Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gefahr bei rdp (Remote Desktop Protokoll)

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: Bellerophontes

Bellerophontes (Level 1) - Jetzt verbinden

02.06.2008, aktualisiert 31.12.2008, 8687 Aufrufe, 6 Kommentare

Welche Schwachstellen bietet rpd lokal auf dem Client?

Hallo,

folgende Situation:

Alte Struktur: Admins (ca. 20) greifen per Remote Desktop über das Netz auf einen Windows-Update-Server zu.

Bei der Umstellung / Migration kam die Anmerkung, dass rdp unsicher sei und daher nicht mehr verwendet werden sollte.

Ich denke, dass einerseits die Verbindungssicherheit seit Win2003 nicht mehr problematisch ist, dank tls.

Man sagte jedoch, dass die Gefahr sei, dass die User ihren Remote-Client mit einem anderen Server verbinden könnten. Was eine Schwachstelle sei.
Gibt es eine Möglichkeit, dass zu unterbinden?

Danke im Vorraus
Mitglied: TuXHunt3R
02.06.2008 um 21:52 Uhr
Wenn die User nicht in der lokalen Gruppe "Remote Desktop Users" auf dem Server drin sind, besteht keine Gefahr. Sie können dann eine Session eröffnen, werden dann beim Login eine Fehlermeldung erhalten, dass sie nicht die Berechtigungen haben, um sich auf den Server einzuloggen.

Man sagte jedoch, dass die Gefahr sei, dass die User ihren Remote-Client mit einem anderen Server verbinden könnten. Was eine Schwachstelle sei.

Dann empfehle ich dir, den RDP-Client per Gruppenrichtlinie zu sperren und ihn nur den lokalen Administratoren zur Verfügung zu stellen. Eine Blockade der "mstsc.exe" müsste reichen...
Bitte warten ..
Mitglied: Bellerophontes
02.06.2008 um 23:38 Uhr
Danke erstmal für die schnelle Antwort.

Es ist ja so, dass Admins über remote desktop auf einen Server zugreifen.
Also, auf dem Server sollen sie sich ja anmelden. Sie dürfen sich nur nicht an einen anderen Server anmelden. Kann man also unterbinden, dass sie Einstellungen in ihrem Client ändern?

Oder müsste man tatsächlich eine Rollentrennung einbringen? Lokale Admins, die die Clients konfigurieren und die Update-Admins, die über den Client auf den Update-Server zugreifen?
Bitte warten ..
Mitglied: SarekHL
03.06.2008 um 07:03 Uhr
"dem Server", "andere Server" ... vielleicht verschaffst Du uns erst mal einen Gesamteindruck von Deinem Netzwerk ...
Bitte warten ..
Mitglied: Bellerophontes
03.06.2008 um 07:38 Uhr
Naja, vom Prinzip ist es recht einfach.

Unabhängig von der Struktur kann die Frage lauten: Wie kann ich sicherstellen, dass sich ein User mit remote desktop client an genau einem für ihn bestimmten remote server anmeldet.

Also eine klassische n:1 Beziehung, n Clients, 1 Server, bzw. für den Einzelfall 1:1, jeder Client darf nur auf einen Server.
Verhindert werden soll n:n bzw. für den Einzelfall 1:n.


Die Frage konkretisiert:

Gibt es Konfigurationsmöglichkeiten im Remote Client, die festlegen, dass der Client sich nur mit einem Server verbinden darf?
Gibt es Gruppenrichtlinien, die ich einsetzen kann?


Danke für die Antworten.
Bitte warten ..
Mitglied: geTuemII
03.06.2008 um 08:06 Uhr
Das beantwortet zwar immernoch nicht die Frage von SareHL, aber sei es drum...

Du kannst über Serverzertifikate authentifizieren und die RDP-Clients so einstellen, daß sie nur bei erfolgreicher Authentifizierung verbinden (Optionen --> Register Leistung --> Bereich Serverauthentifizierung). Falls also alle Server in deinem Netz ein Zertifikat haben, werden die Verbindungen zu allen Servern hergestellt. Vermutlich lief also auch SareHLs Frage darauf hinaus: geht es darum, daß die Admins nicht zufällig auf "fremde" Server (außerhalb des Netzes) gehen oder darum, wirklich mit dem richtigen Server im eingenen Netz verbunden zu sein?

geTuemII
Bitte warten ..
Mitglied: Bellerophontes
03.06.2008 um 08:12 Uhr
Ja, so langsam wird es klarer. Danke!

Es geht tatsächlich darum, dass die Admins nicht "zufällig" auf fremde Server gehen.

@Sarek: Sorry, dass ich die Frage nicht wirklich beantwortet habe, aber wir kommen schon dahinter.
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Google Android

Cyanogenmod alternative Downloadquelle

(5)

Tipp von Lochkartenstanzer zum Thema Google Android ...

Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(5)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Statische Routen mit Shorewall, ISC-DHCP Server konfigurieren für Android Devices (24)

Frage von terminator zum Thema LAN, WAN, Wireless ...

Server
gelöst Wie erkennen, dass nur deutsche IPs Zugang zu einer Website haben? (22)

Frage von Coreknabe zum Thema Server ...

Hardware
16-20 Port POE Switch mit VLAN (19)

Frage von thomasreischer zum Thema Hardware ...

Windows Server
Exchange HyperV Prozessorlast (18)

Frage von theoberlin zum Thema Windows Server ...