RDP auf Windows Client mit 2FA absichern?
Hallo,
ich habe bei einem Kunden ca. 10 verteilte Client-PCs (Win Prof 7-10, keine domäne) auf die sich Personen per RDP einwählen.
Die Verbindung selber ist per VPN gesichert.
Kennt Jemand eine Möglichkeiten dieses RDP-Verbindungen zusätzlich mit 2FA zu sichern?
Ich habe ganz viele Produkte gesehen, aber alle sind für den Enterprisebetrieb mit eigenem Server und Domäne ausgelegt.
Das ist hier aber nicht vorhanden.
Danke
Stefan
ich habe bei einem Kunden ca. 10 verteilte Client-PCs (Win Prof 7-10, keine domäne) auf die sich Personen per RDP einwählen.
Die Verbindung selber ist per VPN gesichert.
Kennt Jemand eine Möglichkeiten dieses RDP-Verbindungen zusätzlich mit 2FA zu sichern?
Ich habe ganz viele Produkte gesehen, aber alle sind für den Enterprisebetrieb mit eigenem Server und Domäne ausgelegt.
Das ist hier aber nicht vorhanden.
Danke
Stefan
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 349092
Url: https://administrator.de/forum/rdp-auf-windows-client-mit-2fa-absichern-349092.html
Ausgedruckt am: 28.04.2025 um 21:04 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
eventuell mit einem kleinen RaspBerry PI 3.0 und einem RadiusServer und/oder OpenLDAP Server?
Das wäre schnell und kostengünstig und dann sogar dreifach gesichert!
Alternativ wenn dort ein NAS vor Ort ist dann sollte man dort mal nach Plugins suchen die man installieren
kann, eben wieder RadiusServer und OpenLDAP Server.
Man kann auch einen kleinen MikroTik Router in die DMZ oder das Netzwerk stellen und dann dort vor Ort
via Usermanager das ganze absichern, ganz nach Budget und Belieben und/oder Können.
Gruß
Dobby
eventuell mit einem kleinen RaspBerry PI 3.0 und einem RadiusServer und/oder OpenLDAP Server?
Das wäre schnell und kostengünstig und dann sogar dreifach gesichert!
Alternativ wenn dort ein NAS vor Ort ist dann sollte man dort mal nach Plugins suchen die man installieren
kann, eben wieder RadiusServer und OpenLDAP Server.
Man kann auch einen kleinen MikroTik Router in die DMZ oder das Netzwerk stellen und dann dort vor Ort
via Usermanager das ganze absichern, ganz nach Budget und Belieben und/oder Können.
Gruß
Dobby
Zitat von @StefanKittel:
Ich habe ganz viele Produkte gesehen, aber alle sind für den Enterprisebetrieb mit eigenem Server und Domäne ausgelegt.
Das ist hier aber nicht vorhanden.
Ich habe ganz viele Produkte gesehen, aber alle sind für den Enterprisebetrieb mit eigenem Server und Domäne ausgelegt.
Das ist hier aber nicht vorhanden.
Was ist mit SaasPass?
https://saaspass.com/
MfG
Tach,
ich habe bei einem Kunden ca. 10 verteilte Client-PCs (Win Prof 7-10, keine domäne) auf die sich Personen per RDP einwählen.
Die Verbindung selber ist per VPN gesichert.
Kennt Jemand eine Möglichkeiten dieses RDP-Verbindungen zusätzlich mit 2FA zu sichern?
Ne MacGyver-Lösung kann ich anbieten:
Kauf Dir sowas: https://www.yubico.com/store/
Dann setze Dir ein richtig starkes 40 Zeichen Benutzerpasswort.
Der Yubikey soll 36 Zeichen speichern und diese nur gegen Pin hergeben (der schreibt dann wie eine Tastatur). Die letzten 4 Zeichen kennst Du als Nutzer. Et voilà: 2FA.
Meine Nutzer benutzen sowas für VPN. Sie haben alle PWs mit mehr als 60 Zeichen.
BIN DRAUẞEN
Sers,
sichere die Verbindungen doch über Zertifikate als zweiten Faktor ab. Sprich, ohne das passende zum auf dem "Server" installierte Zertifikat ist clientseitig eine Verbindung nicht möglich.
Setzt natürlich eine vorhandene PKI voraus.
https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployme ...
Aus dieser Anleitung kannst du dir die relevanten Teile raus ziehen. Die GPOs ersetzt du einfach mit Handarbeit.
Kleine Randnotiz: Ich nehme an, dass die RDS CALs alle vorhanden sind, inkl. RDS Lizenzserver, mit dem die Clients verbunden sind.
Grüße,
Philip
sichere die Verbindungen doch über Zertifikate als zweiten Faktor ab. Sprich, ohne das passende zum auf dem "Server" installierte Zertifikat ist clientseitig eine Verbindung nicht möglich.
Setzt natürlich eine vorhandene PKI voraus.
https://www.darkoperator.com/blog/2015/3/26/rdp-tls-certificate-deployme ...
Aus dieser Anleitung kannst du dir die relevanten Teile raus ziehen. Die GPOs ersetzt du einfach mit Handarbeit.
Kleine Randnotiz: Ich nehme an, dass die RDS CALs alle vorhanden sind, inkl. RDS Lizenzserver, mit dem die Clients verbunden sind.
Grüße,
Philip
Zitat von @psannz:
Kleine Randnotiz: Ich nehme an, dass die RDS CALs alle vorhanden sind, inkl. RDS Lizenzserver, mit dem die Clients verbunden sind.
Kleine Randnotiz: Ich nehme an, dass die RDS CALs alle vorhanden sind, inkl. RDS Lizenzserver, mit dem die Clients verbunden sind.
Moin,
das braucht es in dieser Konstellation nicht, wenn sich die "Haupt-User" dieser PCs von extern darauf verbinden.
Gruss
Zitat von @sabines:
Moin,
das braucht es in dieser Konstellation nicht, wenn sich die "Haupt-User" dieser PCs von extern darauf verbinden.
Gruss
Moin,
das braucht es in dieser Konstellation nicht, wenn sich die "Haupt-User" dieser PCs von extern darauf verbinden.
Gruss
Solange es nur der jeweilige Hauptuser ist sollte es passen. RDS Gateway ist ja keines im Spiel.
Moin Stefan,
falls noch keine Entscheidung gefallen ist, schau dir PrivayIdea (CredProvider o.ä.) heißt das Modul. Ist allerdings nicht ganz günstig. Dafür gibt es die Management-Sofwware als fertige Appliance. Was die Wartung deutlich vereinfacht.
Gruß,
Dani
falls noch keine Entscheidung gefallen ist, schau dir PrivayIdea (CredProvider o.ä.) heißt das Modul. Ist allerdings nicht ganz günstig. Dafür gibt es die Management-Sofwware als fertige Appliance. Was die Wartung deutlich vereinfacht.
Gruß,
Dani
