Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Infektionsrisiko Remote Desktop?

Frage Sicherheit Viren und Trojaner

Mitglied: Datenreise

Datenreise (Level 1) - Jetzt verbinden

13.08.2013 um 20:25 Uhr, 6093 Aufrufe, 5 Kommentare

Guten Abend zusammen!

Aus gegebenem Anlass stelle ich mir die Frage, ob das Infizieren mit Schadsoftware von Rechnern untereinander möglich ist, wenn lediglich per (Microsoft) Remote Desktop aufeinander zugegriffen wird.

Ich konnte leider nicht allzuviel Konkretes zu dieser Frage finden - da im Prinzip ja lediglich Bildinhalt übertragen wird (sofern nicht noch extra mit gemappten Laufwerken gearbeitet wird), sollte die Gefahr nach meinem Verständnis gleich null sein.

Lizenzrechtlich könnte man sich somit auf die Absicherung des oder der Terminalserver konzentrieren, während die Endpoints, soweit sie wirklich "reine Terminals" sind, nicht bedacht werden müssten, selbst wenn ein vollwertiges Betriebssystem darauf läuft.

Wahrscheinlich ist die Sache aber nicht so eindeutig, wie ich sie darstelle?

Verändert sich das (Gefahren-)Szenario, wenn die Clients zwar wirklich nur als Terminal fungieren, aber als Domänenmitglied beispielsweise zusätzlich Gruppenrichtlinien abfragen?


Vielen Dank im Voraus für jeden erhellenden Beitrag!
Mitglied: Lochkartenstanzer
13.08.2013 um 21:51 Uhr
Zitat von Datenreise:
Guten Abend zusammen!

Aus gegebenem Anlass stelle ich mir die Frage, ob das Infizieren mit Schadsoftware von Rechnern untereinander möglich ist,
wenn lediglich per (Microsoft) Remote Desktop aufeinander zugegriffen wird.

Ich konnte leider nicht allzuviel Konkretes zu dieser Frage finden - da im Prinzip ja lediglich Bildinhalt übertragen wird
(sofern nicht noch extra mit gemappten Laufwerken gearbeitet wird), sollte die Gefahr nach meinem Verständnis gleich null
sein.


Auch die RDP-Clients haben oft fehler, weswegen da auch hin und wieder updates kommen. Sofern der Terminal-Server etnsprechend präpariert ist, könnte er unter Ausnutzung eiens exploits natürlich schadsoftware auf den client schieben.

Hier etwas zum einlesen .


Umgekehrt kann natürlich der Client genauso den terminalserver infizieren, sofern auf dem Client malware ist. Eine enfache variante wäre enfach Schadsoftware zum TS zu übertragen, indem die Clientlaufwerke eingebunden werden. Notfalls könnte er sogar eine einfache "erlaubte" RDP-Sitzung aufmachen und per "copy con: datei.exe" malware einspielen.

Lizenzrechtlich könnte man sich somit auf die Absicherung des oder der Terminalserver konzentrieren, während die
Endpoints, soweit sie wirklich "reine Terminals" sind, nicht bedacht werden müssten, selbst wenn ein vollwertiges
Betriebssystem darauf läuft.


welche Lizenzen meinst Du jetzt?

Wahrscheinlich ist die Sache aber nicht so eindeutig, wie ich sie darstelle?

Eher unklar, was du meinst.


Verändert sich das (Gefahren-)Szenario, wenn die Clients zwar wirklich nur als Terminal fungieren, aber als
Domänenmitglied beispielsweise zusätzlich Gruppenrichtlinien abfragen?

Was für clients? Wenn das normale windowsrechner sind, ist es egal. sobald da Malware drauf ist, könnte die, sofern die malware es darauf anlegt, auch den TS infizieren, zumindest den Account desjenigen, der sich anmelden darf.

lks
Bitte warten ..
Mitglied: Datenreise
13.08.2013 um 22:10 Uhr
Hallo LKS,

danke für deine Antwort.
Um es etwas konkreter zuzuspitzen, ich rede grundsätzlich von Windows (XP/7/8)-Clients und Windows Server (2008/2012) als Terminalserver, weil dies in den von mir bearbeiteten Netzen die weitaus gängigste Konfiguration ist.

Bei den Lizenzen bezog ich mich auf AV-Produkte, war etwas unklar ausgedrückt, entschuldige.

Die Frage der Eindeutigkeit bezog sich auf meine Grundannahme, dass keine Schadsoftware übertragen werden könne, wenn lediglich die RDP-Verbindung zwischen zwei Systemen besteht.
Das ist ja die Kernfrage, in wieweit dies stimmt oder eben nicht. Dazu hast du ja nun zumindest einige Diskussionsanstöße geliefert.

Wenn ich dich richtig verstehe gehst du davon aus (oder bist dir sicher?), dass ein Windows RDP-Client seinen RDP-Server rein über die RDP-Sitzung infizieren kann und umgekehrt. Richtig?
Bitte warten ..
Mitglied: Lochkartenstanzer
13.08.2013, aktualisiert um 22:18 Uhr
Zitat von Datenreise:
Wenn ich dich richtig verstehe gehst du davon aus (oder bist dir sicher?), dass ein Windows RDP-Client seinen RDP-Server rein
über die RDP-Sitzung infizieren kann und umgekehrt. Richtig?

