Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Remote Desktop Lizenzierung über Firewall

Frage Microsoft Windows Server

Mitglied: dduchardt

dduchardt (Level 1) - Jetzt verbinden

10.01.2012 um 13:49 Uhr, 4202 Aufrufe, 5 Kommentare

Hallo,
Wir möchten gerne einen Remote-Desktop-Services-Server in einer DMZ betreiben.
Wir besitzen für intern bereits einen Lizenz-Server. Dessen Lizenzen sollen auch von dem Server in der DMZ genutzt werden.
Leider nutzt die Lizenzierung RPC und dieses dynamische Ports.

Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
Auch das läuft teilweise über RPC.

Es gibt dazu diverse Artikel, welche für mich alle nicht ganz schlüssig sind.
Man kann wohl den RPC-Bereich einschränken aber wie geht das und worauf wirkt sich das dann aus?
Weil den kompletten dynamischen Portbereich von ca. 1000-65000 freizugeben ist nicht gerade sicher.

Die Umgebung ist komplett Server 2008 R2.
Alle Clients befinden sich in einem internen Netz mit 2 Domaincontrollern.
Auf einem der Domaincontroller, nennen wir ihn mal DC1, läuft zudem die RDS-Lizenzierung (per User).
Im internen Netz nutzen die Clients bereits einen RDS-Server.
Nun soll in einer DMZ (Firewall ist eine Astaro) ein RDS-Server eingesetzt werden worüber die Clients ins Internet gehen sollen.

Für einen Lösungsvorschlag/Anleitung bezüglich der Umsetzung mit möglichst geringen Sicherheitsproblemen wären wir sehr dankbar.
Mitglied: OliverHu
10.01.2012 um 14:07 Uhr
Hallo,

gibt es einen speziellen Grund, warum ihr den RDS Host in der DMZ betreiben wollt?
Bitte warten ..
Mitglied: dduchardt
10.01.2012 um 18:27 Uhr
Sicherheitsgründe.
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Bitte warten ..
Mitglied: OliverHu
10.01.2012 um 20:10 Uhr
Bei dem was du vor hast, müsstest du aber etliche Ports öffnen. Eventuell machst du dir da mehr Probleme als du vorbeugen willst.
Wenn ihr euer Netz halbwegs gut abgesichert habt, werdet ihr denke ich keine großen Probleme haben. DIe RDS sollten sowieso stark eingeschränkt werden, wenn ihr dann noch die Firewall aktiviert (die man sowieso nur in einzelfällen abschalten sollte) und einen Virenschutz verwendet, sehe ich keine Probleme.

Ich hatte Kunden mit 10 TS, und nie Probleme gehabt.
Bitte warten ..
Mitglied: Pjordorf
10.01.2012 um 21:49 Uhr
Hallo,

Zitat von dduchardt:
Wir möchten, dass wenn sich ein User trotz verschiedener Sicherheitsmaßnahmen beim Surfen doch nen Virus/Trojaner einfängt, der dann infizierte RDS Host möglichst stark vom restlichen Netz isoliert ist.
Und ist deine Aussage von oben
Ausserdem sollen sich die Benutzer am RDS-Server auch mit Domänenkonten anmelden und Dateien von dort auf ihre lokalen PC's tranferieren können.
nicht genau dann dein Sicherheitsproblem?

Macht irgendwie dann keinen Sinn.

Gruß,
Peter
Bitte warten ..
Mitglied: dduchardt
16.01.2012 um 14:03 Uhr
Die Benutzer sind nicht identisch mit lokalen Benutzern, jedoch im AD verankert.
Es handelt sich dabei um Konten, die intern extrem eingeschränkt sind. Es gibt noch andere Dienste, die auf diesen Konten basieren und wir möchten neben dem regulären AD-Benutzer und diesem sicherheitstechnisch eingeschränkten Benutzer nicht noch eine dritte Benutzerverwaltung aufbauen.
Zudem ist es zwecks Authentifizierung am Web-Filter notwendig, dass die Benutzer AD-basierend sind, da der Filter sonst die Benutzer nicht unterscheiden kann, da Sie wegen RDS alle über dieselbe IP connecten.

Die Regelung, dass der Internetzugriff nur über Umwege über einen Rechner "außerhalb" des Firmennetzwerks stattfinden darf, ist aus verschiedenen Gründen nicht zu ändern.

Es gibt ja auch die Möglichkeit über diverse Registry-Einstellungen die Ports einzuschränken. Ich blicke dabei jedoch noch nicht voll durch.
Wir müssen bei dieser Sache halt gewährleisten, dass intern alles weiter funktioniert, was über RPC läuft.

Ich könnte jetzt probieren, die RPC-Ports nur auf dem RDS-Server extern zu ändern aber ich befürchte, dass dann der interne Server u.U. auf anderen Ports auf die Anfragen antwortet und dann ist das wieder Mist.
Intern die Ports einzuschränken könnte hingegen dazu führen, dass verschiedene RPC-Dienste nicht mehr funktionieren sobald eine gewisse Benutzeranzahl erreicht wird, die dann mehr Ports benötigen würde.
So habe ich das jedenfalls verstanden.

Da wir wesentlich weniger Internetnutzer als Nutzer insgesamt haben und Internet kein elementarer Prozess für uns ist, hätte ich kein Problem damit externdie Ports auf sagen wir mal ~20 einzuschränken, was dann wiederrum in Verbindung mit der Einschränkung des Zugriffs auf nur eine interne IP und in Verbindung mit Traffic-Analysierung eine recht hohe Sicherheit gewährleisten würde.
Bitte warten ..
Ähnliche Inhalte
Neue Wissensbeiträge
Batch & Shell

Batch als Dienst bei Systemstart ohne Anmeldung ausführen

(2)

Tipp von tralveller zum Thema Batch & Shell ...

Sicherheits-Tools

Sicherheitstest von Passwörtern für ganze DB-Tabellen

(1)

Tipp von gdconsult zum Thema Sicherheits-Tools ...

Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(9)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Heiß diskutierte Inhalte
Exchange Server
Exchange 2016 Standard Server 2012 R2 Hetzner Mail (36)

Frage von Datsspeed zum Thema Exchange Server ...

Windows 7
Lokales Adminprofil defekt (18)

Frage von Yannosch zum Thema Windows 7 ...

Verschlüsselung & Zertifikate
Mit Veracrypt eine zweite interne (non-system) Festplatte verschlüsseln (11)

Frage von Bernulf zum Thema Verschlüsselung & Zertifikate ...

Internet Domänen
Nameserver ein Geist? (9)

Frage von zelamedia zum Thema Internet Domänen ...