Képernyőfelvétel készítése Windows Terminal Serverről (RDP)

Microsoft Windows

Sziasztok,

Adott egy Windows Terminal Server, amit nagyon privilegizált feladatokra használnak, így erősen kontrollált.

Azt szeretném, hogy a session-ökről készüljön képernyőfelvétel; ez audit követelmény.

Ismertek olyan megoldást, ami erre képes, úgy, hogy a felvétel lokálisan van tárolva,
tehát nem köti cloud-os tároláshoz?

Köszönöm!

  • 1723 megtekintés

Régebben SCB -nek hívták (Shell Control Box) a belseje egy Zorp ami szétszedi az RDP protokollt és úgy elemzi. Ezért beállíthatod azt is, hogy engeded az RDP -t, de nem engeded a clipboard csatornát, sem a drive átviteleket, így a jump szerverre/szerverről meg tudod akadályozni az állományok elvitelét illetve bemásolását is. Emellett elmenti az adatfolyamot, amit időpecséttel együtt tárol, így az megáll a bíróság előtt, mint bizonyíték. Külön titkosító kulcsot használ a fel és a le irányú adatfolyam titkosítására, így az operátor aki esetleg visszanézi a felvett sessiont nem fogja látni a kliens-->szerver interakciót, (vagyis a billentyűzet leütéseket), így nem tudja meg a munkatársak jelszavát, viszont látja amit a munkatárs is lát (szerver-->kliens stream) így látja, ha nem oda való dolog jelenik meg a képen. Aztán incidens esetén elő lehet venni a páncélból a másik titkosító kulcsot, és akkor karakterre lehet követni, hogy mit gépelt be a jóember.

Emellett nem csak RDP -t tud, hanem például SSH-t is, ahol lehet olyanokkal játszani, hogy mondjuk nem engedi át a shutdown/reboot/rm/akármi parancsot, ami a vétlen leállítás vagy törlés ellen tud hasznos lenni.

Webes felszínről könnyen és jól konfigurálható.

Ez a four eyes üzemmód. Ez arra jó, mint ami a filmekben van, hogy a nukleáris rakéta indításakor a két tiszt leakasztja a nyakából a saját kulcsát, és mindkettő bedugja a sajátját az egymástól másfél méterre lévő zárba, aztán egyszerre fordítják el, hogy megmentsék a világot. Lehetnek olyan műveletek amiket audit vagy életvédelmi okokból egy ember önhatalmúlag nem tehet meg. De lehet sima belső üzembiztonsági stratégia része, hogy az adott munkafolyamatot két ember egyszerre csinálja, mind a ketten kövesség az ellenőrzőlistát, mert ott hibázni nem szabad.

Amikor még a Balabitnál voltam, egy kollégával tesztelés címszó alatt így néztük valamelyik Jégkorszakot. :-)

( Proci85 v | 2025. 09. 16., k – 15:25 )

Kicsit kerülő út, de ha nem találsz jobbat: Csinálsz egy linuxos jump szervert , ahova a userek beloginolnak. X11VNC indítja a sessiont és a képernyőről a felvételt, pl. ffmpeg-gel. Ingyen van.

Erről a jump szerverről mehetnek tovább, ahova akarnak. VNC-vel csatlakoznak, tehát triviálisan nem tudnak fájlokat, vírusokat feltolni.

( Umath v | 2025. 09. 16., k – 16:54 )

Guacamole-t használva fel lehet venni videóra az RDP munkamenetet lokálisan tárolva. Használjuk.

Ahol így kell "felügyelni" a felhasználót ott nagy bajok vannak mind munkáltatói,  mind alkalmazotti oldalról...

Ha az alkalmazott nem dolgozik, akkor ki kell rúgni. Aki ezt a munkamenet felvételt kitalálta vele együtt kellene kikísérni és két probléma is megoldódna. 

