Sep 11, 2024

2127

Einfacher und sicherer RDP Client

Hallo,

ich bin auf der Suche nach einer Lösung, die das aufbauen einer RDP Sitzung zu einem Windows Terminalserver im selben Heimnetz ermöglicht.
Wir haben auf den bestehenden Rechnern momentan Windows 10 laufen. Aufgrund der Abschaltung der Sicherheitsupdate kommenden Herbst müssen mehrere PC ausgetauscht werden, weil unsere i5 Prozessoren gerade so die Anforderungen von Windows 11 nicht mehr erfüllen.

Die bestehende Hardware dient momentan nur noch zur Anmeldung an einen Windows Terminalserver.

Ich suche nach einer Möglichkeit den Austausch der Rechner zu verhindern. Im Grunde wäre nur ein primitives Betriebssystem nötig, das nichts kann außer die RDP Sitzung mit zwei bis max. 3 Bildschirmen zu verwalten.

Der Wartungsaufwand sollte möglichst überschaubar sein und das System sicher gegenüber Schadsoftware.
Das Anmelden an dem Terminalserver sollte für den Benutzer (teilweise am PC unerfahren) einfach sein.

Please also mark the comments that contributed to the solution of the article

Content-ID: 668073

Url: https://administrator.de/contentid/668073

Printed on: September 17, 2024 at 13:09 o'clock

32 Comments

Latest comment

Windows 11 könnte man anpassen, dass es mehr Hardware mag.

RDP ist ein Monster an Protokoll, dass sich im VPN am besten aufgehoben fühlt. Nackiges RDP ohne VPN ist risikohaft.

Gucke dir mal Apache Guacamole an. Cloudflare Tunnel drüber und Du hast Komfort und Sicherheit auf hohem Niveau.

Moin,

Linux?
RangeeOS?
Windows 10 den Internetzugang wegnehmen und weiter nutzen?

Und: Wer setzt im Heimnetz einen Terminalserver ein? :D

Gruß,
Avoton

Moin,

IgelOS
Kann selbstständig nen VPN aufbauen und anschließend per RDP/ Citrix/ Horizon eine Terminalverbindubg aufbauen.

Mittlerweile aber nicht mehr kostenlos.

Alternative wäre ggf. noch OpenthinClient.

Moin,

ich empfehle MeshCentral.

Gruß

Uwe

ich empfehle MeshCentral.

Er sucht einen RDP Client, keine Remote Management Lösung

Gruß,
Avoton

Zitat von @Trinatrium:

RDP ist ein Monster an Protokoll, dass sich im VPN am besten aufgehoben fühlt. Nackiges RDP ohne VPN ist risikohaft.

Moin,

Aber im lokalen Heimnetz? Da ist es vermutlich übertrieben, wenn man da nicht gerade Hinz und Kunz reinläßt.

lks

Wenn der RDP Server Dienst, egal wie, erreichbar ist, dann sollte man die Angriffsfläche nicht unterschätzen, die das bietet.
Es wird immer irgendwo nach Lücken gesucht.

RDP ist auch schwer zu schützen. Besonders RDP UDP wirft viele Fragen auf.

Daher Weblayer drüber und mit CF WAFen.

Zitat von @hannes.p:

Die bestehende Hardware dient momentan nur noch zur Anmeldung an einen Windows Terminalserver.

Moin,

Du kannst Dir irgendeine Linux-Distribution draufknallen und da die üblichen Clients wie z.B. Remmina verwenden.

Oder Du nimmst einen der speziellen Thinclient-Distributionen wie z.B. das schon genannte OpenThinclient.

Oder Du machst es Dir ganz einfach und sorgt dafür, das Deine 10er Rechner nach dem Supportende keine Konnektivität
Ktivität ins Internet und zu anderen Kisten im LAN außer dem Server haben, z.B. durch Einrichten eines eigenen VLANS für sie, und nutzt die einfach weiter.

lks

+1 für OpenThinClient
Rechner starten, er bekommt sein (Linux-) OS per PXE vom OTC-Server (wahlweise auch von der lokalen Platte) und danach startet sofort der RDP Client. Der User selbst muss da nix können...

