Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bringt eine RDP-Weiterleitung die 1012er Meldungen zum Schweigen?

Frage Microsoft Windows Server

Mitglied: Xabbu121

Xabbu121 (Level 1) - Jetzt verbinden

24.02.2015, aktualisiert 17:30 Uhr, 612 Aufrufe, 7 Kommentare

Hallo!

Ich hab da mal eine kleine Verständnisfrage bzgl RDP und eine entsprechende Weiterleitung. Hab da iwie nen Knoten im Kopp.

Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server (Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen.) ausgelöst. Das ist ja nichts aussergewöhnliches für offene RDP-Ports. Hauptsache das PW ist sicher und die Anzahl der Anmeldeversuche eingeschränkt.

Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle RDP-Anfragen von aussen nach innen zu meinem TerminalServer?

Wäre schön, wenn mich jemand aufklären könnte!
Mitglied: keine-ahnung
24.02.2015 um 18:42 Uhr
Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server
Wie kommen die bis auf Euern RDS-Server?
Bringt eine RDP-Weiterleitung die 1012er Meldungen zum Schweigen?
Nein. Zum Schweigen bringt die nur dieser freundliche IT-Beauftragte! Oder halt ein simples VPN
Bitte warten ..
Mitglied: runasservice
24.02.2015, aktualisiert um 19:18 Uhr
Hallo,

Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle


Wird nicht viel bringen, ein Portscanner braucht dann 2-3 Sekunden länger um den Port zu finden......

http://nmap.org/man/de/man-port-scanning-techniques.html


Mit freundlichen Grüßen Andreas
Bitte warten ..
Mitglied: ASP.NET
25.02.2015 um 01:57 Uhr
Zitat von Xabbu121:
Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von
3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle
RDP-Anfragen von aussen nach innen zu meinem TerminalServer?

Ich auch, denn wenn du den RDP-Port auf dem Server änderst aber die NAT-Regel nicht aktualisierst hast du dein Problem zwar gelöst, aber dafür kommt gar keiner einschließlich der berechtigten Personen mehr an RDP ran, dass du das wirklich willst bezweifle ich. Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.

Nun kurz gesagt heißt das Prinzip "Security through obscurity". In deinem Fall wird der Standardport geändert um zu verschleiern, dass auf diesem Server RDP und somit auch Windows läuft. Die generellen Meinungen dazu gehen von Totaler Quatsch bis hin zu "Ein anderes Sicherheitskonzept gibt es bei uns gar nicht". Ich persönlich halte keines dieser Extrema für richtig und sehe es als nützliche Ergänzung die nicht Schaden kann, würde aber keinesfalls ausschließlich darauf vertrauen.

Speziell beim Ändern von Standard-Ports ist der Nutzen zudem vergleichsweise gering, da wie bereits gesagt wurde jeder Portscanner den neuen Port relativ zügig findet. Somit schützt diese Maßnahme nur vor 0815 Bots sowie Scriptkiddys, die deine Domain/IP in das RDP-Fenster eingeben und einfach mal schauen wollen ob sie da zu einem Login kommen. Selbiges gilt für Linux-Server bzgl. SSH natürlich auch, genau wie für FTP-Server und andere verbreitete Dienste.

In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen. RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein VPN als Bridge einrichten.
Bitte warten ..
Mitglied: Xabbu121
25.02.2015 um 09:37 Uhr
Zitat von ASP.NET:

Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP
abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.
...
In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen.
RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein
VPN als Bridge einrichten.


Hallo ASP.NET!

Danke für die ausführliche Antwort. Die Portänderung erschien mir ebenfalls unzureichend daher fragte ich - und ja, mir fehlte das Hintergrundwissen. Nun sehe ich dank Deiner Ausführung aber etwas klarer.

Die "RDP-Tradition" ist hier schon seit je her gegeben. Wir haben hier einige IGEL-Clients (Terminal) am laufen, wo einige Mitarbeiter von Zuhause aus zugreifen möchten. VPN ist ein von mir angestrebtes Ziel, doch bis zur vollständigen Umsetzung dauert es noch etwas und ich wollte nun nicht tatenlos die täglichen Versuche hinnehmen.