De avass be, hogy ha elhamarkodtan ítéltem meg, hogy miért is lenne erre szükség. Ha tényleg üzleti indok van mögötte, akkor lehet nem ez a helyes megoldás. 

Egy korábbi munkahelyemen a társosztály dolgozói a konkurencia ajánlatára a cég összes szerződését, terveket, ügyféllistákat, csupa érzékeny adatot kimentettek. Gyakorlatilag eladták a céget a konkurenciának, nem azért, mert a cég nem becsülte volna meg őket vagy nem érezték volna jól magukat a cégnél, hanem a pénzért. Egyszerűen annyi pénzt kaptak, amit többen életük nagy lehetőségeként értékeltek, a habozókat meg rádumálták.

A Guacamole kitűnő eszköz az RDP-hez, kétségtelenül brutális módszer minden felhasználó munkamenetét rögzíteni, de pl. egy perben, ha lett volna ilyesmi eszköze a munkáltatónak, a huncutság nagyon jól bizonyítható lett volna. Legalábbis azt hiszem.

Hogy a seggünket védjük vele. 
Nem egy fejlesztő vagy üzemeltető mindennapjait kell rögziteni, hanem éles core banking rendszeren végzett, vészforgatókönyvben szereplő műveleteket.
Természetesen, minden létező más formában is korlátozva és auditálva van a tevékenység - de ez sem tud szükségszerűen kiterjedni mindenre, ideértve nem csak a technikai hanem a jogi aspektusait is.

Nem akarok mélyebben belemenni mert értelme sem lenne, fogadd el kérlek, hogy van olyan felhasználási terület ahol ez nélkülözhetetlen.

Nem tudom milyen pozícióban vagy, de bankoknál szokott ilyen lenni, szóval szerintem nálatok is van már valahol. Érdmes lenne más szervezeteket is megkérdezni, ill. biztosan van beszerzés/security/governance csapat akik ezt tudhatják.

Ha bank, akkor gondolom arra is van valami, hogy az adott SW-nek minek kell megfelelni. Lehet az ajánlott ingyenes cuccok egyből ki is esnek. Egy ilyen cucc beszerzéséhez biztos meg kell járni a hivatalos utat: tender, RFI, RFP stb

Lehet hogy most (hogy nincs is ilyened) ezt így érzed, de gondold végig. 

Elég ha 1x kell majd "keresni" valamit, beleőszülsz, ha több óra kattingatást kell végignézned. Ez egy céleszköz, pont erre lett kitalálva 10+x éve.

+ ha ilyen a setup, akkor lehet azt kellene nézned, ahol azt készítik elő, hogy ne kézzel kelljen hozzáférni az éleshez, ott mi történik, mit csinál a (pl. külsős) fejlesztő, üzemeltető,...

Rendeteg időt, mutogatást meg lehet spórolni. Az esetek 90%-ban befeszülés szokott lenni mikor kivittük (hogy most majd jól megfigyelik őket...), de az első eset untán mikor 2 perc alatt be tudta bizonyítani hogy nem ő volt, volt nagy boldogság. Meg a külsős sem lazázik, alibizik, ha tudja nyoma van minden kattintásának, bent töltött percnek. Alap kontroll a legtöbb helyen.

De ahogy érzed....

Teljesen érthető - erre máshol is SCB-t (SPS) használnak, ahol én láttam ilyesmit. Védett hálózat felé minden, ami rdp beforgatva SCB-re (akár több különbözően konfigurált "connection"-t alkalmazva), aztán az SCB-n eldől, hogy mehet-e oda vagy sem, milyen csatornákat enged, milyet nem, milyen rögzítés, archiválás, ocr-ezés, akármi lesz, stb. Ja, és természetesen van nagyon jó magyar nyelvű support, ha kell :) 

Nem teljesítmény okokból történik a munkavégzés rögzítése, hanem audit megfelelősség miatt. Elméletileg ez véd az adatszivárgás ellen is, persze ha lefényképezed a monitort, az ellen nem véd. Vagyis engem, akinek root joga van az adatbázis szervereken is, megkérdeznének, ha a képernyőmön megjelenne egy adatbázis rekord tartalma, merthogy nekem ahhoz a munkakörömből adódóan abszolúte semmi közöm.

