Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst RDS Optimal absichern

Mitglied: Remoteserverneuling

Remoteserverneuling (Level 1) - Jetzt verbinden

05.10.2016, aktualisiert 09:35 Uhr, 678 Aufrufe, 6 Kommentare

Hallo zusammen,

mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.

Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.

Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)

Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.


Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling
Mitglied: tomolpi
05.10.2016 um 08:59 Uhr
Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist
Bitte warten ..
Mitglied: Remoteserverneuling
05.10.2016 um 09:33 Uhr
Hallo Tomolpi,

die Idee gefällt mir den selben Ansatz habe ich auch verfolgt habe ein Log-out Skript geschrieben und es an den Benutzer Login gehangen.
funktioniert super... leider zu gut

Denn sobald ein Nutzer ein Programm auswählt das er nutzen möchte scheint im Hintergrund ein log in statt zu finden, so dass er automatisch wieder ausgelogt wird und das Programm sich wieder schließt.
Bitte warten ..
Mitglied: Dani
LÖSUNG 05.10.2016, aktualisiert um 09:58 Uhr
Moin
Zitat von tomolpi:

Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist
und wie unterscheidet zwischen RemoteApps und Desktopverbindung? In in beiden Fällen wird im Hintergrund eine RDP-Verbindung aufgebaut (siehe Task-Manager).

Seine Hauptsorgen sind 1. Angriffe durch dritte
Wenn ihr WebAccess nutzt, könnte man den IIS bezüglich Verschlüsselung härten. Ich empfehle gerne das Tool IIS Crypto.
Entsprechende Kennwörter (Komplexitätsrichtlinie) welche in regelmäßgen Abständen geändert werden.
Am Ende hängt es trotzdem vom Benutzer ab. Daher hilft hier nur schulen...
Keine Software installieren, welche nicht unbedingt erforderlich ist.
RDP-Authentifizierung auf TLS umstellen.

und 2. DAU-Schäden
Da spielt der Zugriff (RemoteApp oder Desktop) erstmal keine Rolle. Wenn der Benutzer keine lokale Adminrechte o.ä. besitzt sine die Betriebssystem relevanten Verzeichnisse geschützt. Wenn er auf das Programmverzeichnis XYZ Vollzugriff hat, kann er dieses natürlich auch "ausversehen" löschen.


Gruß,
Dani
Bitte warten ..
Mitglied: Remoteserverneuling
05.10.2016 um 10:15 Uhr
Danke Dani,

Den IIS Ansatz werde ich weiterverfolgen.

Was die DAUs angeht.... Wir sind eine Bildungseinrichtung mit ca. 8000 Nutzern die ständig wechseln wo ein schulen auf korrekte Nutzung der IT Ressourcen leider unmöglich ist.

Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen. z.B. Benutzernamen anderer Anwender. o.ä.
Bitte warten ..
Mitglied: Dani
LÖSUNG 05.10.2016 um 13:11 Uhr
. z.B. Benutzernamen anderer Anwender. o.ä.
Schlechtes Beispiel: Wer ein bisschen Verstand einsetzt weiß, dass der Benutername aus einem Schema von Vor- und Nachname besteht. Soll aber auch Ausnahmen geben, welche die Personalnummer oder Zufallszahlen als Benutzernamen vergeben.

Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen
Zuerst ein Konzept ausarbeiten und anschließend mit Active Directory Gruppen die Berechtigungen umsetzen. Bei einer sauberen Dokumentation brennt da eigentlich nichts an. Was aber nicht davor schützt, dass Dokument evtl. im falschen Ordner abgelegt werden. Da sind wir wieder bei den Usern...


Gruß,
Dani
Bitte warten ..
Mitglied: Remoteserverneuling
05.10.2016 um 15:26 Uhr
Okay ich sehe worauf es hinausläuft.

Ich danke dir für die Unterstützung
Bitte warten ..
Ähnliche Inhalte
VB for Applications
Excel Gewichte optimal verteilen
gelöst Frage von usenussiVB for Applications12 Kommentare

Hallo Experten, ich bin neu hier im Forum und habe gleich eine Frage die mich schon seit einer Woche ...

Windows Netzwerk
RDS Netzwerkprobleme
gelöst Frage von mcmaccaWindows Netzwerk3 Kommentare

Hallo mal wieder, ein vollständig konfigurierter Win 2012R2 RDS auf HyperV (max 5 User) macht Probleme. Die Verbindung bricht ...

Windows Server
Microsoft RDS
Frage von KEFHVDIWindows Server1 Kommentar

Hallo, wir haben eine kleine RDS Umgebung aufgebaut inkl Gateway etc. Wir haben einen Desktops und mehrere published Apps. ...

Windows Server

Windows 2012 RDS: Lizenzserver getrennt vom RDS-Server?

gelöst Frage von BrennerleinWindows Server2 Kommentare

Hallo an alle, ich bin der Meinung vor einiger Zeit mal gelesen zu haben das es u.a. die Änderung ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 3 StundenOff Topic1 Kommentar

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 16 StundenHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 2 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung24 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

LAN, WAN, Wireless
Gleichzeitiger Zugriff übers Netzwerk: SSD vs HDD
gelöst Frage von ahussainLAN, WAN, Wireless20 Kommentare

Hallo, ich möchte in einem Rechner eine zusätzliche SATA-Festplatte einbauen und von dort diverse Ordner übers Netzwerk (Gigabit Ethernet) ...

Netzwerkmanagement
Gateprotect Firewall - Internetseiten werden teilw. nicht geladen
Frage von KivasFNetzwerkmanagement16 Kommentare

Morgen Zusammen, ich habe ein Problem mit einer Gateprotect Firewall welches mir echt Kopfschmerzen bereitet. Die Firewall hängt an ...

Router & Routing
HP 2920 als Router konfigurieren. Bitte um Unterstützung
gelöst Frage von suedi123Router & Routing16 Kommentare

Liebe Forumsmitglieder, ich habe hier ein Problem, bei welchem ich nicht weiterkomme, weil ich mich zu wenig mit der ...