7
Fernwartung eines Windows Servers
Hallo Zusammen,
hätte da mal eine Frage zur Fernsteuerung von einem Windows Server. Also dieser hängt hinter einem Router mit integrierter Firewall. Dieser ist unter einer statischen IP zu erreichen. Hebe nun Testweise mal den Port 3389 geöffnet und auf den Server geroutet. Der Fernzugriff funktioniert einwandfrei allerdings ist mir nicht ganz so wohl bei der Sache. Die Übertragung der Daten läuft ja bisher unverschlüsselt und im Prinzip kommt ja damit jeder der die feste IP kennt zumindest mal zum Anmeldefenster des Servers. Das dies allerdings ein sicherer Schutz ist bezweifle ich doch mal stark. Hat jemand eine Idde wie man A) die Daten der Übertragung verschlüsselt und B) die Anmeldung direkt etwas absichert. Habe auch mal gelesen das man den Port des Terminal Servers umstellen kann. Damit könnte zumindest mal nicht jeder Client (da ja der Port unbekannt ist) auf den Server..
Vielen Dank schon im Voraus
Gruß
Alex
hätte da mal eine Frage zur Fernsteuerung von einem Windows Server. Also dieser hängt hinter einem Router mit integrierter Firewall. Dieser ist unter einer statischen IP zu erreichen. Hebe nun Testweise mal den Port 3389 geöffnet und auf den Server geroutet. Der Fernzugriff funktioniert einwandfrei allerdings ist mir nicht ganz so wohl bei der Sache. Die Übertragung der Daten läuft ja bisher unverschlüsselt und im Prinzip kommt ja damit jeder der die feste IP kennt zumindest mal zum Anmeldefenster des Servers. Das dies allerdings ein sicherer Schutz ist bezweifle ich doch mal stark. Hat jemand eine Idde wie man A) die Daten der Übertragung verschlüsselt und B) die Anmeldung direkt etwas absichert. Habe auch mal gelesen das man den Port des Terminal Servers umstellen kann. Damit könnte zumindest mal nicht jeder Client (da ja der Port unbekannt ist) auf den Server..
Vielen Dank schon im Voraus
Gruß
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3397
Url: https://administrator.de/contentid/3397
Printed on: April 18, 2024 at 21:04 o'clock
7 Comments
Latest comment
Hallo Alex,
Alternativ kannst Du zur Fernwartung auch pcAnywhere einsetzen. Hier kannst Du alles verschlüsseln. Auch die Windows Konten aus dem AD kannst Du benutzen.
Ja, man kann den Port umstellen. Gehört habe ich es zu mindest mal.
Aber ich denke wenn Du starke Passwörter verwendest, bist Du schon sehr sicher.
Ausserdem findest die eigentlich Übertragung der Daten mit dem Remotedesktop verschlüsselt statt. kannst Du dir ja mal ansehen und Terminal Dienste Konfiguration und dann unter RDP.
In der Regel ist dort CLientkompatiebel eingetragen.
Lars
Alternativ kannst Du zur Fernwartung auch pcAnywhere einsetzen. Hier kannst Du alles verschlüsseln. Auch die Windows Konten aus dem AD kannst Du benutzen.
Ja, man kann den Port umstellen. Gehört habe ich es zu mindest mal.
Aber ich denke wenn Du starke Passwörter verwendest, bist Du schon sehr sicher.
Ausserdem findest die eigentlich Übertragung der Daten mit dem Remotedesktop verschlüsselt statt. kannst Du dir ja mal ansehen und Terminal Dienste Konfiguration und dann unter RDP.
In der Regel ist dort CLientkompatiebel eingetragen.
Lars
Hallo,
ich administriere von zu Hause zwei Windows 2003 Server.
Zuhause habe ich eine dynamische IP.
Zudem habe ich auf einer Serverfarm einen "Internet-Server" mit fester IP.
Die Firmanerouter kann man per telnet konfigurieren.
Dafür habe ich mir folgendes überlegt;
-Die Firmenrouter lassen per NAT Anfragen vom Internet-Server durch.
