域賬戶“遠程控制”屬性修改
導致XenApp應用權限放大
李政
2012-08-01
今天在測試Citrix XenApp 6.5時,無意中發現如果修改了域賬戶的“遠程控制”屬性頁面配置,會導致這些域賬戶在WI中點擊XenApp發佈的程序時,會直接打開DDC“資源管理器”的問題,而且可以執行任意程序。而且,如果將此屬性頁面配置恢復後,卻有50%的機率會出現DDC“資源管理器”,另外50%的機率會正常打開所發佈的應用,並且是間隔打開DDC“資源管理器”及所發佈的應用。
如下圖,域賬戶的“遠程控制”屬性默認選項如下。
當我任意修改了域賬戶“user1”的“遠程控制”屬性中的任一配置後。
當我使用此域賬戶登錄WI,並且點擊發布的“記事本”時,會正常出現協商界面並且顯示“正在啓動記事本”。
但,接下來並不是出現的“記事本”程序,而且出現的DDC的“資源管理器”。
並且,可以打開DDC中任意程序。例如,我打開了“regedit.exe”註冊表編輯程序。
當重新恢復域賬戶的“遠程控制”屬性頁面配置,卻有50%的機率會出現DDC“資源管理器”,另外50%的機率會正常打開所發佈的應用。
當在WI中重複多次點擊發布的“記事本”後並關閉時,可以發現會間隔出現DDC“資源管理器”及“記事本”程序。
並且,如果出現協商界面並且顯示“正在啓動記事本”時,都是會出現DDC的“資源管理器”;反之,則會在沒有協商界面及啓動提示頁面的情況下,非常快的直接打開“記事本”程序。
解決方法:
對於這種情況,現在只發現刪除域賬戶後重建此域賬戶可以恢復正常。
具體原因不明。