域账户“远程控制”属性修改

导致XenApp应用权限放大

李政

2012-08-01

今天在测试Citrix XenApp 6.5时,无意中发现如果修改了域账户的“远程控制”属性页面配置,会导致这些域账户在WI中点击XenApp发布的程序时,会直接打开DDC“资源管理器”的问题,而且可以执行任意程序。而且,如果将此属性页面配置恢复后,却有50%的几率会出现DDC“资源管理器”,另外50%的几率会正常打开所发布的应用,并且是间隔打开DDC“资源管理器”及所发布的应用。

如下图,域账户的“远程控制”属性默认选项如下。

clip_image002

当我任意修改了域账户“user1”的“远程控制”属性中的任一配置后。

clip_image004

当我使用此域账户登录WI,并且点击发布的“记事本”时,会正常出现协商界面并且显示“正在启动记事本”。

clip_image006

但,接下来并不是出现的“记事本”程序,而且出现的DDC的“资源管理器”。

clip_image008

并且,可以打开DDC中任意程序。例如,我打开了“regedit.exe”注册表编辑程序。

clip_image010

当重新恢复域账户的“远程控制”属性页面配置,却有50%的几率会出现DDC“资源管理器”,另外50%的几率会正常打开所发布的应用。

当在WI中重复多次点击发布的“记事本”后并关闭时,可以发现会间隔出现DDC“资源管理器”及“记事本”程序。

并且,如果出现协商界面并且显示“正在启动记事本”时,都是会出现DDC的“资源管理器”;反之,则会在没有协商界面及启动提示页面的情况下,非常快的直接打开“记事本”程序。

clip_image012

解决方法:

对于这种情况,现在只发现删除域账户后重建此域账户可以恢复正常。

具体原因不明。