-Auf dem Windows 2003 Servern habe ich einen Open-SSH-Server installiert.
-Zu Hause ermittle ich meine dynamische IP und starte putty, womit ich eine Verbindung zu meinem Internetserver herstelle.
-Vom Internetserver starte ich eine SSH-Verbindung zum Windows 2003 Server.
-Auf dem Windows 2003 Server starte ich eine Telnet Verbindung zum Router und trage in der NAT meine dynamische IP ein.
-Nun kann ich per Remotedesktopverbindung mit dem Windows 2003 Server arbeiten.
Ist sicherlich mühsam und nicht komfortabel, aber in meinen Augen das Sicherste, was ich umsetzen kann.
Ich habe dann nur noch im LAN die unsichere telnet Verbindung. Als Admin muß ich nur dafür Sorge tragen, daß kein Sniffer-Program im Netzwerk läuft.
Aber leider funktioniert das Ganze nicht, denn, wenn ich per SSH auf dem Windows 2003 Server bin und telnet eingebe passiert rein garnichts. So kann ich keine Verbindung zum Router aufbauen und daher auch nicht den Router konfigurieren.
Da ich zu Hause immer eine dynamische IP aus einem bestimmten Class B Netz bekomme, habe ich diese in die NAT eingetragen.
Dabei ist mir aber nicht sonderlich wohl.
Eines Tages werde ich noch eine Linuxkiste in den Netzwerken aufstellen, auf dem dann ein SSH-Server läuft, mit dem ich eine telnet Verbindung zum Router aufbauen kann.
GPO
ich administriere von zu Hause zwei Windows 2003 Server.
Zuhause habe ich eine dynamische IP.
Zudem habe ich auf einer Serverfarm einen "Internet-Server" mit fester IP.
Die Firmanerouter kann man per telnet konfigurieren.
Dafür habe ich mir folgendes überlegt;
-Die Firmenrouter lassen per NAT Anfragen vom Internet-Server durch.
-Auf dem Windows 2003 Servern habe ich einen Open-SSH-Server installiert.
-Zu Hause ermittle ich meine dynamische IP und starte putty, womit ich eine Verbindung zu meinem Internetserver herstelle.
-Vom Internetserver starte ich eine SSH-Verbindung zum Windows 2003 Server.
-Auf dem Windows 2003 Server starte ich eine Telnet Verbindung zum Router und trage in der NAT meine dynamische IP ein.
-Nun kann ich per Remotedesktopverbindung mit dem Windows 2003 Server arbeiten.
Ist sicherlich mühsam und nicht komfortabel, aber in meinen Augen das Sicherste, was ich umsetzen kann.
Ich habe dann nur noch im LAN die unsichere telnet Verbindung. Als Admin muß ich nur dafür Sorge tragen, daß kein Sniffer-Program im Netzwerk läuft.
Aber leider funktioniert das Ganze nicht, denn, wenn ich per SSH auf dem Windows 2003 Server bin und telnet eingebe passiert rein garnichts. So kann ich keine Verbindung zum Router aufbauen und daher auch nicht den Router konfigurieren.
Da ich zu Hause immer eine dynamische IP aus einem bestimmten Class B Netz bekomme, habe ich diese in die NAT eingetragen.
Dabei ist mir aber nicht sonderlich wohl.
Eines Tages werde ich noch eine Linuxkiste in den Netzwerken aufstellen, auf dem dann ein SSH-Server läuft, mit dem ich eine telnet Verbindung zum Router aufbauen kann.
GPO
Dasist natürlich die mega komplizierte varieante 
Das muss ich zu geben. Aber wenn es so läuft...... dann ist doch gut
hat der Router bei Dir denn keine feste IP?
Lars
Das muss ich zu geben. Aber wenn es so läuft...... dann ist doch gut
hat der Router bei Dir denn keine feste IP?
Lars
Hallo,
Nur zu Hause habe ich eine dynamische IP, die wie erwähnt, immer aus einem bestimmten Class-B Netz stammt.
