10
RDP Sitzungen und Geräte regulieren
Hallo zusammen,
ich komme gleich auf den Punkt:
Wir haben eine Citrix Umgebung mit Device RDS CALs (Macht Sinn bei uns wegen Schichtbetrieb). Nun ist uns aufgefallen, dass sich manche User zusätzlich zu ihrem Firmen Notebook noch mit ihrem Tablet und/oder Smartphone auf Citrix verbinden und so eine Device CAL verbrauchen. Das verursacht natürlich nicht unerhebliche Lizenzkosten. Wir haben bereits am Citrix NetScaler eine Regel erstellt, dass nur Mitarbeiter aus dem LAN Zugriff haben. Von Extern bekommen sie nur Zugriff wenn sie in einer bestimmtem Security Group sind. So ließ sich schon etwas abfackeln.
Leider stehe ich auf dem Schlauch wie ich Mitarbeitern "verbieten" kann sich mit jedem X-Beliebigen Gerät einzuwählen.
Wir haben eine Sophos UTM Firewall dort wollte ich bei der Firewall Regel auf unseren Citrix NetScaler einen MAC Filter hinzufügen, sodass die Regel nur greift wenn die MAC hinterlegt ist. Funktioniert aber leider nicht mit Anfragen/Source die aus dem Internet kommen (Layer2, Router).
Wie macht ihr das am elegantesten? Da muss es doch eine Lösung geben? Ich freue mich auf Antworten.
Vielen Dank schon mal!
LG Felix
ich komme gleich auf den Punkt:
Wir haben eine Citrix Umgebung mit Device RDS CALs (Macht Sinn bei uns wegen Schichtbetrieb). Nun ist uns aufgefallen, dass sich manche User zusätzlich zu ihrem Firmen Notebook noch mit ihrem Tablet und/oder Smartphone auf Citrix verbinden und so eine Device CAL verbrauchen. Das verursacht natürlich nicht unerhebliche Lizenzkosten. Wir haben bereits am Citrix NetScaler eine Regel erstellt, dass nur Mitarbeiter aus dem LAN Zugriff haben. Von Extern bekommen sie nur Zugriff wenn sie in einer bestimmtem Security Group sind. So ließ sich schon etwas abfackeln.
Leider stehe ich auf dem Schlauch wie ich Mitarbeitern "verbieten" kann sich mit jedem X-Beliebigen Gerät einzuwählen.
Wir haben eine Sophos UTM Firewall dort wollte ich bei der Firewall Regel auf unseren Citrix NetScaler einen MAC Filter hinzufügen, sodass die Regel nur greift wenn die MAC hinterlegt ist. Funktioniert aber leider nicht mit Anfragen/Source die aus dem Internet kommen (Layer2, Router).
Wie macht ihr das am elegantesten? Da muss es doch eine Lösung geben? Ich freue mich auf Antworten.
Vielen Dank schon mal!
LG Felix
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 554534
Url: https://administrator.de/contentid/554534
Printed on: April 19, 2024 at 20:04 o'clock
10 Comments
Latest comment
Mit "aus dem Internet" meinst Du ein Portforwarding? Also kein VPN?
Ja richtig. Kein VPN
Guck dir mal den Beitrag von "Pimp Juice IT" hier an: https://superuser.com/questions/1245794/restricting-remote-desktop-by-co ...
Vielen Dank für den Link.
Mit Windows Firewall scheint das aber nur mit Geräten zu funktionieren die in der Domäne sind, oder habe ich was übersehen?
Mit Windows Firewall scheint das aber nur mit Geräten zu funktionieren die in der Domäne sind, oder habe ich was übersehen?
Probiers aus 
Hi,
was hälst Du "Multifactor-Authentifizierung"?
Du kannst auch im AD einstellen bzw. bestimmt eine GPO erstellen, das man sich nur mit Geräten die inder Domain sind anmelden kann.
Gruß
Holli
was hälst Du "Multifactor-Authentifizierung"?
Du kannst auch im AD einstellen bzw. bestimmt eine GPO erstellen, das man sich nur mit Geräten die inder Domain sind anmelden kann.
Gruß
Holli
Hallo fkildau,
bei uns in der Umgebung wird das neben den erlauben Usern noch über die Computerobjekte eingeschränkt.
D.h. wir packen die erlaubten Computerobjekte in eine Gruppe und erlauben nur diesen Geräten den Zugriff.
Wobei wir nicht Citrix einsetzen, sollte aber gerade bei denen funktionieren.
bei uns in der Umgebung wird das neben den erlauben Usern noch über die Computerobjekte eingeschränkt.
D.h. wir packen die erlaubten Computerobjekte in eine Gruppe und erlauben nur diesen Geräten den Zugriff.
Wobei wir nicht Citrix einsetzen, sollte aber gerade bei denen funktionieren.
Hallo Felix,
zu diesem Zweck habe ich mir selbst ein Programm geschrieben. Dort wird beim Anmelden am rds-host der Maschinenname des sich anmeldenden Geräts und die lokale HardwareID überprüft. Nur wenn beides übereinstimmt wird das Login fortgesetzt, sonst abgewiesen.
Zugleich werden auch die Zugriffe protokolliert (Erlaubte und Eindringlinge). Darüber kann dann mit einem Click ein gerät authorisiert werden.
Gern stelle ich eine Tstversion des Programms zur Verfügung
grüße
softprogger
zu diesem Zweck habe ich mir selbst ein Programm geschrieben. Dort wird beim Anmelden am rds-host der Maschinenname des sich anmeldenden Geräts und die lokale HardwareID überprüft. Nur wenn beides übereinstimmt wird das Login fortgesetzt, sonst abgewiesen.
Zugleich werden auch die Zugriffe protokolliert (Erlaubte und Eindringlinge). Darüber kann dann mit einem Click ein gerät authorisiert werden.
Gern stelle ich eine Tstversion des Programms zur Verfügung
grüße
softprogger
Problem ist, dass sich viele der Clients (Laptops und PCs bei Kunden) nicht in unserer Domäne sind und wir auch keine weiteren Infos zu den Geräten haben (MAC, HardwareIDs, Hostname)
Wir müssten also mit einer Art Whitelist arbeiten und alle nicht authorisierten Clients sollen abgelehnt werden.
Funktioniert das mit deiner Software @Softprogger?
Wir müssten also mit einer Art Whitelist arbeiten und alle nicht authorisierten Clients sollen abgelehnt werden.
Funktioniert das mit deiner Software @Softprogger?
Ja sicher geht das. Alle Clients, die sich anmelden wollen werden mit ihrem Anmeldeversuch registriert. Diese Anmeldeversuche werden in der Verwaltung in einer Liste dargestellt. Wenn ein Computer Zugang erhalten soll, reicht es aus den Eintrag auszuwählen und eine Schaltfläche zu klicken. Der PC wird dann in die 'Whitelist' übernommen, kann aus dieser ggfs. auch wieder entfernt werden.
Die Software rdp-Locker installiert einen Dienst, der das gesamte Überwachen übernimmt. Ein Frontend, das nur mit Admin-Rechten ausgeführt werden kann, erlaubt den Zugriff zu allen Listen und Einstellungen.
Habe meine Email per PN gesendet.
Die Software rdp-Locker installiert einen Dienst, der das gesamte Überwachen übernimmt. Ein Frontend, das nur mit Admin-Rechten ausgeführt werden kann, erlaubt den Zugriff zu allen Listen und Einstellungen.
Habe meine Email per PN gesendet.