De így az SCB engem is véd, mert ha kikerül valami adat aminek nem kéne, és valaki rám mutat, hogy mivel nekem volt root jogom, így technikailag képes voltam kiszedni/lemásolni bármit, akkor én megkérhetem a bíróságot, hogy a nézzék vissza az általam végzett sok-sok munkaórányi felvételt, mert azon látszik, hogy nem én vagyok a hunyó.

Vagyis bizonyítani tudom az ártatlanságomat, ami valljuk be, egy bizalmi munkakörben békésebbé teszi az álmomat. Gondold el, az milyen szar, hogy te magad tudod, hogy nem követtél el semmit, de nincs semmi a kezedben amivel ezt bizonyíthatnád. Akkor már inkább figyeljenek meg. Ha adatközpontban dolgozol, ott is kamera alatt dolgozol, ott sem zavar, hogy látják ahogy a tepsi szervereket nyomod be a rackekbe, nem? Ott sem az a lényeg, hogy ki milyen gyorsan pattintja a helyére a síneket, hanem hogy ha egy gépből kihúzzák a tápkábelt, és senki nem vallja be, akkor a kamera felvétel alapján meg lehet keresni a tettest, és tarkónbaszni, hogy hülyegyerek, legalább ne tagadd le.

Nálunk volt olyan malőr, hogy egy külsős srác egy telepítőcsomagot tesztelt, csakhogy véletlenül rossz gépen indította el, ahol az félig feltelepülvén hazavágott valamit. Termelés kiesés nem lett belőle, csupán mi tanítottuk egymást új és gyermekektől távol tartandó kifejezésekre, mire megoldottuk a problémát. Ha a csávó egyből szól, akkor nem lett volna baj, mert akkor a gyökerénél kezdtük volna az elhárítás, és nem a dominó hatást kezdetét nyomoztuk volna. De nem szólt, hanem tette az ártatlant. Végül meg lett az ok, és a hely meg a logok alapján visszanéztük az SCB felvételt, így egyrészt mi is pontosan láttuk, hogy mi okozta a hibajelenséget, másrészt pedig szembesítettük vele. Azóta nem dolgozik velünk/nekünk. Pedig nem volt rossz szakember, csak elkövetett egy technikai hibát, ami még nem lett volna para, de utána elkövetett egy emberi hibát is (tagadta a tettét) és ez vörös posztó, mert akkor így hogy bízzunk meg benne?

Ami fura, hogy pontosan tudta, hogy minden egérmozdulata fel van véve, szóval nem is értem, hogy gondolta, hogy megússza.

Szóval a munkamenet felvétel:
- a cég számára audit megfelelés szempontja miatt lehet hasznos illetve kötelező
- üzemeltetésben egy hiba gyökér okának megismerése miatt lehet hasznos
- valakinek a felelősségét tudja bizonyítani
- valakinek az ártatlanságát képes bizonyítani

"Vagyis bizonyítani tudom az ártatlanságomat, ami valljuk be, egy bizalmi munkakörben békésebbé teszi az álmomat."

Szerintem igazából, ha felmerül, hogy az ártatlanság bizonyításán kell gondolkodni, akkor az alapból kizárja a békés álmokat. Sose lehetsz benne biztos, hogy mindenre gondoltál, amivel alaptalanul megvádolhatnak.

"... valaki rám mutat, hogy mivel nekem volt root jogom, így technikailag képes voltam kiszedni/lemásolni bármit, akkor én megkérhetem a bíróságot, hogy a nézzék vissza az általam végzett sok-sok munkaórányi felvételt, mert azon látszik, hogy nem én vagyok a hunyó."