Prinzipiell ja.

ein verseuchter client kann auf jeden fall den account des benutzers auf dem Server infizieren. Dazu muß er nur passende "Maus-" und "Tastendrücke" erzeuge,n die z.B. bestimmte Bytefolgen in eine Datei schreiben udn dann diese datei ausführen lassen. das haben wir vor fast 30 Jahren schon an DOS-rechnern mit Copy CON: Datei.com gemacht, um herauszufinden, wie man Programm ein ein System bekommt, bei dem die Diskettenlaufwerke deaktiviert/kaputt waren. War damals ein lustiger Wettbewerb unter den Kommilitonen, Das ist also Prinzipiell nichts anderes. auch wenn mir bisher keine solche Malware bekannt ist.

Der weg vom infizierten TS zum Client ist da schon eher beackert und da gibt es auch schon exploits dazu. man muß also darauf achten, den neuesten RDP-Client ohne Security-flwas einzusetzen., wenn man da sichergehen will.


Fazit: Es muß sowohl der Client sich vor dem Serevr in Acht nehmen, als auch der Server vor dem Client.

lks
Bitte warten ..
Mitglied: jsysde
14.08.2013 um 00:15 Uhr
N'Abend.

Zitat von Datenreise:
Ich konnte leider nicht allzuviel Konkretes zu dieser Frage finden - da im Prinzip ja lediglich Bildinhalt übertragen wird
(sofern nicht noch extra mit gemappten Laufwerken gearbeitet wird), sollte die Gefahr nach meinem Verständnis gleich null
sein.
Nö, da wird mehr übertragen, z.B. wenn die Laufwerke des Clients vom Server zurückverbunden werden und/oder die Client-Drucker auf via RD-Host zur Verfügung gestellt werden. Reine Bildübertragung ist das nicht, dazu müsstest du all diese Funktionen auf dem RD-Host deaktivieren.

Wenn du auf den Endpoints keinerlei Sicherheitssoftware installiert hast müsstest du weiterhin sicherstellen, dass auch wirklich nur Port 3389 (oder welchen Port auch immer du für RDP verwendest) "offen" ist, bestenfalls also die RD-Hosts hinter ner Firewall verschanzen, die nur den entsprechenden Port durchlässt.

Und selbst dann kann ein Fehler in der Protokoll-Implementierung zu einer Infektion führen - Lücken gab es in der Vergangenheit immer wieder, einer der Gründe, warum man einen RD-Host nicht offen aus dem Internet erreichbar machen sollte.

Deine Annahme ist also sehr theoretisch...

Cheers,
jsysde
Bitte warten ..
Mitglied: Dobby
14.08.2013 um 01:35 Uhr
Hallo,

also Du gehst immer nur von den PCs aus und über was die denn nun genau verbunden sind,
es kommt eben auch immer auf den Virus an!

Es gibt Viren die aktiv das ganze Netzwerk nach allem und nichts ab scannen und sich neue Opfer in dem Netzwerk suchen
und dann natürlich auch bei einer aktiven Verbindung von einem PC auf einen anderen übersetzen (Infektion) können.

Es ist daher auch immer ratsam möglichst alle im Netzwerk befindlichen Geräte mit einem Antivirus auszustatten.
UTM oder Firewall und STM (transparenter Proxy) dahinter, Server, NAS, SAN, DAS, File Server, Klient PCs.

sollte die Gefahr nach meinem Verständnis gleich null sein.
Es kommt eben darauf an was das für ein Virus ist, wenn es sich um einen Wurm handelt kann er sogar das ganze
Netzwerk infizieren.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Windows Server
Remote Desktop Bildschirm ist schwarz
gelöst Frage von makuobbWindows Server3 Kommentare

Hallo zusammen, ich habe zu verschiedenen Standorten eine VPN Verbindung mit der ich mich mit Remote Desktop von Win7 ...

Server
Remote Desktop Verbindungsprobleme
gelöst Frage von 118080Server7 Kommentare

Hey Leute Erstmal bin ich mir nicht sicher ob der Thread hier hingehört Es geht darum auf einen Server ...

Windows Server
Remote Desktop oder VirtualMachines?
gelöst Frage von consydarWindows Server9 Kommentare

Hallo Admins, wir haben derzeit ca. 25 Windows XP VMs auf XEN (OS: SLES 11) am laufen. Und es ...

Windows Server
Remote Desktop Profil einschränken
Frage von InnersmileWindows Server11 Kommentare

Hallo zusammen, ich habe folgendes Problem: Auf einen Windows 2008 R2 Server (in Arbeitsgruppe, nicht Domäne) sollen verschiedene Remote ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 6 StundenBatch & Shell7 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 8 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 23 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Batch & Shell
Neuste Datei via PowerShell kopieren
gelöst Frage von kaiuwe28Batch & Shell11 Kommentare

Hallo zusammen, ich hatte mir mit Hilfe der Suche im Forum einen kleinen Code von colinardo rausgesucht und versucht ...