Zitat von @Trinatrium:
Daher Weblayer drüber und mit CF WAFen.

Der Kollege sucht ne einfache Lösung für sein Problem und du schlägst ihm ernsthaft das vor? Wie lößt das denn sein Problem des auslaufenden Win 10 Supports?

/Thomas

Ich setze bei uns RasPi's 3/4 als RDP-Clients. WLAN und Kabel.
RasPi bootet und startet sofort per Script den RDP-Client xFreeRDP mit voreingesteller IP und Benutzer.
Benutzer muss nur sein PWD eingeben. USB-Sticks werden nicht mitgenommen.
Bei zwei rasPi wird erst noch VPN aufgebaut und erst danach RDP gestartet. Wenn der Benutzer sich abmeldet, fährt der RasPi herunter. geht seit Jahren ganz gut.
Hab ein Masterimage. Kommt ein neuer RasPi dazu, wird das Image aufgespielt und ich passe nur die IP, Benutzername und Computernamen an. Fertig.
Sehr günstiger ThinClient.
Bei uns perfekt für einfache Bildschirmarbeitsplätze in der Verwaltung (RasPi 4 wegen 2 Monitore) und bei den gewerblichen (RasPi3).

Zitat von @insidERR:

(RasPi 4 wegen 2 Monitore)

Geht das auch bis 2x 4k oder zumindest 2560x1440?

Ich hatte vor Jahren nach einer Lösung gesucht, hatte aber bei allen Linux basierten Clients immer Probleme mit der Auflösung oder mit Smart Cards, die brauche ich leider auch.

Moin,

Zitat von @Trinatrium:
RDP ist ein Monster an Protokoll,

Unsinn. RDP ist ein sehr schlankes und schnelles Protokoll.

dass sich im VPN am besten aufgehoben fühlt.

Aha. Tut es das? Ich wusste noch nicht, dass Protokolle Gefühle haben.

Nackiges RDP ohne VPN ist risikohaft.

Und wie genau baust Du im selben Netz (siehe Frage des TO) ein VPN auf?

Liebe Grüße

Erik

Zitat von @erikro:

Und wie genau baust Du im selben Netz (siehe Frage des TO) ein VPN auf?

Wie sonst auch. Einfach IPSEC oder ein anderes host-to-host-VPN aufsetzen. Ist bei IPv6 sogar als Option vorgesehen.

Wobei das hier in meinen Augen Overkill ist.

lks

https://www.heise.de/ratgeber/Ohne-TPM-und-Secure-Boot-Windows-11-Instal ...
Microsoft hat es selber dokumentiert!

https://support.microsoft.com/en-us/windows/ways-to-install-windows-11-e ...
Ansonsten aus der Windows Knechtschaft lösen und ein sinnvolles OS installieren wie oben schon gesagt!

Befreit dich gleichzeitig dann auch von Microsofts Ausschnüffelei und dem Abschnorcheln von privaten Daten!

Zitat von @ukulele-7:

Ich hatte den RasPi 4 mal an eine 4k Glotze angeschlossen. Desktop hat funktioniert. Alle Symbole winzig.
Allerdings war das Bild vom Terminal nicht so schön. Habe dann die Auflösung des RasPi auf FullHD fest genagelt.
Mit SmartCards habe ich nie was gemacht.

Zitat von @Th0mKa:

Zitat von @Trinatrium:
Daher Weblayer drüber und mit CF WAFen.

Der Kollege sucht ne einfache Lösung für sein Problem und du schlägst ihm ernsthaft das vor? Wie lößt das denn sein Problem des auslaufenden Win 10 Supports?

/Thomas

Ja, einfach. 1-2 Stunden Arbeit und der Zugriff auf RDP ist exklusiv für Guacamole.

Es geht um die unzähligen Möglichkeiten die das Protokoll bietet. Das macht es anfällig. Nicht um die Performance, die auch nur mäßig ist.

Die anderen Fragen nehme ich jetzt Mal nicht ernst, sonst ist hier keine Admin-Diskussion.

