7
RDS Optimal absichern
Hallo zusammen,
mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.
Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.
Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)
Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.
Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling
mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.
Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.
Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)
Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.
Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 316882
Url: https://administrator.de/contentid/316882
Printed on: April 23, 2024 at 12:04 o'clock
7 Comments
Latest comment
Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist 
Hallo Tomolpi,
die Idee gefällt mir den selben Ansatz habe ich auch verfolgt habe ein Log-out Skript geschrieben und es an den Benutzer Login gehangen.
funktioniert super... leider zu gut
Denn sobald ein Nutzer ein Programm auswählt das er nutzen möchte scheint im Hintergrund ein log in statt zu finden, so dass er automatisch wieder ausgelogt wird und das Programm sich wieder schließt.
die Idee gefällt mir den selben Ansatz habe ich auch verfolgt habe ein Log-out Skript geschrieben und es an den Benutzer Login gehangen.
funktioniert super... leider zu gut
Denn sobald ein Nutzer ein Programm auswählt das er nutzen möchte scheint im Hintergrund ein log in statt zu finden, so dass er automatisch wieder ausgelogt wird und das Programm sich wieder schließt.
Moin
Entsprechende Kennwörter (Komplexitätsrichtlinie) welche in regelmäßgen Abständen geändert werden.
Am Ende hängt es trotzdem vom Benutzer ab. Daher hilft hier nur schulen...
Keine Software installieren, welche nicht unbedingt erforderlich ist.
RDP-Authentifizierung auf TLS umstellen.
Gruß,
Dani
Zitat von @tomolpi:
Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist
und wie unterscheidet zwischen RemoteApps und Desktopverbindung? In in beiden Fällen wird im Hintergrund eine RDP-Verbindung aufgebaut (siehe Task-Manager).Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist
Seine Hauptsorgen sind 1. Angriffe durch dritte
Wenn ihr WebAccess nutzt, könnte man den IIS bezüglich Verschlüsselung härten. Ich empfehle gerne das Tool IIS Crypto.Entsprechende Kennwörter (Komplexitätsrichtlinie) welche in regelmäßgen Abständen geändert werden.
Am Ende hängt es trotzdem vom Benutzer ab. Daher hilft hier nur schulen...
Keine Software installieren, welche nicht unbedingt erforderlich ist.
RDP-Authentifizierung auf TLS umstellen.
und 2. DAU-Schäden
Da spielt der Zugriff (RemoteApp oder Desktop) erstmal keine Rolle. Wenn der Benutzer keine lokale Adminrechte o.ä. besitzt sine die Betriebssystem relevanten Verzeichnisse geschützt. Wenn er auf das Programmverzeichnis XYZ Vollzugriff hat, kann er dieses natürlich auch "ausversehen" löschen.Gruß,
Dani
Danke Dani,
Den IIS Ansatz werde ich weiterverfolgen.
Was die DAUs angeht.... Wir sind eine Bildungseinrichtung mit ca. 8000 Nutzern die ständig wechseln wo ein schulen auf korrekte Nutzung der IT Ressourcen leider unmöglich ist.
Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen. z.B. Benutzernamen anderer Anwender. o.ä.
Den IIS Ansatz werde ich weiterverfolgen.
Was die DAUs angeht.... Wir sind eine Bildungseinrichtung mit ca. 8000 Nutzern die ständig wechseln wo ein schulen auf korrekte Nutzung der IT Ressourcen leider unmöglich ist.
Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen. z.B. Benutzernamen anderer Anwender. o.ä.
. z.B. Benutzernamen anderer Anwender. o.ä.
Schlechtes Beispiel: Wer ein bisschen Verstand einsetzt weiß, dass der Benutername aus einem Schema von Vor- und Nachname besteht. Soll aber auch Ausnahmen geben, welche die Personalnummer oder Zufallszahlen als Benutzernamen vergeben.Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen
Zuerst ein Konzept ausarbeiten und anschließend mit Active Directory Gruppen die Berechtigungen umsetzen. Bei einer sauberen Dokumentation brennt da eigentlich nichts an. Was aber nicht davor schützt, dass Dokument evtl. im falschen Ordner abgelegt werden. Da sind wir wieder bei den Usern... Gruß,
Dani
Okay ich sehe worauf es hinausläuft.
Ich danke dir für die Unterstützung
Ich danke dir für die Unterstützung
Zitat von @Remoteserverneuling:
Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.
Moin,Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.
Du kannst im AD die Logoff.exe ins TS Profil eintragen, die User werden dann bei Desktopverbindungen via RDP abgemeldet aber RemoteApp funktioniert trotzdem.
/Thomss
