Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SBS Remotewebzugriff-Sicherheits-Frage

Mitglied: OliverCOM

OliverCOM (Level 1) - Jetzt verbinden

21.02.2018 um 16:05 Uhr, 871 Aufrufe, 7 Kommentare

Guten Abend

Ich habe noch zwei SBS 2011 im Einsatz und mir ist aufgefallen, dass über https://mail.KUNDE.de/remote standardmässig eine RDP Möglichkeit besteht, wenn man sich einloggt.

Frage:

1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu verbinden, auch wenn der RDP Port 3389 dicht ist?
2. Im Test gelang mir dies nicht weil ich das Zertifikat nicht installiert hatte. Erhalte ich dies nur über den Server? Dann wäre es ja nicht so problematisch.
3. Kann man diese Variante komplett unterbinden? Irgendwie finde ich die blosse Vorstellung, dass sowas möglich ist, schon sehr bedenklich.


Freundlichen Gruss euch
Oli


P.s.: Ich bin froh wenn auch die letzten zwei SBS ersetzt wurden.
Mitglied: tomolpi
21.02.2018 um 16:24 Uhr
Zitat von OliverCOM:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).
Bitte warten ..
Mitglied: OliverCOM
21.02.2018 um 16:27 Uhr
Zitat von tomolpi:

Zitat von OliverCOM:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).

Hallo Tomolpi,

Vermutlich schon - aber auf den Server selber kann ein "normaler" Benutzer ja sowieso nicht einloggen. Und ja der Port 443 stimmt, deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Bitte warten ..
Mitglied: certifiedit.net
21.02.2018 um 16:38 Uhr
Richtig, darum sollte man hierbei auch gewisse Vorkehrungen treffen.

Aber die SBS gehen langsam sowieso in Rente, daher...
Bitte warten ..
Mitglied: 135333
21.02.2018, aktualisiert um 16:43 Uhr
Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.

Gruß Snap
Bitte warten ..
Mitglied: tomolpi
21.02.2018 um 16:53 Uhr
Zitat von 135333:

Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspx
Bitte warten ..
Mitglied: OliverCOM
21.02.2018 um 16:54 Uhr
Zitat von 135333:

Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.

Gruß Snap

Aber ich will ja "nur" RDP von extern komplett unterbinden. Ausser per VPN natürlich. ;)
Bitte warten ..
Mitglied: OliverCOM
21.02.2018 um 16:55 Uhr
Zitat von tomolpi:

Zitat von 135333:

Zitat von OliverCOM:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspx

Wird dann RDP über HTTPS auch mit deaktiviert?
Bitte warten ..
Ähnliche Inhalte
Windows Server

Zertifikat für Remotewebzugriff per Skript festlegen

Frage von kuro93Windows Server1 Kommentar

Hallo, Wir haben bei Kunden mehrere Windows SBS2011 im Einsatz. Seit Anfang des Jahres stellen wir alle Kunden auf ...

Sicherheitsgrundlagen

Sicherheit Netzwerksegmentierung

Frage von Morpheus112Sicherheitsgrundlagen11 Kommentare

Hallo Leute, ich habe mal eine kurze Frage, wie sicher ist Netzwerksegmentierung wirklich? Ich meine wenn man annimmt, man ...

Windows Netzwerk

Sicherheit Administrationskonten

gelöst Frage von Philipp711Windows Netzwerk5 Kommentare

Hallo Leute, seit einigen Tagen schaue ich über unsere Infrastruktur und versuche mögliche Konfigurationsfehler im Bezug auf möglich Sicherheitslücken ...

Tipps & Tricks

IT-Sicherheit

gelöst Frage von RaucherbeinTipps & Tricks13 Kommentare

Hi Leute. Ich bin seit geraumer Zeit im Netz auf der Suche nach brauchbaren Inhalten zum Thema IT-Sicherheit. Ich ...

Neue Wissensbeiträge
Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 1 StundeSicherheit

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 2 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 4 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Off Topic

Im Tel Raum von Hamburg (040) sind mal wieder viele Indische Microsoft Anrufer unterwegs

Information von TomTomBon vor 5 TagenOff Topic16 Kommentare

Moin Moin, Die sind so schlecht das sogar meine Frau sofort die erkannt hat was die sind. Und Ihr ...

Heiß diskutierte Inhalte
Windows 10
OneDrive: GUI lädt, move nicht
Frage von holliknolliWindows 1026 Kommentare

Hallo liebe alle, befindet sich jemand aus dem Kreise der MS-Developer, speziell Onedrive unter den Teilnehmern hier? Frage: warum ...

Router & Routing
Fritzbox Feste IP-Adresse Zugang
gelöst Frage von TobiTobiRouter & Routing19 Kommentare

Guten Tag liebes Forum, Ich habe ein Problem wo ich nicht weiterkomme! Situation: Netzwerk: DSL-Modem(daytrec)-OPNSense-Netzwerk Habe aktuell mein Anschluss ...

Router & Routing
Traffic von VPS ins Heimnetz routen oder tunneln ?!
Frage von MrFeedRouter & Routing11 Kommentare

Hallo zusammen, ich stehe (erneut) vor dem Problem mit dem Dual Stack Lite Zugang. Ich betreibe mehrere Game Server ...

Netzwerke
Wake on Lan funktioniert nicht durch VLANs
gelöst Frage von NetworkersvennyNetzwerke11 Kommentare

Hi Leute, Ich versuche derzeit Wake on Lan in unserem Betrieb zu etablieren. Bios Einstellung sind an Rechnern durch ...