Zitat von @Trinatrium:
Es geht um die unzähligen Möglichkeiten die das Protokoll bietet.

Aha, dann fange mal an, die aufzuzählen. Ich kenne irgendwie nur eine: Verbindung zu einem entfernten Computer. Was kann das Protokoll noch?

Das macht es anfällig. Nicht um die Performance, die auch nur mäßig ist.

Aha. Und was ist schneller?

Die anderen Fragen nehme ich jetzt Mal nicht ernst, sonst ist hier keine Admin-Diskussion.

Soso. Du machst also einen Vorschlag, bist aber nicht bereit, ihn zu konkretisieren.

Zitat von @Trinatrium:

Sicher dass du hier richtig bist?

Eigene Nase?

Sorry, aber ihr verrennt euch in Nebensächlichkeiten die weit am Problem des TO vorbeigehen.

lks

Ich suche nach einer Möglichkeit den Austausch der Rechner zu verhindern.

Segmentierung/VLAN z.B. mit einer lizenzkostenfreien OPNsense.

Im Grunde wäre nur ein primitives Betriebssystem nötig, das nichts kann außer die RDP Sitzung mit zwei bis max. 3 Bildschirmen zu verwalten.

z.B. als RDP Client, geht auch für OPNsense (2x LAN vorhanden)
https://www.google.com/search?q=intel+n97+12th+16GBRAM+W11+Pro

Linux Mint + Remmina hatte ich vor Monaten probiert, um alte Clients zu retten, Problem waren Dual TFT und/oder 4k.

Der Wartungsaufwand sollte möglichst überschaubar sein und das System sicher gegenüber Schadsoftware.

W11 in den erweiterten Optionen so einstellen, dass es die Updates immer automatisch zieht.

Zitat von @Trinatrium:

Sicher dass du hier richtig bist?

Ich finde ja so Leute, die in Foren kommen, dort ein paar Tage schreiben und dann Alteingesessene von der Seite anmachen, unwahrscheinlich sympathisch. PLONK!

Moin...

Zitat von @Trinatrium:

Wenn der RDP Server Dienst, egal wie, erreichbar ist, dann sollte man die Angriffsfläche nicht unterschätzen, die das bietet.

im Internen Netzwerk?

Es wird immer irgendwo nach Lücken gesucht.

ja klar...

RDP ist auch schwer zu schützen. Besonders RDP UDP wirft viele Fragen auf.

oha ... welche den?
was willst du Intern schützen... ok, vor sich selber wäre jetzt ein Argument!

Daher Weblayer drüber und mit CF WAFen.

für ein Internes Netzwerk....ja nee, ist klar

Frank

Zitat von @Th0mKa:

Zitat von @Trinatrium:

Sicher dass du hier richtig bist?

Was stimmt denn mit dir nicht?

Weil ich den Troll Frage warum er trollt?
Ganz einfach, weil er bei Sachen mitreden will, die er nicht versteht und wenn man ihm fragt, warum er das macht, dann kommt: Du bist erst seit Tagen hier.
Da ist doch die Frage mehr als berechtigt?!

Er ignoriert ganz offenkundig, dass RDP mit unzähligen Funktionen vollgestopft ist, die auf alles zugreifen kann im Server UND Client. Treiber, Zwischenablage... alles... Daher ein Monster von Protokoll ist nciht mehr zu den Projekten bei MS gehört die speichersicher sind auch und weil sie auf fast jeder noch so alte Technik im Windows zugriff hat, die nicht speichersicher ist.
Um das zu ignorieren und dann hier den dicken Maxen zu spielen, muss man schon sehr absonderlich fachfremd sein.

Zitat von @Vision2015:

Moin...

Zitat von @Trinatrium:

Daher Weblayer drüber und mit CF WAFen.

für ein Internes Netzwerk....ja nee, ist klar

Frank

Ja, warum nicht. Ist doch der Technik egal und die 20ms merkt man auch nicht.
Und wo kommt man sonst an ein so hohes Schutzniveau für lau?

Moin..

Zitat von @Trinatrium:

Zitat von @Vision2015:

Moin...

