Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Gefahr bei rdp (Remote Desktop Protokoll)

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: Bellerophontes

Bellerophontes (Level 1) - Jetzt verbinden

02.06.2008, aktualisiert 31.12.2008, 8698 Aufrufe, 6 Kommentare

Welche Schwachstellen bietet rpd lokal auf dem Client?

Hallo,

folgende Situation:

Alte Struktur: Admins (ca. 20) greifen per Remote Desktop über das Netz auf einen Windows-Update-Server zu.

Bei der Umstellung / Migration kam die Anmerkung, dass rdp unsicher sei und daher nicht mehr verwendet werden sollte.

Ich denke, dass einerseits die Verbindungssicherheit seit Win2003 nicht mehr problematisch ist, dank tls.

Man sagte jedoch, dass die Gefahr sei, dass die User ihren Remote-Client mit einem anderen Server verbinden könnten. Was eine Schwachstelle sei.
Gibt es eine Möglichkeit, dass zu unterbinden?

Danke im Vorraus
Mitglied: TuXHunt3R
02.06.2008 um 21:52 Uhr
Wenn die User nicht in der lokalen Gruppe "Remote Desktop Users" auf dem Server drin sind, besteht keine Gefahr. Sie können dann eine Session eröffnen, werden dann beim Login eine Fehlermeldung erhalten, dass sie nicht die Berechtigungen haben, um sich auf den Server einzuloggen.

Man sagte jedoch, dass die Gefahr sei, dass die User ihren Remote-Client mit einem anderen Server verbinden könnten. Was eine Schwachstelle sei.

Dann empfehle ich dir, den RDP-Client per Gruppenrichtlinie zu sperren und ihn nur den lokalen Administratoren zur Verfügung zu stellen. Eine Blockade der "mstsc.exe" müsste reichen...
Bitte warten ..
Mitglied: Bellerophontes
02.06.2008 um 23:38 Uhr
Danke erstmal für die schnelle Antwort.

Es ist ja so, dass Admins über remote desktop auf einen Server zugreifen.
Also, auf dem Server sollen sie sich ja anmelden. Sie dürfen sich nur nicht an einen anderen Server anmelden. Kann man also unterbinden, dass sie Einstellungen in ihrem Client ändern?

Oder müsste man tatsächlich eine Rollentrennung einbringen? Lokale Admins, die die Clients konfigurieren und die Update-Admins, die über den Client auf den Update-Server zugreifen?
Bitte warten ..
Mitglied: SarekHL
03.06.2008 um 07:03 Uhr
"dem Server", "andere Server" ... vielleicht verschaffst Du uns erst mal einen Gesamteindruck von Deinem Netzwerk ...
Bitte warten ..
Mitglied: Bellerophontes
03.06.2008 um 07:38 Uhr
Naja, vom Prinzip ist es recht einfach.

Unabhängig von der Struktur kann die Frage lauten: Wie kann ich sicherstellen, dass sich ein User mit remote desktop client an genau einem für ihn bestimmten remote server anmeldet.

Also eine klassische n:1 Beziehung, n Clients, 1 Server, bzw. für den Einzelfall 1:1, jeder Client darf nur auf einen Server.
Verhindert werden soll n:n bzw. für den Einzelfall 1:n.


Die Frage konkretisiert:

Gibt es Konfigurationsmöglichkeiten im Remote Client, die festlegen, dass der Client sich nur mit einem Server verbinden darf?
Gibt es Gruppenrichtlinien, die ich einsetzen kann?


Danke für die Antworten.
Bitte warten ..
Mitglied: geTuemII
03.06.2008 um 08:06 Uhr
Das beantwortet zwar immernoch nicht die Frage von SareHL, aber sei es drum...

Du kannst über Serverzertifikate authentifizieren und die RDP-Clients so einstellen, daß sie nur bei erfolgreicher Authentifizierung verbinden (Optionen --> Register Leistung --> Bereich Serverauthentifizierung). Falls also alle Server in deinem Netz ein Zertifikat haben, werden die Verbindungen zu allen Servern hergestellt. Vermutlich lief also auch SareHLs Frage darauf hinaus: geht es darum, daß die Admins nicht zufällig auf "fremde" Server (außerhalb des Netzes) gehen oder darum, wirklich mit dem richtigen Server im eingenen Netz verbunden zu sein?

geTuemII
Bitte warten ..
Mitglied: Bellerophontes
03.06.2008 um 08:12 Uhr
Ja, so langsam wird es klarer. Danke!

Es geht tatsächlich darum, dass die Admins nicht "zufällig" auf fremde Server gehen.

@Sarek: Sorry, dass ich die Frage nicht wirklich beantwortet habe, aber wir kommen schon dahinter.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Nutzungsstatistik von Remote Desktop Services Apps (2)

Frage von Hellvis zum Thema Windows Server ...

Xenserver
Remote Desktop Access - Automatischer Programmstart (14)

Frage von Ravelux zum Thema Xenserver ...

Windows Server
Remote Desktop Profil einschränken (11)

Frage von Innersmile zum Thema Windows Server ...

Neue Wissensbeiträge
Administrator.de Feedback

Umgangsformen auf der Seite

(7)

Information von Frank zum Thema Administrator.de Feedback ...

Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(10)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Dir tc Befehl unter Windows 10 macht Probleme (14)

Frage von sugram zum Thema Batch & Shell ...

Windows Server
Windows Server 2016 RDS Remoteapp Anzeigefehler (11)

Frage von qlnGenius zum Thema Windows Server ...

Windows Server
Festplatten Ruhezustand Windows Server 2016 (10)

Frage von ahaeuser zum Thema Windows Server ...