Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst RDS Optimal absichern

Mitglied: Remoteserverneuling

Remoteserverneuling (Level 1) - Jetzt verbinden

05.10.2016, aktualisiert 09:35 Uhr, 893 Aufrufe, 7 Kommentare

Hallo zusammen,

mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.

Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.

Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)

Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.


Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling
Mitglied: tomolpi
05.10.2016 um 08:59 Uhr
Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist
Bitte warten ..
Mitglied: Remoteserverneuling
05.10.2016 um 09:33 Uhr
Hallo Tomolpi,

die Idee gefällt mir den selben Ansatz habe ich auch verfolgt habe ein Log-out Skript geschrieben und es an den Benutzer Login gehangen.
funktioniert super... leider zu gut

Denn sobald ein Nutzer ein Programm auswählt das er nutzen möchte scheint im Hintergrund ein log in statt zu finden, so dass er automatisch wieder ausgelogt wird und das Programm sich wieder schließt.
Bitte warten ..
Mitglied: Dani
LÖSUNG 05.10.2016, aktualisiert um 09:58 Uhr
Moin
Zitat von tomolpi:

Was mir spontan einfällt: Wenn sich ein User mit dem TS verbindet (also mit mstsc) kannst du ihn z.B mit einem kleinen Skript sofort wieder abmelden. Das kannst du dann per GPO noch filtern das die Admins nicht rausfliegen und gut ist
und wie unterscheidet zwischen RemoteApps und Desktopverbindung? In in beiden Fällen wird im Hintergrund eine RDP-Verbindung aufgebaut (siehe Task-Manager).

Seine Hauptsorgen sind 1. Angriffe durch dritte
Wenn ihr WebAccess nutzt, könnte man den IIS bezüglich Verschlüsselung härten. Ich empfehle gerne das Tool IIS Crypto.
Entsprechende Kennwörter (Komplexitätsrichtlinie) welche in regelmäßgen Abständen geändert werden.
Am Ende hängt es trotzdem vom Benutzer ab. Daher hilft hier nur schulen...
Keine Software installieren, welche nicht unbedingt erforderlich ist.
RDP-Authentifizierung auf TLS umstellen.

und 2. DAU-Schäden
Da spielt der Zugriff (RemoteApp oder Desktop) erstmal keine Rolle. Wenn der Benutzer keine lokale Adminrechte o.ä. besitzt sine die Betriebssystem relevanten Verzeichnisse geschützt. Wenn er auf das Programmverzeichnis XYZ Vollzugriff hat, kann er dieses natürlich auch "ausversehen" löschen.


Gruß,
Dani
Bitte warten ..
Mitglied: Remoteserverneuling
05.10.2016 um 10:15 Uhr
Danke Dani,

Den IIS Ansatz werde ich weiterverfolgen.

Was die DAUs angeht.... Wir sind eine Bildungseinrichtung mit ca. 8000 Nutzern die ständig wechseln wo ein schulen auf korrekte Nutzung der IT Ressourcen leider unmöglich ist.

Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen. z.B. Benutzernamen anderer Anwender. o.ä.
Bitte warten ..
Mitglied: Dani
LÖSUNG 05.10.2016 um 13:11 Uhr
. z.B. Benutzernamen anderer Anwender. o.ä.
Schlechtes Beispiel: Wer ein bisschen Verstand einsetzt weiß, dass der Benutername aus einem Schema von Vor- und Nachname besteht. Soll aber auch Ausnahmen geben, welche die Personalnummer oder Zufallszahlen als Benutzernamen vergeben.

Die Sorge besteht vor allem darin das die Nutzer an Informationen kommen die sich nicht haben sollen
Zuerst ein Konzept ausarbeiten und anschließend mit Active Directory Gruppen die Berechtigungen umsetzen. Bei einer sauberen Dokumentation brennt da eigentlich nichts an. Was aber nicht davor schützt, dass Dokument evtl. im falschen Ordner abgelegt werden. Da sind wir wieder bei den Usern...


Gruß,
Dani
Bitte warten ..
Mitglied: Remoteserverneuling
05.10.2016 um 15:26 Uhr
Okay ich sehe worauf es hinausläuft.

Ich danke dir für die Unterstützung
Bitte warten ..
Mitglied: Th0mKa
02.12.2019 um 19:35 Uhr
Zitat von Remoteserverneuling:

Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.

Moin,

Du kannst im AD die Logoff.exe ins TS Profil eintragen, die User werden dann bei Desktopverbindungen via RDP abgemeldet aber RemoteApp funktioniert trotzdem.

/Thomss
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
WLAN nicht optimal
Frage von Ghost108LAN, WAN, Wireless25 Kommentare

Hallo zusammen, ich möchte gerne einen Bereich mit WLAN ausleuchten (best practice) Dieser Bereich sieht in etwa so aus: ...

VB for Applications
Excel Gewichte optimal verteilen
gelöst Frage von usenussiVB for Applications12 Kommentare

Hallo Experten, ich bin neu hier im Forum und habe gleich eine Frage die mich schon seit einer Woche ...

Windows Server
Microsoft RDS
Frage von KEFHVDIWindows Server1 Kommentar

Hallo, wir haben eine kleine RDS Umgebung aufgebaut inkl Gateway etc. Wir haben einen Desktops und mehrere published Apps. ...

Windows Server
RDS Roaming Profiles
gelöst Frage von moekewaWindows Server3 Kommentare

Hallo, ich habe ein Problem bei Roaming Profiles und hoffe ihr könnt mir hier einen entscheidendenTipp geben :) Folgende ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 2 TagenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 3 TagenDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 3 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 5 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Server-Hardware
Hetzner Dedicated-Server für Terminalserver - RDSH 5 Benutzer gesucht
gelöst Frage von ra-user10Server-Hardware37 Kommentare

Hallo liebe IT-Fachleute! Ich möchte für unseren kleinen Betrieb einen Terminalserver aufsetzen und dafür das Angebot von Hetzner nutzen. ...

E-Business
Brainstorming: Zeiterfassungs- oder gesamtes Abrechnungssystem
Frage von certifiedit.netE-Business23 Kommentare

Guten Abend, alles neu macht der, naja, schon lange nicht mehr, Mai Zum Ende des Jahres, besser zum Beginn ...

Batch & Shell
Batch max. Speicherkapazität einer Variable
Frage von Patrick24Batch & Shell13 Kommentare

Hi, ich schreibe gerade eine Batch wo voraussichtlich sehr große Zahlen in einer Variable gespeichert werden sollen (so ca.120 ...

Entwicklung
Powershell-Skript und Organisationseinheiten auskludieren
gelöst Frage von informatikkfmEntwicklung13 Kommentare

Hallo, ich habe ein Powershell-Skript, ähnlich wie das folgende. Ich möchte dabei, dass alle Benutzer unterhalb der OUs in ...