7
Terminal Server absichern
Hallo,
wir haben einige User, die verantwortlich für ihre eigenen Server sind. Die User würden gerne von überall auf diese Server administrativ zugreifen können. Da dies immer mehr werden, will ich einen sogenannten "Jumpserver" einrichten, von dem die User mittels RDP auf ihre eigentlichen Server kommen. Der Jumpserver wird über unser Extranet getunnelt. Dadurch muss der Firewall Admin nur einen Server freischalten und nicht für jeden User seinen Server.
Wie kann ich den Jumpserver so einrichten, damit nur RDP funktioniert? Ich kann leider keine User Policies anlegen, weil die gleich Kennung auch für ihren Server gelten.
OS: Server 2016
Vielen Dank für die Anregungen
Peter
wir haben einige User, die verantwortlich für ihre eigenen Server sind. Die User würden gerne von überall auf diese Server administrativ zugreifen können. Da dies immer mehr werden, will ich einen sogenannten "Jumpserver" einrichten, von dem die User mittels RDP auf ihre eigentlichen Server kommen. Der Jumpserver wird über unser Extranet getunnelt. Dadurch muss der Firewall Admin nur einen Server freischalten und nicht für jeden User seinen Server.
Wie kann ich den Jumpserver so einrichten, damit nur RDP funktioniert? Ich kann leider keine User Policies anlegen, weil die gleich Kennung auch für ihren Server gelten.
OS: Server 2016
Vielen Dank für die Anregungen
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 444273
Url: https://administrator.de/contentid/444273
Printed on: April 24, 2024 at 14:04 o'clock
7 Comments
Latest comment
Moin,
ist nun wie bei dir im Titel von Terminal-Servern die Rede, oder aber von Windows-Servern, auf die Administrativ per RDP zugegriffen werden soll?
Gruß
ist nun wie bei dir im Titel von Terminal-Servern die Rede, oder aber von Windows-Servern, auf die Administrativ per RDP zugegriffen werden soll?
Gruß
Hi Peter,
schau dir das mal an, vielleicht reicht das schon: https://docs.microsoft.com/en-us/windows/configuration/kiosk-single-app
Oder das: https://faq.thinstuff.com/index.php?action=artikel&cat=9&id=98&a ...
@Kraemer: ich denke der jumpserver soll der Terminalserver werden.
Gruß
bloody
schau dir das mal an, vielleicht reicht das schon: https://docs.microsoft.com/en-us/windows/configuration/kiosk-single-app
Oder das: https://faq.thinstuff.com/index.php?action=artikel&cat=9&id=98&a ...
@Kraemer: ich denke der jumpserver soll der Terminalserver werden.
Gruß
bloody
Zitat von @Kraemer:
Moin,
ist nun wie bei dir im Titel von Terminal-Servern die Rede, oder aber von Windows-Servern, auf die Administrativ per RDP zugegriffen werden soll?
Gruß
Moin,
ist nun wie bei dir im Titel von Terminal-Servern die Rede, oder aber von Windows-Servern, auf die Administrativ per RDP zugegriffen werden soll?
Gruß
Moin,
Der Jumpserver ist der Terminal Server. Der TS soll so abgesichert werden, dass der User rein RDP aufrufen kann.
Gruß
Peter
Zitat von @bloodstix:
Hi Peter,
schau dir das mal an, vielleicht reicht das schon: https://docs.microsoft.com/en-us/windows/configuration/kiosk-single-app
Oder das: https://faq.thinstuff.com/index.php?action=artikel&cat=9&id=98&a ...
@Kraemer: ich denke der jumpserver soll der Terminalserver werden.
Gruß
bloody
Hi Peter,
schau dir das mal an, vielleicht reicht das schon: https://docs.microsoft.com/en-us/windows/configuration/kiosk-single-app
Oder das: https://faq.thinstuff.com/index.php?action=artikel&cat=9&id=98&a ...
@Kraemer: ich denke der jumpserver soll der Terminalserver werden.
Gruß
bloody
Hi bloody,
die Kiosk App hört sich gut an. Ich denke, dass es auch eine Möglichkeit gibt, die Admins nicht zu reglementieren. Ich werde mir das mal anschauen.
Schönes WE
Peter
Kiosk mode is not supported over a remote desktop connection. Your kiosk users must sign in on the physical device that is set up as a kiosk.
Das 2. ist aber extra für TS. Das wird funktionieren.
Moin,
Zudem würde ich schauen, dass der Zugriff via HTML5 (seit Windows Server 2016) möglich, erreichbar ist. Somit müsstest du auch nicht RDP (3389/tcp) im Internet veröffentlichen. Natürlich nicht vergessen, den IIS Server entsprechend zu härten.
Gruß,
Dani
Wie kann ich den Jumpserver so einrichten, damit nur RDP funktioniert? Ich kann leider keine User Policies anlegen, weil die gleich Kennung auch für ihren Server gelten.
Würde nicht der Loopback-Modus der Gruppenrichtlinie Abhilfe schaffen?!Der Jumpserver wird über unser Extranet getunnelt. Dadurch muss der Firewall Admin nur einen Server freischalten und nicht für jeden User seinen Server.
Ich empfehle dir, den Server bzw. die Authentifizierung via 2FA abzusichern. Denn solch ein wichtiges System wird früher oder später entdeckt und somit attackiert.Zudem würde ich schauen, dass der Zugriff via HTML5 (seit Windows Server 2016) möglich, erreichbar ist. Somit müsstest du auch nicht RDP (3389/tcp) im Internet veröffentlichen. Natürlich nicht vergessen, den IIS Server entsprechend zu härten.
Gruß,
Dani
