RDP mit Windows Hausmitteln sicher?

Mitglied: profos

profos (Level 1) - Jetzt verbinden

18.07.2011, aktualisiert 18.10.2012, 7559 Aufrufe, 12 Kommentare

Hallo,

ich muss für unsere neue WaWi zu Wartungszwecken einen RDP bereitstellen.

Eine Feste IP ist schon vorhanden und den RDP habe ich schon erfolgreich testen können. Bis zur eigentlichen Nutzung bleibt mir noch genug Zeit um mich um die Sicherheit Gedanken zu machen.

An verschiedenen Stellen habe ich gelesen, dass der Windows RDP zu unsicher ist. Meine Frage ist nun was damit gemeint ist. Steht mit der Aktivierung des RDP alles sperrangelweit offen?

Wie könnte ich falls nötig die Sicherheit erhöhen (möglichst mit gegebenen Mitteln).

Tolls wie Teamviewer, Netview usw. sind ausgeschlossen, da die Softwarefirma auf einen Windows RDP besteht.

Vielen Dank für die Antworten im voraus.
Mitglied: Hitman4021
18.07.2011 um 11:10 Uhr
Zitat von @profos:
An verschiedenen Stellen habe ich gelesen, dass der Windows RDP zu unsicher ist. Meine Frage ist nun was damit gemeint ist. Steht
mit der Aktivierung des RDP alles sperrangelweit offen?
Jein.
Steht der Server direkt im Internet dann ja?
Steht er im intenen Netz und ist über Ports weitergeleitet hast du hoffentlich nicht alle IP's freigeschaltet

Wie könnte ich falls nötig die Sicherheit erhöhen (möglichst mit gegebenen Mitteln).
Dazwischen eine Firewall, idealerweise IP-Tables oder so

Tolls wie Teamviewer, Netview usw. sind ausgeschlossen, da die Softwarefirma auf einen Windows RDP besteht.
Teamviewer würde ich für so etwas auch ausschließen (Wer will schon Serverdaten über deren Server schicken ich benutz auch nicht Skype für Passwörter).

Gruß
Bitte warten ..
Mitglied: profos
18.07.2011 um 11:22 Uhr
Es ist nur der entsprechende der Port 3389 freigegeben und nur die IP des Servers.
Bitte warten ..
Mitglied: Mehonidas
18.07.2011 um 11:27 Uhr
An verschiedenen Stellen habe ich gelesen, dass der Windows RDP zu unsicher ist. Meine Frage ist nun was damit gemeint ist. Steht
mit der Aktivierung des RDP alles sperrangelweit offen?
Das alles durch einen Tunnel leiten, VPN ?

Wie könnte ich falls nötig die Sicherheit erhöhen (möglichst mit gegebenen Mitteln).
Hmm, naja ab Windows Vista wurde an der Sicherheit gearbeitet (Windows und Sicherheit?) und man kann einstellen,dass man nur den neuen Sicherheitsstandarts vertraut.
Rechtsklick auf "Arbeitsplatz" --> "Eigenschaften" --> "Remoteeinstellung" dort dann "Verbundung nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung ... "
Außerdem kann man das dort für bestimmte nutzer beschrenken.

Etwas anderes fällt mir jetzt auch nicht ein.

Hoffe es hilft weiter.

Gruß Meho
Bitte warten ..
Mitglied: profos
18.07.2011 um 11:43 Uhr
Danke schon mal für die schnellen Antworten.

Bin in da nicht so der Experte. Ist der Vorschlag mit dem VPN-Tunnel mit Hausmitteln zu bewerkstelligen und ist das ohne Aufwand für die Gegenseite möglich? Das wäre wichtig.

Der Remotdesktop mit Authentifizierung klingt auch schon ganz gut. Gibt es denn irgendwelche Beweise, dass so ein Zugang in echt geknackt wurde also nicht nur teoretisch? Vernünftige Passwörter sind natürlich selbstverständlich.

Das mit den IP-Tables habe ich mir bei Wiki angesehen, sieht sehr kompliziert aus und setzt auf jeden Fall doch mehr Wissen voraus als ich habe. Ich möchte da auch nicht in Experimente verfallen.
Gibt es dafür evtl. Templates oder verständliche Mustereinstellungen?

mfg
Bitte warten ..
Mitglied: Hitman4021
18.07.2011 um 11:46 Uhr
Zitat von @profos:
Das mit den IP-Tables habe ich mir bei Wiki angesehen, sieht sehr kompliziert aus und setzt auf jeden Fall doch mehr Wissen
voraus als ich habe. Ich möchte da auch nicht in Experimente verfallen.
Gibt es dafür evtl. Templates oder verständliche Mustereinstellungen?
IP-Tables ist nicht kompliziert schaut nur auf den ersten Blick so aus ;)
Addison Wesley hat da ein gut verständliches Buch darüber geschrieben (http://www.addison-wesley.de/main/main.asp?page=home/bookdetails&is ...)
Sonst stell dir ne IpCop Firewall dazwischen.

Hast du den Server jetzt ohne Firewall (außer Windows Software Firewall) im Netz stehen?

