Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bringt eine RDP-Weiterleitung die 1012er Meldungen zum Schweigen?

Frage Microsoft Windows Server

Mitglied: Xabbu121

Xabbu121 (Level 1) - Jetzt verbinden

24.02.2015, aktualisiert 17:30 Uhr, 744 Aufrufe, 7 Kommentare

Hallo!

Ich hab da mal eine kleine Verständnisfrage bzgl RDP und eine entsprechende Weiterleitung. Hab da iwie nen Knoten im Kopp.

Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server (Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen.) ausgelöst. Das ist ja nichts aussergewöhnliches für offene RDP-Ports. Hauptsache das PW ist sicher und die Anzahl der Anmeldeversuche eingeschränkt.

Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle RDP-Anfragen von aussen nach innen zu meinem TerminalServer?

Wäre schön, wenn mich jemand aufklären könnte!
Mitglied: keine-ahnung
24.02.2015 um 18:42 Uhr
Dauernd werden aufgrund Brute-Force-Versuche die Meldungen 1012 auf unserem Terminal-Server
Wie kommen die bis auf Euern RDS-Server?
Bringt eine RDP-Weiterleitung die 1012er Meldungen zum Schweigen?
Nein. Zum Schweigen bringt die nur dieser freundliche IT-Beauftragte! Oder halt ein simples VPN
Bitte warten ..
Mitglied: runasservice
24.02.2015, aktualisiert um 19:18 Uhr
Hallo,

Nun möchte ich den Port ändern. Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von 3389 auf z.B. 40000 stelle


Wird nicht viel bringen, ein Portscanner braucht dann 2-3 Sekunden länger um den Port zu finden......

http://nmap.org/man/de/man-port-scanning-techniques.html


Mit freundlichen Grüßen Andreas
Bitte warten ..
Mitglied: ASP.NET
25.02.2015 um 01:57 Uhr
Zitat von Xabbu121:
Bin aber in einer Verständnismisslage. Wenn ich nun den Port in der Registry von
3389 auf z.B. 40000 stelle, und das Mapping im Router von 3389 aussen zu 40000 innen einstelle, gelangen doch trotzdem alle
RDP-Anfragen von aussen nach innen zu meinem TerminalServer?

Ich auch, denn wenn du den RDP-Port auf dem Server änderst aber die NAT-Regel nicht aktualisierst hast du dein Problem zwar gelöst, aber dafür kommt gar keiner einschließlich der berechtigten Personen mehr an RDP ran, dass du das wirklich willst bezweifle ich. Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.

Nun kurz gesagt heißt das Prinzip "Security through obscurity". In deinem Fall wird der Standardport geändert um zu verschleiern, dass auf diesem Server RDP und somit auch Windows läuft. Die generellen Meinungen dazu gehen von Totaler Quatsch bis hin zu "Ein anderes Sicherheitskonzept gibt es bei uns gar nicht". Ich persönlich halte keines dieser Extrema für richtig und sehe es als nützliche Ergänzung die nicht Schaden kann, würde aber keinesfalls ausschließlich darauf vertrauen.

Speziell beim Ändern von Standard-Ports ist der Nutzen zudem vergleichsweise gering, da wie bereits gesagt wurde jeder Portscanner den neuen Port relativ zügig findet. Somit schützt diese Maßnahme nur vor 0815 Bots sowie Scriptkiddys, die deine Domain/IP in das RDP-Fenster eingeben und einfach mal schauen wollen ob sie da zu einem Login kommen. Selbiges gilt für Linux-Server bzgl. SSH natürlich auch, genau wie für FTP-Server und andere verbreitete Dienste.

In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen. RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein VPN als Bridge einrichten.
Bitte warten ..
Mitglied: Xabbu121
25.02.2015 um 09:37 Uhr
Zitat von ASP.NET:

Kommt mir eher so vor als hätte dir jemand gesagt "Ändere den Port um dein RDP
abzusichern" und dir fehlt das Hintergrundwissen um zu verstehen, welchen Sinn und Zweck das haben soll.
...
In deinem Fall solltest du aber nicht die Auswirkungen bekämpfen sondern dir lieber Gedanken über deine Struktur machen.
RDP würde ich nicht unbedingt öffentlich erreichbar machen, da gibt es bessere Lösungen wie z.B. schon genannt ein
VPN als Bridge einrichten.


Hallo ASP.NET!

Danke für die ausführliche Antwort. Die Portänderung erschien mir ebenfalls unzureichend daher fragte ich - und ja, mir fehlte das Hintergrundwissen. Nun sehe ich dank Deiner Ausführung aber etwas klarer.

Die "RDP-Tradition" ist hier schon seit je her gegeben. Wir haben hier einige IGEL-Clients (Terminal) am laufen, wo einige Mitarbeiter von Zuhause aus zugreifen möchten. VPN ist ein von mir angestrebtes Ziel, doch bis zur vollständigen Umsetzung dauert es noch etwas und ich wollte nun nicht tatenlos die täglichen Versuche hinnehmen.