Die Passwörter werden regelmässig geändert und entsprechen sehr hohen Sicherheitsanforderungen. Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden. Gibt es keine Möglichkeit den Administrator aus der Gruppe zu nehmen? Aber wahrscheinlich ist das auch eine elementare Frage, wo ich die Abhängigkeiten nicht verstehe und ein Ausschluss des Admins vollkommener Quatsch ist um sich nicht selbst auszuschliessen?
Bitte warten ..
Mitglied: runasservice
25.02.2015 um 10:54 Uhr
Hallo,

Selbiges gilt für Linux-Server bzgl. SSH natürlich auch, genau wie für FTP-Server und andere verbreitete Dienste.

Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!

http://www.fail2ban.org/wiki/index.php/Main_Page

Mit freundlichen Grüßen Andreas
Bitte warten ..
Mitglied: ASP.NET
25.02.2015 um 17:25 Uhr
Zitat von Xabbu121:
Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden.

Richtig, aus dem Grund sollte man typische administrative Benutzernamen wie Administrator, Admin oder ähnlich vermeiden. Insbesondere bei Windows-Servern kann man es wohl als Best Practice für Angreifer betrachten sein Glück mit diesem Benutzer zu versuchen. Das Konto ist standardmäßig vorhanden und die Wahrscheinlichkeit dass es existiert dementsprechend groß. Benenne das Konto also um bzw. deaktiviere es, und nutze zur Administration eines mit möglichst neutralem Name, auf den man als Außenstehender nicht so leicht kommt.

Zitat von Xabbu121:
Gibt es keine Möglichkeit den Administrator aus der Gruppe zu nehmen?

Verstehe ich nicht, aus welcher Gruppe? Die Anmelderichtlinien bzgl. Kontosperren kannst du natürlich deaktivieren falls du das meinst, nur frage ich mich was das bringen soll. Dann hast du das Problem bezüglich Accountsperre zwar nicht mehr, aber dafür wohl bald ganz andere, da Brutern Tür und Tor geöffnet ist. Wenn das Konto anders heißt wird sich kaum ein unbefugter mehr mangels Kenntnis des Benutzernamens anmelden können, somit gibt es keine nervigen Sperren mehr ohne Sicherheitsfunktionen deaktivieren zu müssen.

Zitat von runasservice:
Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!

Bei mir auch nicht, ich verstehe nur nicht wie du bei meiner Aussage darauf schließt, dass es etwas äquivalentes nicht unter Linux gibt. Glaube du hast da was missverstanden. Wollte damit lediglich sagen, dass Scriptkiddys einfach die Domain/IP in die jeweiligen Clients eingeben können und schauen, ob auf den Standardports ein entsprechender Dämon lauscht. Sprich man öffnet RDP, gibt administrator.de ein und schaut ob da was läuft. Öffnet Putty oder einen anderen SSH-Client und schaut ob auf administrator.de ein SSH-Server auf dem Standardport läuft. Öffnet FileZilla und schaut ob auf dem Standardport ein FTP-Server am laufen ist und so weiter. Ich wollte darauf hinaus, dass die Nutzung von Nicht-Standardports lediglich ein paar Bots sowie die dümmsten Kiddys von weiteren Maßnahmen abhält. Denn die Kiddys öffnen RDP, connecten zu administrator.de, sehen da geht nix => Schade, nächste Seite. Wer ein bisschen mehr Ahnung hat wird nämlich wie hier schon erwähnt einen Portscanner benutzen, und dann wird RDP auch aufgelistet wenn der Dienst auf Port 47000 läuft.
Bitte warten ..
Mitglied: runasservice
25.02.2015 um 17:46 Uhr
Hallo,

Glaube du hast da was missverstanden.

nein, war soweit alles verständlich, war eben nur ein Hinweis auf das fail2ban von Linux Wollte damit deine Ausführungen nur ergänzen.....

Was vergleichbares habe ich leider noch nicht für Windows gesehen. Würde das Brute-Force auf RDP (Problem) erstmal abschalten.


Mit freundlichen Grüßen Andreas
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows 10
Server 2016 RemoteApp bringt den RDP-Client durcheinander (4)

Frage von DerWoWusste zum Thema Windows 10 ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Tools
Zwischenspeicher TS RDP-Verbindung (3)

Frage von Yannosch zum Thema Windows Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...