Gruß
Bitte warten ..
Mitglied: profos
18.07.2011 um 12:59 Uhr
Zur Zeit noch ohne FW, weil der Server wurde extra für die neue WaWi angeschafft und ist noch nicht richtig in Betrieb. Die alte SW läuft auf anderen Servern.
Auf dem Server ist Windows Server 2008 R2.
Bitte warten ..
Mitglied: Hitman4021
18.07.2011 um 13:06 Uhr
Zitat von @profos:
Zur Zeit noch ohne FW, weil der Server wurde extra für die neue WaWi angeschafft und ist noch nicht richtig in Betrieb. Die
alte SW läuft auf anderen Servern.
Auf dem Server ist Windows Server 2008 R2.
Mein persönliche Meinung:
Nie einen Server ohne FIrewall direkt ins Netz stellen!
Vorallem halte ich persönlich Windows nicht für das sicherste OS und die Software Firewall ist nicht das was Linux kann.

Gruß
Bitte warten ..
Mitglied: Phalanx82
18.07.2011 um 13:18 Uhr
Hallo,

ich würde den Weg über VPN gehen für RDP Verbindungen von oder nach extern.

Mit Windows Bordmitteln kann man mit einem Windows Server 2008R2 einen PPTP
VPN einrichten, dazu gibts im Netz unzählige Guides und Anleitungen, auch hier im Forum
hatte unser Aqui schon eine solche Anleitung verfasst, einfach mal die SuFu benutzen oder
dich durch die Anleitungen im entsprechenden Bereich wühlen.

Eine Firewall vor die Kiste schalten ist auf jeden Fall angebracht, dort musst du dann eine
Nat Regel und ein Port Forwarding auf den Server einrichten für das GRE Protokoll und den
Port 1723 für PPTP VPN.


Mfg.
Bitte warten ..
Mitglied: profos
18.07.2011 um 15:28 Uhr
Okay, dann werde ich mich mal durch das Forum wühlen müssen.

Vielen Dank an alle


"Dann Leben könnte so einfach sein - leider nicht mit Windows"

mfg
Bitte warten ..
Mitglied: 57263
57263 (Level 1)
18.07.2011, aktualisiert 18.10.2012
Nur noch mit vpn! Siehe meine Erfrahrung kürzlich: https://www.administrator.de/forum/sbs2003-mit-iis%2c-eindringversuch-vo ... Tausende Hackversuche pro Nacht von einem chinesischen Server. Es wäre nur eine Frage der Zeit gewesen, bis die richtige Kombination aus User und Passwort gefunden worden wäre .

Christian Tietje
Bitte warten ..
Mitglied: 101238
101238 (Level 1)
18.07.2011 um 19:18 Uhr
Hallo Profos,

wir haben das so gelöst: RDP über VPN auf eine Hardware-Firewall (Protokoll IPSec over L2TP) danach Login auf Server nur für authorisierte Benutzer. Und das alles schön überwachen lassen, was so in der Firewall ankommt. Zur Hardwarefirewall gibt es eine Software die auf jedem Client läuft und alle Zugriffe mitloggt.

mfg
Bitte warten ..
Mitglied: profos
18.07.2011 um 21:15 Uhr
Wow!!

das ist wirklich die Antwort bei der mir heiß und kalt wird.

Unsere Firma ist ein Importgroßhandel und wir importieren 90% unserer Waren aus China. Auf unserer Internetseite sind die Besucher aus China genauso stark vertreten wie die Inländer.



Vielen Dank
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 22 StundenFrageSwitche und Hubs29 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 21 StundenFrageBatch & Shell18 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Ubuntu
Mailserver Test Provider IP
gelöst it-blzVor 1 TagFrageUbuntu9 Kommentare

Hallo, ist es möglich einen "Mailserver" (Imap + smtp) in einer Virtual Box mit einer Provider IP (dynamisch - ist allerdings konstant) zu testen? ...

Microsoft
MS Teams und Office im gemeinnützigen Verein
DanielBodenseeVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen, ich würde gerne in unserem anerkannten gemeinnützigen Verein eine gemeinsame Platform aufbauen, über die wir Diskutieren und uns austauschen können, insbesondere bei ...

Hardware
DisplayPort zu USB-C Adapter Converter
gelöst felixhuth-itVor 1 TagFrageHardware11 Kommentare

Hallo liebe Gemeinde Ich habe da ein kleines Problemchen. Der Kunde wollte einen 14 Zoll Monitor mit Touch in Verbindung mit einem Mini PC ...

Linux Netzwerk
SAMBA FS Portfreigabe
gelöst Jannik2018Vor 1 TagFrageLinux Netzwerk17 Kommentare

Hallo zusammen, ich habe eine Portfreigabe für meinen SAMBA Server mit Netzwerkfreigaben auf port 445 TCP eingerichtet allerdings wenn ich per DNS oder externer ...

Microsoft Office
Wechsel von Office - Exchange on premise zu Office 365 - Exchange Online
jann0rVor 16 StundenAllgemeinMicrosoft Office10 Kommentare

Moin, ich weiß nicht so richtig, unter welche Überschrift man dieses Thema hier am besten packen kann, daher mal als allg. Beitrag / Erfahrungsbericht. ...