stefankittel
Goto Top

RDP auf Windows Client mit 2FA absichern?

Hallo,

ich habe bei einem Kunden ca. 10 verteilte Client-PCs (Win Prof 7-10, keine domäne) auf die sich Personen per RDP einwählen.
Die Verbindung selber ist per VPN gesichert.

Kennt Jemand eine Möglichkeiten dieses RDP-Verbindungen zusätzlich mit 2FA zu sichern?

Ich habe ganz viele Produkte gesehen, aber alle sind für den Enterprisebetrieb mit eigenem Server und Domäne ausgelegt.
Das ist hier aber nicht vorhanden.

Danke

Stefan

Content-ID: 349092

Url: https://administrator.de/forum/rdp-auf-windows-client-mit-2fa-absichern-349092.html

Ausgedruckt am: 07.04.2025 um 00:04 Uhr

108012
108012 14.09.2017 um 16:25:36 Uhr
Goto Top
Hallo,

eventuell mit einem kleinen RaspBerry PI 3.0 und einem RadiusServer und/oder OpenLDAP Server?
Das wäre schnell und kostengünstig und dann sogar dreifach gesichert!

Alternativ wenn dort ein NAS vor Ort ist dann sollte man dort mal nach Plugins suchen die man installieren
kann, eben wieder RadiusServer und OpenLDAP Server.

Man kann auch einen kleinen MikroTik Router in die DMZ oder das Netzwerk stellen und dann dort vor Ort
via Usermanager das ganze absichern, ganz nach Budget und Belieben und/oder Können.

Gruß
Dobby
runasservice
runasservice 14.09.2017 um 16:25:49 Uhr
Goto Top
Zitat von @StefanKittel:

Ich habe ganz viele Produkte gesehen, aber alle sind für den Enterprisebetrieb mit eigenem Server und Domäne ausgelegt.
Das ist hier aber nicht vorhanden.

Was ist mit SaasPass?

https://saaspass.com/

MfG
beidermachtvongreyscull
beidermachtvongreyscull 14.09.2017, aktualisiert am 15.09.2017 um 09:16:32 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

Tach,


ich habe bei einem Kunden ca. 10 verteilte Client-PCs (Win Prof 7-10, keine domäne) auf die sich Personen per RDP einwählen.
Die Verbindung selber ist per VPN gesichert.

Kennt Jemand eine Möglichkeiten dieses RDP-Verbindungen zusätzlich mit 2FA zu sichern?

Ne MacGyver-Lösung kann ich anbieten:

Kauf Dir sowas: https://www.yubico.com/store/
Dann setze Dir ein richtig starkes 40 Zeichen Benutzerpasswort.

Der Yubikey soll 36 Zeichen speichern und diese nur gegen Pin hergeben (der schreibt dann wie eine Tastatur). Die letzten 4 Zeichen kennst Du als Nutzer. Et voilà: 2FA. face-smile

Meine Nutzer benutzen sowas für VPN. Sie haben alle PWs mit mehr als 60 Zeichen.


BIN DRAUẞEN
psannz
psannz 14.09.2017 aktualisiert um 22:28:04 Uhr
Goto Top
Sers,

sichere die Verbindungen doch über Zertifikate als zweiten Faktor ab. Sprich, ohne das passende zum auf dem "Server" installierte Zertifikat ist clientseitig eine Verbindung nicht möglich.

Setzt natürlich eine vorhandene PKI voraus.

https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployme ...

Aus dieser Anleitung kannst du dir die relevanten Teile raus ziehen. Die GPOs ersetzt du einfach mit Handarbeit.


Kleine Randnotiz: Ich nehme an, dass die RDS CALs alle vorhanden sind, inkl. RDS Lizenzserver, mit dem die Clients verbunden sind.


Grüße,
Philip
sabines
sabines 15.09.2017 um 06:46:07 Uhr
Goto Top
Zitat von @psannz:

Kleine Randnotiz: Ich nehme an, dass die RDS CALs alle vorhanden sind, inkl. RDS Lizenzserver, mit dem die Clients verbunden sind.


Moin,
das braucht es in dieser Konstellation nicht, wenn sich die "Haupt-User" dieser PCs von extern darauf verbinden.
Gruss
psannz
psannz 15.09.2017 um 09:07:30 Uhr
Goto Top
Zitat von @sabines:

Moin,
das braucht es in dieser Konstellation nicht, wenn sich die "Haupt-User" dieser PCs von extern darauf verbinden.
Gruss

Solange es nur der jeweilige Hauptuser ist sollte es passen. RDS Gateway ist ja keines im Spiel.
Dani
Dani 16.09.2017 um 11:27:06 Uhr
Goto Top
Moin Stefan,
falls noch keine Entscheidung gefallen ist, schau dir PrivayIdea (CredProvider o.ä.) heißt das Modul. Ist allerdings nicht ganz günstig. Dafür gibt es die Management-Sofwware als fertige Appliance. Was die Wartung deutlich vereinfacht.


Gruß,
Dani