Pl. az hogyan tudod bizonyítani, ha a fenti vád azzal kezdődik, hogy magát a felvételt mókoltad meg vagy a felvételekért felelős munkatárssal összejátszva közösen ... stb. stb.

 

"Gondold el, az milyen szar, hogy te magad tudod, hogy nem követtél el semmit, de nincs semmi a kezedben amivel ezt bizonyíthatnád."

Ha neked kell bizonyítani, az már veszett fejsze nyele. Jobb helyeken azt szokták bizonyítani, hogy valaki elkövetett valamit, nem az ellenkezőjét.

Ezt ne úgy értsd, hogy neked kell bebizonyítani, hogy ártatlan vagy, különben kirugnak/lecsuknak.

Indul egy vizsgálat. Ártatlan vagy. Tök jó. Az a kérdés, hogy szeretnéd első nap letudni a részvételt, vagy basztatnak hetekig-hónapokig, miközben azon gondolkodsz, hogy mi lesz a megélhetéseddel. Mindkettőnek végső soron ugyanaz lesz a kimenetele, de az egyik sokkal kényelmesebb.

Létezik egy indexer, ami közel valós időben nézi a felvételt, és dolgokat keres benne, amire alertet tud kiváltani. Mondjuk észreveszi, hogy valaki begépelte, hogy "ssh -L ", mire máris riaszt, hogy valaki port forwardot indít, és az gyanús. Vagy észreveszi az SSH protokollban az egyik switchre menő shutdown parancsot, amire megint csak riaszthat, ami hasznos amikor az operátornál vörösbe borul a képernyő, mert egyből tudja, hogy ja, a Józsi rossz portot lőtt le a switchen, ergo nem kell keresgélni a hibát, csak fel kell hívni a Józsit, hogy most ugrik a bónusza, ha nem engedi vissza a szerver portját de azonnal. :-)

Szép szavak, bizonyítás, stb. Igen, a bizonyítást nem szabad megfordítani. Ebben teljesen igazad van. Viszont ha egy eseményt ki kell vizsgálni, akkor az nem úgy kezdődik, hogy egyből bizonyítás, hanem elsőre le kell szűkíteni a lehetséges okokra (és személyekre). Itt még szó sincs bűnösségről, csak gyanúról, az meg természetesen nem bizonyításhoz kötött. Na most ha a biztonsági követelmények szigorúak, és fennáll a szándékosság gyanúja, akkor előfordulhat, hogy minden gyanús embernek felfüggesztik a jogosultságát, és elkezdenek vizsgálódni. Aztán ha bebizonyosodik az ártatlanság, vagy ha végképp nem lehet megtalálni a 'tettest', akkor lehet ismét dolgozni. Nos, nem mindegy, hogy ez a gyanús állapot mennyi ideig áll fenn.

A "Ki őrzi az őrzőket" már elég régi probléma, de ennek az a megoldása, hogy a rendszert úgy építik ki, hogy akit megfigyelnek (engem) az nem tud beavatkozni a megfigyelésbe, miközben a megfigyelők nem tudják megmókolni azokat a dolgokat, amire engem tartanak.

Amit írtam előzőleg példát, azt vedd arra, hogy engem is véd a megfigyelés, mert a felvétel bizonyította, hogy nem én, vagy az én csapatom egyik tagja követte el azt a hibát, amit a valódi elkövető letagadott. A cég vezetésének így nem kellett azon gondolkozni, hogy esetleg simlisek vagyunk, mert látta a bizonyítékot, így én nyugodtabban alszom, mert nem kínoz az a gondolat, hogy "Ugye még bíznak bennem, hisz nem tudtuk bebizonyítani, hogy a külső kamuzott?".

( KoGa v | 2025. 09. 17., sze – 09:30 )

PAM (Privileged Access Management) amit keresel, van számos ilyen tool. Mi pl. a BeyondTrust-ot használjuk.