Die Passwörter werden regelmässig geändert und entsprechen sehr hohen Sicherheitsanforderungen. Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden. Gibt es keine Möglichkeit den Administrator aus der Gruppe zu nehmen? Aber wahrscheinlich ist das auch eine elementare Frage, wo ich die Abhängigkeiten nicht verstehe und ein Ausschluss des Admins vollkommener Quatsch ist um sich nicht selbst auszuschliessen?
Bitte warten ..
Mitglied: runasservice
25.02.2015 um 10:54 Uhr
Hallo,

Selbiges gilt für Linux-Server bzgl. SSH natürlich auch, genau wie für FTP-Server und andere verbreitete Dienste.

Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!

http://www.fail2ban.org/wiki/index.php/Main_Page

MfG Andreas
Bitte warten ..
Mitglied: ASP.NET
25.02.2015 um 17:25 Uhr
Zitat von Xabbu121:
Ein Brut-Force versucht sich immer mit dem (logischerweise) Adminkonto anzumelden.

Richtig, aus dem Grund sollte man typische administrative Benutzernamen wie Administrator, Admin oder ähnlich vermeiden. Insbesondere bei Windows-Servern kann man es wohl als Best Practice für Angreifer betrachten sein Glück mit diesem Benutzer zu versuchen. Das Konto ist standardmäßig vorhanden und die Wahrscheinlichkeit dass es existiert dementsprechend groß. Benenne das Konto also um bzw. deaktiviere es, und nutze zur Administration eines mit möglichst neutralem Name, auf den man als Außenstehender nicht so leicht kommt.

Zitat von Xabbu121:
Gibt es keine Möglichkeit den Administrator aus der Gruppe zu nehmen?

Verstehe ich nicht, aus welcher Gruppe? Die Anmelderichtlinien bzgl. Kontosperren kannst du natürlich deaktivieren falls du das meinst, nur frage ich mich was das bringen soll. Dann hast du das Problem bezüglich Accountsperre zwar nicht mehr, aber dafür wohl bald ganz andere, da Brutern Tür und Tor geöffnet ist. Wenn das Konto anders heißt wird sich kaum ein unbefugter mehr mangels Kenntnis des Benutzernamens anmelden können, somit gibt es keine nervigen Sperren mehr ohne Sicherheitsfunktionen deaktivieren zu müssen.

Zitat von runasservice:
Unter Linux gibt es fail2ban. Bei uns geht keine Linux-Kiste ohne fail2ban ans Netz!

Bei mir auch nicht, ich verstehe nur nicht wie du bei meiner Aussage darauf schließt, dass es etwas äquivalentes nicht unter Linux gibt. Glaube du hast da was missverstanden. Wollte damit lediglich sagen, dass Scriptkiddys einfach die Domain/IP in die jeweiligen Clients eingeben können und schauen, ob auf den Standardports ein entsprechender Dämon lauscht. Sprich man öffnet RDP, gibt administrator.de ein und schaut ob da was läuft. Öffnet Putty oder einen anderen SSH-Client und schaut ob auf administrator.de ein SSH-Server auf dem Standardport läuft. Öffnet FileZilla und schaut ob auf dem Standardport ein FTP-Server am laufen ist und so weiter. Ich wollte darauf hinaus, dass die Nutzung von Nicht-Standardports lediglich ein paar Bots sowie die dümmsten Kiddys von weiteren Maßnahmen abhält. Denn die Kiddys öffnen RDP, connecten zu administrator.de, sehen da geht nix => Schade, nächste Seite. Wer ein bisschen mehr Ahnung hat wird nämlich wie hier schon erwähnt einen Portscanner benutzen, und dann wird RDP auch aufgelistet wenn der Dienst auf Port 47000 läuft.
Bitte warten ..
Mitglied: runasservice
25.02.2015 um 17:46 Uhr
Hallo,

Glaube du hast da was missverstanden.

nein, war soweit alles verständlich, war eben nur ein Hinweis auf das fail2ban von Linux Wollte damit deine Ausführungen nur ergänzen.....

Was vergleichbares habe ich leider noch nicht für Windows gesehen. Würde das Brute-Force auf RDP (Problem) erstmal abschalten.


MfG Andreas
Bitte warten ..
Ähnliche Inhalte
Windows 10
Win10 RDP - neuerdings zu bestätigende Meldung
gelöst Frage von bigzorroWindows 102 Kommentare

Hallo allerseits. Ich bekomme neuerdings auf einem meiner PCs (Win 10 pro) beim Versuch mich per RDP anzumelden eine ...

Windows 10
Server 2016 RemoteApp bringt den RDP-Client durcheinander
gelöst Frage von DerWoWussteWindows 105 Kommentare

Moin Kollegen. Nach dem letzten kumulativen Update für Win10 (hier: enterprise x64 v1607, 14393.447) klagen mehrere Nutzer darüber, dass ...

Exchange Server
Exchange 2007 bringt bei Kalendereinträgen , wenn nicht gleich bestätigt Meldung Diese Besprechungsanfrage ist veraltet und wird nun gelöscht
gelöst Frage von 116480Exchange Server5 Kommentare

Hallo Zusammen, wenn jemand keine Berechtigung auf einen Kalender hat , und einen Eintrag macht, dann wird diese Anfrage ...

Router & Routing
LANCOM 1781VAW - DSL LED zum schweigen bringen
gelöst Frage von KevinHoebuschRouter & Routing9 Kommentare

Hallo, dieses Problem ist eigentlich keins. Ich habe einen LANCOM 1781VAW hier neben mir stehen. Da dieser Router Internet ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 15 MinutenWindows 10

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 StundeSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 16 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 19 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...