SBS Remotewebzugriff-Sicherheits-Frage

Mitglied: OliverCOM

OliverCOM (Level 1)

21.02.2018 um 16:05 Uhr, 860 Aufrufe, 7 Kommentare

Guten Abend

Ich habe noch zwei SBS 2011 im Einsatz und mir ist aufgefallen, dass über https://mail.KUNDE.de/remote standardmässig eine RDP Möglichkeit besteht, wenn man sich einloggt.

Frage:

1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu verbinden, auch wenn der RDP Port 3389 dicht ist?
2. Im Test gelang mir dies nicht weil ich das Zertifikat nicht installiert hatte. Erhalte ich dies nur über den Server? Dann wäre es ja nicht so problematisch.
3. Kann man diese Variante komplett unterbinden? Irgendwie finde ich die blosse Vorstellung, dass sowas möglich ist, schon sehr bedenklich.


Freundlichen Gruss euch
Oli


P.s.: Ich bin froh wenn auch die letzten zwei SBS ersetzt wurden.
Mitglied: tomolpi
21.02.2018 um 16:24 Uhr
Zitat von OliverCOM:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).
Mitglied: OliverCOM
21.02.2018 um 16:27 Uhr
Zitat von tomolpi:

Zitat von OliverCOM:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).

Hallo Tomolpi,

Vermutlich schon - aber auf den Server selber kann ein "normaler" Benutzer ja sowieso nicht einloggen. Und ja der Port 443 stimmt, deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Mitglied: certifiedit.net
21.02.2018 um 16:38 Uhr
Richtig, darum sollte man hierbei auch gewisse Vorkehrungen treffen.

Aber die SBS gehen langsam sowieso in Rente, daher...
Mitglied: 135333
21.02.2018, aktualisiert um 16:43 Uhr
Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.

Gruß Snap
Mitglied: tomolpi
21.02.2018 um 16:53 Uhr
Zitat von 135333:

Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspx
Mitglied: OliverCOM
21.02.2018 um 16:54 Uhr
Zitat von 135333:

Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.

Gruß Snap

Aber ich will ja "nur" RDP von extern komplett unterbinden. Ausser per VPN natürlich. ;)
Mitglied: OliverCOM
21.02.2018 um 16:55 Uhr
Zitat von tomolpi:

Zitat von 135333:

Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspx

Wird dann RDP über HTTPS auch mit deaktiviert?
Titel: SBS Remotewebzugriff-Sicherheits-Frage
Content-ID: 365591
Art des Inhalts: Frage
Ausgedruckt am: 02.07.2020 um 16:47:27 Uhr
URL: https://administrator.de/contentid/365591