2
Fernzugriff via Remote Desktop
Hallo,
habe mich bisher von Zuhause über den Remote-Webarbeitsplatz
auf unseren SBS 2003 eingeloggt.
Nun gibt es doch auch die Möglichkeit über den Remote-Desktop Client
auf den Server zuzugreifen. Habe dies testweise mal eingerichtet.
Hierzu mittels "Assistent zum Konfigurieren von Email und Internetzugang"
Terminaldienste freigeschaltet und an meinem DSL-Router eine
entsprechende Weiterleitung von Port 3389 geschaltet.
Hat auch alles auf anhieb funktioniert und gefällt mir eigentliche besser
als der Remote Webarbeitsplatz.
Nur wie sieht's mit der Sicherheit aus?
Über Info wäre ich dankbar.
Gruß Jürgen
habe mich bisher von Zuhause über den Remote-Webarbeitsplatz
auf unseren SBS 2003 eingeloggt.
Nun gibt es doch auch die Möglichkeit über den Remote-Desktop Client
auf den Server zuzugreifen. Habe dies testweise mal eingerichtet.
Hierzu mittels "Assistent zum Konfigurieren von Email und Internetzugang"
Terminaldienste freigeschaltet und an meinem DSL-Router eine
entsprechende Weiterleitung von Port 3389 geschaltet.
Hat auch alles auf anhieb funktioniert und gefällt mir eigentliche besser
als der Remote Webarbeitsplatz.
Nur wie sieht's mit der Sicherheit aus?
Über Info wäre ich dankbar.
Gruß Jürgen
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 104506
Url: https://administrator.de/contentid/104506
Printed on: April 16, 2024 at 19:04 o'clock
2 Comments
Latest comment
Mehr oder weniger ist das sicher. RDP besitzt eine wenn auch schwache Grundverschlüsselung so das deine Daten relativ sicher sind.
Schlimmer ist das du die Portweiterleitung für den Standardport TCP 3389 freigemacht hast der natürlich auch von allen Portscannern benutzt wird.
Sicherheitstechnisch ist es besser hier eine sog. Portverschleierung zu machen und den RDP Port auf z.B. TCP 53389 zu setzen damit nicht gleich alle Standardscanner deinen offenen RDP Port finden.
Entweder machst du dann eine Port Translation mit dem Router wenn der das kann. Also eingehend TCP 53389 leitet er weiter auf intern TCP 3389.
Oder wenn der Router keine Port Translation kann, kannst du es am Server in der Registry umsetzen indem du
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\ den Wert "PortNumber" auf 53389 setzt in der Registry mit regedit.
Danach hört der RDP Server dann auf den Port 53389 statt 3389 und du kannst das Port Forwarding mit TCP 53389 in der Weiterleitung einrichten.
Im Client gibst du dann halt als Server z.B- 217.123.34.5:53389 ein um dann etwas sicherer RDP zu nutzen.
Wenn du ganz auf Nummer sicher gehen willst setzt du einen VPN Router ein machst eine VPN Verbindung mit IPsec auf und machst dann RDP über den VPN Tunnel.
IPsec gilt derzeit als sicher !
Schlimmer ist das du die Portweiterleitung für den Standardport TCP 3389 freigemacht hast der natürlich auch von allen Portscannern benutzt wird.
Sicherheitstechnisch ist es besser hier eine sog. Portverschleierung zu machen und den RDP Port auf z.B. TCP 53389 zu setzen damit nicht gleich alle Standardscanner deinen offenen RDP Port finden.
Entweder machst du dann eine Port Translation mit dem Router wenn der das kann. Also eingehend TCP 53389 leitet er weiter auf intern TCP 3389.
Oder wenn der Router keine Port Translation kann, kannst du es am Server in der Registry umsetzen indem du
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\ den Wert "PortNumber" auf 53389 setzt in der Registry mit regedit.
Danach hört der RDP Server dann auf den Port 53389 statt 3389 und du kannst das Port Forwarding mit TCP 53389 in der Weiterleitung einrichten.
Im Client gibst du dann halt als Server z.B- 217.123.34.5:53389 ein um dann etwas sicherer RDP zu nutzen.
Wenn du ganz auf Nummer sicher gehen willst setzt du einen VPN Router ein machst eine VPN Verbindung mit IPsec auf und machst dann RDP über den VPN Tunnel.
IPsec gilt derzeit als sicher !
RDP ist laut MS auch für den Betrieb über's Internet gedacht, Du könntest, wenn Du gesteigerte Angst hast, die Verschlüsselung durch den Einsatz von Zertifikaten verstärken und auf dem Server TLS-1.0-Verschlüsselung einrichten, siehe http://blogs.technet.com/migreene/archive/2006/04/30/426860.aspx