( Ago | 2025. 09. 18., cs – 20:12 )

Akkor teszek én is egy (x)-et, ha már van Balabit/sys és Wallix: Excalibur.

https://www.getexcalibur.com/

https://docs.xclbr.com/

Beépített MFA (biometrikus), integrálható más IAM megoldással is (SAML) 4-eyes munkamenet, képernyőrgzítés, kereshető felvétel,SSH, RDP, VNC , web app támogatás, amihez egy VITRO nevű része (ami egy  Remote Browser Isolation ) cucc még plusz védelmet is ad, ha webappot érnek el.
Kubernetes vagy Docker Compose alapon telepíthető.

Semi baj, tudjuk, hogy mindenre a Zorp a legjobb, hiszen ismerted valamikor ezer éve a fejlesztőt te is, nyomtatóra is azt kellene rakni. Vagy bármit ami azon alapul. A support meg annyi, amennyit kérnek, van aki akar tanulni, van aki csak ítélkezik, mert már mindent jobban tud.

Akinek nem inge ugye... :-) De a kérdésre a válasz ez alapján implicit adódik, hogy... Lehet viszonteladni dolgokat, csak épp a support és a hibajegyek kezelése is fontos dolog ám... Egyébként amíg a 1MS support működik, addig nincs probléma - az meg, hogy egy x terméknek a webes felülete... Szóval nem 2025-nél tart, az meg a gyártó sara - igaz, a végfelhasználónál van a szívás :-P 

oh, boy.... értem, igazi csavaros gondolat, hogy most én mutattam magamra, jól meg van mondva.... csak annyi hiba van benne, hogy én konkrét terméket mondtam és konkrétan erre kérdeztél. (vagy túl érzékeny vagyok, bár ezzel még nem vádoltak :) ) 

A felületekkel nekem általában semmi bajom, ha funkcionálisan jó és ár-értékben megfelelő, akkor kb bármi lehet. Tudom, van ahol számít. Például Palo Alto is 15 éve legalább nem változtatott, mert a nagy cégek adminjai így szokták meg, tudják hova nyúljanak... ez is egy szempont. De akár egy csak cli is jó lehet, ha olyan a cucc. Szóval az "old school" felületeknek is van jogalapja, bár volt ahol tényleg azért nem vettek meg valamit, mert "rosszul nézett ki". Máshol meg megnézték az árcédulát, a featureket, a PoC eredményét és jó lett a 2008-ban írt (szó szerint) felület is 2023-ban.

Egyetértek a hibajegyeknél, de ez mind a két oldalról igaz. Nálunk is van olyan, hogy más csatornán adják le és nem olyan aki leadhatja. Ettől persze figyelembe van véve, csak nem biztos oda megy vissza a válasz, ahonnan jött, az illetékessel beszéljük meg. Nálunk egyébként 2-3 ember van a termékekre, de mint mindenhol, hozzánk is úgy jönnek, akik bejelentik, hogy van a megszokott ember: helyismeret (előzmények, viszonyok, architektűra ismerete). Nyilván nem állandó semmi, nekem is múlt héten kellett beugrani más helyére, olyan rendszerre, amit több, mint egy éve nem láttam és tapogatóztam "első" 15 percben. A one man showk is tudnak működni, mi is kisegítünk olyan viszonteladókat, akik saját maguk supportálják az ügyfelüket, de mondjuk elmennek nyaralni, ilyenkor beugrunk. Amúgy, ha minden leszakad, mint lehetőség, a gyártói support is ott van.

Ha többen vagytok, az jó, az zavart meg, hogy mindennel téged kell/lehet zargatni direktben :-P (A Palo Alto is jó cucc, ahhoz is volt szerencsém egyébként, ahogy a TIS fwtk/ TIS Gauntlet óta sok egyébhez is - nincs ideális megoldás, Gauntlet, PIX/ASA, Juniper, Alf, Zorp, Checkpoint, PaloAlto, StormShield, PNS (kihagytam valamit?) - mindegyiukre tudnék előnyt és hátrányt is felsorolni - ha már szembe jöttek az évek hosszú során...)