento come risposta, avrei votato.
Luk

Risposte:

7

Non so come lo faccia RemoteDesktopManager, ma suppongo che sarebbe lo stesso di come lo memorizza in un file .RDP .

CryptProtectData che (con le impostazioni utilizzate per RDP) consente solo la decrittazione della stringa sullo stesso computer di quella che l'ha crittografata a causa del fatto che utilizza l'ID univoco dell'installazione di Windows come parte dei processi di crittografia ( il flag CRYPTPROTECT_LOCAL_MACHINE). Quindi sì, un utente malintenzionato potrebbe decrittografare la password, ma potrebbe farlo solo sul computer in cui è stata memorizzata la password, non può eseguire un attacco "offline".

Nota che questo è tutto per i .RDPfile. Non ho modo di sapere se Remote Desktop Manager fa la stessa cosa.

Scott Chamberlain
fonte
1
dopo aver giocato un po 'con il file, sembra che la crittografia dipenda dal computer. Probabilmente hai ragione (e ciò significa anche che il file non può essere condiviso se le password non sono in chiaro)
Luk
1

In effetti, RDP da RDPMan distingue l'unico modo per memorizzare l'hash: il primo lo memorizza in notazione esadecimale e il secondo esegue la codifica Base64. Quindi dopo la decodifica Base64 utilizzando l'utilità RDP Password Hasher ottenere la password originale. Ma può essere avviato solo lavorando per conto dell'utente che ha creato la password.

Alexey Kramnyuk
fonte
-2

MS RDP è soggetto ad attacchi "man-in-the-middle" e anche da Worms. Pertanto è possibile aggiungere la crittografia del livello di trasporto per mitigare ciò.

Ecco un elenco di tutti i software commerciali RDP. Sebbene la crittografia sia mostrata come proprietaria e non elencata esplicitamente.

Leggi qui per ulteriori spiegazioni http://blogs.msdn.com/b/rds/archive/2008/07/21/configuring-terminal-servers-for-server-authentication-to-prevent-man-in-the-middle -attacks.aspx

Leggi qui per gli aggiornamenti di sicurezza per i server MS che si applicano alla crittografia a livello di trasporto e a livello di applicazione della crittografia e dell'autenticazione RDP. http://technet.microsoft.com/en-us/library/dd582586.aspx

e ulteriori informazioni: http://social.technet.microsoft.com/forums/en-US/winserverTS/thread/8b9a13a4-6d0a-496d-b331-b1fbe9ebcb28/ Nota che gli script .ica per l'inizializzazione Citrix RDP includono una voce per eliminare il file di script .ica che contiene il dominio host al momento dell'accesso. Questa è una funzionalità di sicurezza aggiuntiva. "RemoveICAFile = yes"

I file di script .rdp sono simili nel formato agli script ica ma possono escludere questa voce di riga. Forse "RemoveRDPile = yes" potrebbe funzionare ??

Le persone a volte salvano questo script per facilitare l'accesso, ma i contenuti potrebbero rivelare troppo sull'hash dell'utente e sul nome di dominio per consentire di indovinare la password. Spesso 3 blocchi di sciopero impediscono questo, quindi la sicurezza è migliorata.

Tony Stewart Sunnyskyguy EE75
fonte
Questo non è del tutto vero. Qualsiasi connessione protetta in modo improprio potrebbe cadere vittima di un attacco MITM.
Burgi,
Questo recente rapporto invalida la tua opinione e supporta la mia dal 2012 plugins.openvas.org/nasl.php?oid=902658 Per favore correggilo.
Tony Stewart Sunnyskyguy EE75,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.