135522
Goto Top

SBS Remotewebzugriff-Sicherheits-Frage

Guten Abend

Ich habe noch zwei SBS 2011 im Einsatz und mir ist aufgefallen, dass über https://mail.KUNDE.de/remote standardmässig eine RDP Möglichkeit besteht, wenn man sich einloggt.

Frage:

1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu verbinden, auch wenn der RDP Port 3389 dicht ist?
2. Im Test gelang mir dies nicht weil ich das Zertifikat nicht installiert hatte. Erhalte ich dies nur über den Server? Dann wäre es ja nicht so problematisch.
3. Kann man diese Variante komplett unterbinden? Irgendwie finde ich die blosse Vorstellung, dass sowas möglich ist, schon sehr bedenklich.


Freundlichen Gruss euch
Oli


P.s.: Ich bin froh wenn auch die letzten zwei SBS ersetzt wurden.

Content-Key: 365591

Url: https://administrator.de/contentid/365591

Ausgedruckt am: 19.03.2024 um 03:03 Uhr

Mitglied: tomolpi
tomolpi 21.02.2018 um 16:24:02 Uhr
Goto Top
Zitat von @135522:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).
Mitglied: 135522
135522 21.02.2018 um 16:27:00 Uhr
Goto Top
Zitat von @tomolpi:

Zitat von @135522:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).

Hallo Tomolpi,

Vermutlich schon - aber auf den Server selber kann ein "normaler" Benutzer ja sowieso nicht einloggen. Und ja der Port 443 stimmt, deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.02.2018 um 16:38:59 Uhr
Goto Top
Richtig, darum sollte man hierbei auch gewisse Vorkehrungen treffen.

Aber die SBS gehen langsam sowieso in Rente, daher...
Mitglied: 135333
135333 21.02.2018 aktualisiert um 16:43:56 Uhr
Goto Top
Zitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.

Gruß Snap
Mitglied: tomolpi
tomolpi 21.02.2018 um 16:53:36 Uhr
Goto Top
Zitat von @135333:

Zitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspx
Mitglied: 135522
135522 21.02.2018 um 16:54:20 Uhr
Goto Top
Zitat von @135333:

Zitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.

Gruß Snap

Aber ich will ja "nur" RDP von extern komplett unterbinden. Ausser per VPN natürlich. ;)
Mitglied: 135522
135522 21.02.2018 um 16:55:17 Uhr
Goto Top
Zitat von @tomolpi:

Zitat von @135333:

Zitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspx

Wird dann RDP über HTTPS auch mit deaktiviert?