Zitat von @Trinatrium:

Daher Weblayer drüber und mit CF WAFen.

für ein Internes Netzwerk....ja nee, ist klar

Frank

Ja, warum nicht. Ist doch der Technik egal und die 20ms merkt man auch nicht.
Und wo kommt man sonst an ein so hohes Schutzniveau für lau?

oha... das Schutzniveau im internen Netzwerk will ich aber von dir erklärt haben!

Um das zu ignorieren und dann hier den dicken Maxen zu spielen, muss man schon sehr absonderlich fachfremd sein.

nun...den dicken Max machst du eigentlich nur, aber hau doch mal raus mit deinem wissen!

Er ignoriert ganz offenkundig, dass RDP mit unzähligen Funktionen vollgestopft ist, die auf alles zugreifen kann im Server UND Client. Treiber, Zwischenablage... alles...

so so... und die bösen zugriffe machst du im eigenen Netzwerk dicht, über ein VPN...

Daher ein Monster von Protokoll ist nciht mehr zu den Projekten bei MS gehört die speichersicher sind auch und weil sie auf fast jeder noch so alte Technik im Windows zugriff hat, die nicht speichersicher ist.

aha.. MS supportet also RDP nicht mehr in zukunft, oder wie soll ich das verstehen?

Frank

Zitat von @insidERR:

Ich setze bei uns RasPi's 3/4 als RDP-Clients. WLAN und Kabel.
RasPi bootet und startet sofort per Script den RDP-Client xFreeRDP mit voreingesteller IP und Benutzer.
Benutzer muss nur sein PWD eingeben. USB-Sticks werden nicht mitgenommen.
Bei zwei rasPi wird erst noch VPN aufgebaut und erst danach RDP gestartet. Wenn der Benutzer sich abmeldet, fährt der RasPi herunter. geht seit Jahren ganz gut.
Hab ein Masterimage. Kommt ein neuer RasPi dazu, wird das Image aufgespielt und ich passe nur die IP, Benutzername und Computernamen an. Fertig.
Sehr günstiger ThinClient.
Bei uns perfekt für einfache Bildschirmarbeitsplätze in der Verwaltung (RasPi 4 wegen 2 Monitore) und bei den gewerblichen (RasPi3).

Vielen Dank! Der Ansatz mit nem RasPi ist auf jeden Fall gut! Die bestehenden Geräte sind dann zwar trotzdem überflüssig, aber sie zu härten ist auch n ziemlicher Aufwand.
Wärst du evtl. bereit dein Image zur Verfügung zu stellen?

Zitat von @hannes.p:
Vielen Dank! Der Ansatz mit nem RasPi ist auf jeden Fall gut! Die bestehenden Geräte sind dann zwar trotzdem überflüssig, aber sie zu härten ist auch n ziemlicher Aufwand.
Wärst du evtl. bereit dein Image zur Verfügung zu stellen?

Wie weiter oben schon erwähnt kannst du auch Openthinclient nehmen, wenn du nicht weißt wie man Linux Distributionen anpasst.

/Thomas

Moin,

Zitat von @Trinatrium:
Weil ich den Troll Frage warum er trollt?

Wer hier ein Troll ist und wer nicht, mögen andere beurteilen.

Ganz einfach, weil er bei Sachen mitreden will, die er nicht versteht und wenn man ihm fragt, warum er das macht, dann kommt: Du bist erst seit Tagen hier.
Da ist doch die Frage mehr als berechtigt?!

Er ignoriert ganz offenkundig, dass RDP mit unzähligen Funktionen vollgestopft ist, die auf alles zugreifen kann im Server UND Client. Treiber, Zwischenablage... alles...

