fkildau
Goto Top

RDP Sitzungen und Geräte regulieren

Hallo zusammen,

ich komme gleich auf den Punkt:

Wir haben eine Citrix Umgebung mit Device RDS CALs (Macht Sinn bei uns wegen Schichtbetrieb). Nun ist uns aufgefallen, dass sich manche User zusätzlich zu ihrem Firmen Notebook noch mit ihrem Tablet und/oder Smartphone auf Citrix verbinden und so eine Device CAL verbrauchen. Das verursacht natürlich nicht unerhebliche Lizenzkosten. Wir haben bereits am Citrix NetScaler eine Regel erstellt, dass nur Mitarbeiter aus dem LAN Zugriff haben. Von Extern bekommen sie nur Zugriff wenn sie in einer bestimmtem Security Group sind. So ließ sich schon etwas abfackeln.
Leider stehe ich auf dem Schlauch wie ich Mitarbeitern "verbieten" kann sich mit jedem X-Beliebigen Gerät einzuwählen.
Wir haben eine Sophos UTM Firewall dort wollte ich bei der Firewall Regel auf unseren Citrix NetScaler einen MAC Filter hinzufügen, sodass die Regel nur greift wenn die MAC hinterlegt ist. Funktioniert aber leider nicht mit Anfragen/Source die aus dem Internet kommen (Layer2, Router).
Wie macht ihr das am elegantesten? Da muss es doch eine Lösung geben? Ich freue mich auf Antworten.
Vielen Dank schon mal!

LG Felix

Content-Key: 554534

Url: https://administrator.de/contentid/554534

Printed on: July 22, 2024 at 23:07 o'clock

Member: NordicMike
NordicMike Mar 05, 2020 at 08:31:31 (UTC)
Goto Top
Mit "aus dem Internet" meinst Du ein Portforwarding? Also kein VPN?
Member: fkildau
fkildau Mar 05, 2020 at 08:36:02 (UTC)
Goto Top
Ja richtig. Kein VPN
Member: Inf1d3l
Inf1d3l Mar 05, 2020 updated at 08:41:39 (UTC)
Goto Top
Guck dir mal den Beitrag von "Pimp Juice IT" hier an: https://superuser.com/questions/1245794/restricting-remote-desktop-by-co ...
Member: fkildau
fkildau Mar 05, 2020 at 09:11:17 (UTC)
Goto Top
Vielen Dank für den Link.
Mit Windows Firewall scheint das aber nur mit Geräten zu funktionieren die in der Domäne sind, oder habe ich was übersehen?
Member: Inf1d3l
Inf1d3l Mar 05, 2020 at 09:49:59 (UTC)
Goto Top
Probiers aus face-smile
Member: holli.zimmi
holli.zimmi Mar 05, 2020 at 11:46:34 (UTC)
Goto Top
Hi,

was hälst Du "Multifactor-Authentifizierung"?
Du kannst auch im AD einstellen bzw. bestimmt eine GPO erstellen, das man sich nur mit Geräten die inder Domain sind anmelden kann.

Gruß

Holli
Member: 724tec
724tec Mar 05, 2020 updated at 20:10:25 (UTC)
Goto Top
Hallo fkildau,

bei uns in der Umgebung wird das neben den erlauben Usern noch über die Computerobjekte eingeschränkt.
D.h. wir packen die erlaubten Computerobjekte in eine Gruppe und erlauben nur diesen Geräten den Zugriff.
Wobei wir nicht Citrix einsetzen, sollte aber gerade bei denen funktionieren.
Member: Softprogger
Softprogger Mar 08, 2020 at 08:48:42 (UTC)
Goto Top
Hallo Felix,

zu diesem Zweck habe ich mir selbst ein Programm geschrieben. Dort wird beim Anmelden am rds-host der Maschinenname des sich anmeldenden Geräts und die lokale HardwareID überprüft. Nur wenn beides übereinstimmt wird das Login fortgesetzt, sonst abgewiesen.
Zugleich werden auch die Zugriffe protokolliert (Erlaubte und Eindringlinge). Darüber kann dann mit einem Click ein gerät authorisiert werden.
Gern stelle ich eine Tstversion des Programms zur Verfügung

grüße
softprogger
Member: fkildau
fkildau Mar 09, 2020 at 10:12:22 (UTC)
Goto Top
Problem ist, dass sich viele der Clients (Laptops und PCs bei Kunden) nicht in unserer Domäne sind und wir auch keine weiteren Infos zu den Geräten haben (MAC, HardwareIDs, Hostname)
Wir müssten also mit einer Art Whitelist arbeiten und alle nicht authorisierten Clients sollen abgelehnt werden.

Funktioniert das mit deiner Software @Softprogger?
Member: Softprogger
Softprogger Mar 09, 2020 at 11:56:09 (UTC)
Goto Top
Ja sicher geht das. Alle Clients, die sich anmelden wollen werden mit ihrem Anmeldeversuch registriert. Diese Anmeldeversuche werden in der Verwaltung in einer Liste dargestellt. Wenn ein Computer Zugang erhalten soll, reicht es aus den Eintrag auszuwählen und eine Schaltfläche zu klicken. Der PC wird dann in die 'Whitelist' übernommen, kann aus dieser ggfs. auch wieder entfernt werden.
Die Software rdp-Locker installiert einen Dienst, der das gesamte Überwachen übernimmt. Ein Frontend, das nur mit Admin-Rechten ausgeführt werden kann, erlaubt den Zugriff zu allen Listen und Einstellungen.
Habe meine Email per PN gesendet.