So ist es mir möglich, die erlaubten Anfragen an den Router, auf einem bestimmten Adressbereich zu beschränken.
GPO
Dasist natürlich die mega komplizierte
varieante Das muss ich zu geben.
Kompliziert ist das eigentlich nicht, nur etwas mühsam, wie oben schon erwähnt.varieante Das muss ich zu geben.
Aber wenn es so
läuft...... dann ist doch gut
Es läuft leider nicht, da ich auf der "Letzten Meile" die Verbindung vom Windows 2003 Server zum Router nicht hinbekomme. Da wie erwähnt, bei der Eingabe von Telnet innerhalb der SSH-Sitzung nichts passiert.läuft...... dann ist doch gut
hat der Router bei Dir denn keine feste IP?
Die Router in den beiden LANs haben eine feste IP.Nur zu Hause habe ich eine dynamische IP, die wie erwähnt, immer aus einem bestimmten Class-B Netz stammt.
So ist es mir möglich, die erlaubten Anfragen an den Router, auf einem bestimmten Adressbereich zu beschränken.
GPO
Hallo,
na so viel Mühe mache ich mir in der Regel nicht.
Schade das der Rest bei Dir nicht läuft. Hast Du schon eine Ahnung wo dran das liegt?
Lars
na so viel Mühe mache ich mir in der Regel nicht.
Schade das der Rest bei Dir nicht läuft. Hast Du schon eine Ahnung wo dran das liegt?
Lars
Hallo,
Vielleicht kann jemand anders einmal auf einem Windows 2003 Server Open-SSH installieren und prüfen, ob er die gleichen Probleme hat.
D.H.
Einloggen mithilfe von Putty auf dem SSH-Server, dann versuchen telnet zu starten.
GPO
na so viel Mühe mache ich mir in der
Regel nicht.
Wenn es der Sicherheit dient und man wegen Paranoia sonst schlaflose Nächte hätte, lohnt sich die Mühe schon.Regel nicht.
Schade das der Rest bei Dir nicht
läuft. Hast Du schon eine Ahnung wo
dran das liegt?
Leider nicht. Ich habe damals, als das Problem auftrat etwas gegoogelt und in den Internetforen nachgelesen, aber meine Problematik nicht gefunden. Bis jetzt habe ich es noch nicht geschaft, irgendwo das Problem zu posten.läuft. Hast Du schon eine Ahnung wo
dran das liegt?
Vielleicht kann jemand anders einmal auf einem Windows 2003 Server Open-SSH installieren und prüfen, ob er die gleichen Probleme hat.
D.H.
Einloggen mithilfe von Putty auf dem SSH-Server, dann versuchen telnet zu starten.
GPO
Hallo Alex!
Die Übertragung der Daten über RDP ist IMMER verschlüsselt; Dein Problem ist eher der Loginprompt wenn man auf den Terminal verbindet...
Du kannst einen anderen Port als 3389 einstellen (zB 3399)
das macht man mit dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal Server\WinStations\RDP-Tcp\Port Number
Reboot nicht vergessen. Im Remotedesktop des Clients einfach nach der IP-Adresse/Name einen Doppelpunkt und den neuen Port angeben. also ZB ts.meinedomain.com:meinPort
PS: es gibt übrigens (noch) kein Bruteforceattack Programm, das Passwörter für den Terminalzugriff ausprobiert...
Hope this helps
A.
Die Übertragung der Daten über RDP ist IMMER verschlüsselt; Dein Problem ist eher der Loginprompt wenn man auf den Terminal verbindet...
Du kannst einen anderen Port als 3389 einstellen (zB 3399)
das macht man mit dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Terminal Server\WinStations\RDP-Tcp\Port Number
Reboot nicht vergessen. Im Remotedesktop des Clients einfach nach der IP-Adresse/Name einen Doppelpunkt und den neuen Port angeben. also ZB ts.meinedomain.com:meinPort
PS: es gibt übrigens (noch) kein Bruteforceattack Programm, das Passwörter für den Terminalzugriff ausprobiert...
Hope this helps
A.