Aha. Wer stellt hier wilde Thesen auf und ist auf Rückfrage nicht bereit, die "unzähligen Funktionen", die postuliert werden, mal zu nennen. Na gut. Dann tue ich es. Die Funktionen des RDP-Protokolls:

Übertragung der Bildschirminhalte
Übertragung der Eingaben (Maus, Tastatur, Mikrofon, Kamera)
Bereitstellen der Peripherie (Drucker, Scanner etc.; abschaltbar)
Bereitstellung der Zwischenablage (abschaltbar)
Bereitstellung der Dateisysteme (Standard: abgeschaltet)

Das ist, wenn ich mich recht erinnere, die abschließende Liste des "mit unzähligen Funktionen vollgestopft(en)" Protokolls. Mehr kann es nicht. Wenn über dieses Protokoll auf systemkritische Funktionen zugegriffen werden kann, dann liegt das nicht am RDP, sondern an einem mangelhaften Sicherheitskonzept.

Um das zu ignorieren und dann hier den dicken Maxen zu spielen, muss man schon sehr absonderlich fachfremd sein.

Jajaja, ich bin so absonderlich fachfremd, dass ich seit 32 Jahren mein Geld mit IT verdiene.

Liebe Grüße

Erik

Zitat von @hannes.p:

Vielen Dank! Der Ansatz mit nem RasPi ist auf jeden Fall gut! Die bestehenden Geräte sind dann zwar trotzdem überflüssig, aber sie zu härten ist auch n ziemlicher Aufwand.
Wärst du evtl. bereit dein Image zur Verfügung zu stellen?

Moin.
Das ganze Image kann ich nicht raus geben, weil es zu sehr auf unsere Firma abgestimmt ist (Bootlogo, WLAN)
Musst nur ein aktuelles Image von der Herstellerseite nehmen und dann folgendes Script starten lassen, wenn der Desktop geladen ist.

#!/bin/bash
rdpUSERNAME='Administrator'  
rdpDOMAIN='domain.local'  

rdpIP=192.168.1.110

xset s off
xset -dpms
xset s noblank

# Maus verschieben
xdotool mousemove 0 0


# Maus verschieben, Uhrzeit aktualisieren
xdotool mousemove 1920 0
sudo ntpdate -s 192.168.1.1 &

### warten, bis Server erreichbar ist #####
while ! ping -c 1 $rdpIP > /dev/null; do
   sleep 1
done
###########################################

numlockx
xdotool mousemove 960 620

#######################################################################################################################################################################################################################
# RDP mit USB-Stick starten
#sudo xfreerdp -f /multimon /v:$rdpIP /d:$rdpDOMAIN /u:$rdpUSERNAME +auto-reconnect /auto-reconnect-max-retries:10 +bitmap-cache /cert-tofu /sec:tls /cert-ignore /gdi:hw /drive:USB-Laufwerk,/media/ &
#
# RDP ohne USB-Stick starten 
sudo xfreerdp -f /multimon /v:$rdpIP /d:$rdpDOMAIN /u:$rdpUSERNAME +auto-reconnect /auto-reconnect-max-retries:10 +bitmap-cache /cert-tofu /sec:tls /cert-ignore /gdi:hw &
#######################################################################################################################################################################################################################

# 2 sekunden warten
sleep 2

# in Schleife bleiben, solange xFreeRDP noch aktiv ist, bzw der Benutzer noch m Terminal angemeldet ist
while true; do
   if [ -z "$(ps aux | grep -v grep | grep xfreerdp)" ]; then  
      break
   fi
   sleep 2
done

# Maus verschieben
xdotool mousemove 1920 0


### System ausschalten ###
#
sudo poweroff
#
##########################

# Stand: 14.09.2022

Musst dann noch paar Tools wie xdotool, numlockx und xFreeRDP nachinstallieren.
Das mit dem Mousemoove kannst du entfernen. Dient mir nur dazu, um zu sehen, wie weit man grad im Script ist.

rdpDOMAIN='domain.local'

OT: Manche lernen es nie...

https://imatrix.at/schlechter-domain-name/
https://www.heise.de/news/Ueberfaellig-ICANN-legt-sich-auf-Namen-fuer-in ...
Hinweise zur Verwendung der Domäne .local in DNS und mDNS

Zitat von @aqui:

rdpDOMAIN='domain.local'

OT: Manche lernen es nie...

Manche haben aber halt auch einfach eine ältere Umgebung und können nicht von heute auf morgen den Domänennamen ändern 😏

German Question IT Safety tips Windows Server Windows 11