10
RDP Sitzungen und Geräte regulieren
Hallo zusammen,
ich komme gleich auf den Punkt:
Wir haben eine Citrix Umgebung mit Device RDS CALs (Macht Sinn bei uns wegen Schichtbetrieb). Nun ist uns aufgefallen, dass sich manche User zusätzlich zu ihrem Firmen Notebook noch mit ihrem Tablet und/oder Smartphone auf Citrix verbinden und so eine Device CAL verbrauchen. Das verursacht natürlich nicht unerhebliche Lizenzkosten. Wir haben bereits am Citrix NetScaler eine Regel erstellt, dass nur Mitarbeiter aus dem LAN Zugriff haben. Von Extern bekommen sie nur Zugriff wenn sie in einer bestimmtem Security Group sind. So ließ sich schon etwas abfackeln.
Leider stehe ich auf dem Schlauch wie ich Mitarbeitern "verbieten" kann sich mit jedem X-Beliebigen Gerät einzuwählen.
Wir haben eine Sophos UTM Firewall dort wollte ich bei der Firewall Regel auf unseren Citrix NetScaler einen MAC Filter hinzufügen, sodass die Regel nur greift wenn die MAC hinterlegt ist. Funktioniert aber leider nicht mit Anfragen/Source die aus dem Internet kommen (Layer2, Router).
Wie macht ihr das am elegantesten? Da muss es doch eine Lösung geben? Ich freue mich auf Antworten.
Vielen Dank schon mal!
LG Felix
ich komme gleich auf den Punkt:
Wir haben eine Citrix Umgebung mit Device RDS CALs (Macht Sinn bei uns wegen Schichtbetrieb). Nun ist uns aufgefallen, dass sich manche User zusätzlich zu ihrem Firmen Notebook noch mit ihrem Tablet und/oder Smartphone auf Citrix verbinden und so eine Device CAL verbrauchen. Das verursacht natürlich nicht unerhebliche Lizenzkosten. Wir haben bereits am Citrix NetScaler eine Regel erstellt, dass nur Mitarbeiter aus dem LAN Zugriff haben. Von Extern bekommen sie nur Zugriff wenn sie in einer bestimmtem Security Group sind. So ließ sich schon etwas abfackeln.
Leider stehe ich auf dem Schlauch wie ich Mitarbeitern "verbieten" kann sich mit jedem X-Beliebigen Gerät einzuwählen.
Wir haben eine Sophos UTM Firewall dort wollte ich bei der Firewall Regel auf unseren Citrix NetScaler einen MAC Filter hinzufügen, sodass die Regel nur greift wenn die MAC hinterlegt ist. Funktioniert aber leider nicht mit Anfragen/Source die aus dem Internet kommen (Layer2, Router).
Wie macht ihr das am elegantesten? Da muss es doch eine Lösung geben? Ich freue mich auf Antworten.
Vielen Dank schon mal!
LG Felix
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 554534
Url: https://administrator.de/contentid/554534
Ausgedruckt am: 25.11.2024 um 11:11 Uhr
10 Kommentare
Neuester Kommentar
Mit "aus dem Internet" meinst Du ein Portforwarding? Also kein VPN?
Ja richtig. Kein VPN
Guck dir mal den Beitrag von "Pimp Juice IT" hier an: https://superuser.com/questions/1245794/restricting-remote-desktop-by-co ...
Vielen Dank für den Link.
Mit Windows Firewall scheint das aber nur mit Geräten zu funktionieren die in der Domäne sind, oder habe ich was übersehen?
Mit Windows Firewall scheint das aber nur mit Geräten zu funktionieren die in der Domäne sind, oder habe ich was übersehen?
Probiers aus 
Hi,
was hälst Du "Multifactor-Authentifizierung"?
Du kannst auch im AD einstellen bzw. bestimmt eine GPO erstellen, das man sich nur mit Geräten die inder Domain sind anmelden kann.
Gruß
Holli
was hälst Du "Multifactor-Authentifizierung"?
Du kannst auch im AD einstellen bzw. bestimmt eine GPO erstellen, das man sich nur mit Geräten die inder Domain sind anmelden kann.
Gruß
Holli
Hallo fkildau,
bei uns in der Umgebung wird das neben den erlauben Usern noch über die Computerobjekte eingeschränkt.
D.h. wir packen die erlaubten Computerobjekte in eine Gruppe und erlauben nur diesen Geräten den Zugriff.
Wobei wir nicht Citrix einsetzen, sollte aber gerade bei denen funktionieren.
bei uns in der Umgebung wird das neben den erlauben Usern noch über die Computerobjekte eingeschränkt.
D.h. wir packen die erlaubten Computerobjekte in eine Gruppe und erlauben nur diesen Geräten den Zugriff.
Wobei wir nicht Citrix einsetzen, sollte aber gerade bei denen funktionieren.
Hallo Felix,
zu diesem Zweck habe ich mir selbst ein Programm geschrieben. Dort wird beim Anmelden am rds-host der Maschinenname des sich anmeldenden Geräts und die lokale HardwareID überprüft. Nur wenn beides übereinstimmt wird das Login fortgesetzt, sonst abgewiesen.
Zugleich werden auch die Zugriffe protokolliert (Erlaubte und Eindringlinge). Darüber kann dann mit einem Click ein gerät authorisiert werden.
Gern stelle ich eine Tstversion des Programms zur Verfügung
grüße
softprogger
zu diesem Zweck habe ich mir selbst ein Programm geschrieben. Dort wird beim Anmelden am rds-host der Maschinenname des sich anmeldenden Geräts und die lokale HardwareID überprüft. Nur wenn beides übereinstimmt wird das Login fortgesetzt, sonst abgewiesen.
Zugleich werden auch die Zugriffe protokolliert (Erlaubte und Eindringlinge). Darüber kann dann mit einem Click ein gerät authorisiert werden.
Gern stelle ich eine Tstversion des Programms zur Verfügung
grüße
softprogger
Problem ist, dass sich viele der Clients (Laptops und PCs bei Kunden) nicht in unserer Domäne sind und wir auch keine weiteren Infos zu den Geräten haben (MAC, HardwareIDs, Hostname)
Wir müssten also mit einer Art Whitelist arbeiten und alle nicht authorisierten Clients sollen abgelehnt werden.
Funktioniert das mit deiner Software @Softprogger?
Wir müssten also mit einer Art Whitelist arbeiten und alle nicht authorisierten Clients sollen abgelehnt werden.
Funktioniert das mit deiner Software @Softprogger?
Ja sicher geht das. Alle Clients, die sich anmelden wollen werden mit ihrem Anmeldeversuch registriert. Diese Anmeldeversuche werden in der Verwaltung in einer Liste dargestellt. Wenn ein Computer Zugang erhalten soll, reicht es aus den Eintrag auszuwählen und eine Schaltfläche zu klicken. Der PC wird dann in die 'Whitelist' übernommen, kann aus dieser ggfs. auch wieder entfernt werden.
Die Software rdp-Locker installiert einen Dienst, der das gesamte Überwachen übernimmt. Ein Frontend, das nur mit Admin-Rechten ausgeführt werden kann, erlaubt den Zugriff zu allen Listen und Einstellungen.
Habe meine Email per PN gesendet.
Die Software rdp-Locker installiert einen Dienst, der das gesamte Überwachen übernimmt. Ein Frontend, das nur mit Admin-Rechten ausgeführt werden kann, erlaubt den Zugriff zu allen Listen und Einstellungen.
Habe meine Email per PN gesendet.
