9
Remote Destop Zertifikat vertrauenswürdig machen
Moin!
Ich muss nun mal nachfragen... Ich arbeite mich grade etwas in die Windows Server Geschichte ein. Jetzt haben wir auf der Arbeit ein der Art beschränktes Netzwerk, dass es keinen Spaß macht damit zu arbeiten und da kam mir die Idee, dass ich mich einfach mit RD auf den Server schalte und dort arbeite. Für den Arbeitgeber ist das auch soweit fein, er kann mir aber nicht beim folgenden Problem weiterhelfen, da die Verwaltung des Netzwerks über eine Drittanbieterfirma läuft.......
Problem ist wie folgt:
Über die Client-Richtlinien ist eingestellt, dass das Dropdown Menü beim "RD > Option einblenden > Erweitert > Serverauthentifizierung > Bei einem Fehler bei der Serverauthentifizierung" es immer auf "keine Verbindung herstellen" eingestellt ist.
Meinen Server in die vertrauten Herausgeber hinzuzufügen ist durch die Beschränkungen natürlich auch nicht möglich und es kommt immer nur die Standardfehlermeldung „Unbekannter Herausgeber“, "nicht vertrauenswürdiger Herausgeber", .... bla bla :D
Ist es jetzt irgendwie möglich nur Serverseitig dieses Zertifikat vertrauenswürdig zu machen? Übern Client kann ich leider, durch die Beschränkungen, gar nichts machen.
Vielleicht hat ja jemand eine Idee wie man dem Client einen vertrauenswürdigen Herausgeber vorspielen kann oder so!
Vielen Dank schonmal!
Ich muss nun mal nachfragen... Ich arbeite mich grade etwas in die Windows Server Geschichte ein. Jetzt haben wir auf der Arbeit ein der Art beschränktes Netzwerk, dass es keinen Spaß macht damit zu arbeiten und da kam mir die Idee, dass ich mich einfach mit RD auf den Server schalte und dort arbeite. Für den Arbeitgeber ist das auch soweit fein, er kann mir aber nicht beim folgenden Problem weiterhelfen, da die Verwaltung des Netzwerks über eine Drittanbieterfirma läuft.......
Problem ist wie folgt:
Über die Client-Richtlinien ist eingestellt, dass das Dropdown Menü beim "RD > Option einblenden > Erweitert > Serverauthentifizierung > Bei einem Fehler bei der Serverauthentifizierung" es immer auf "keine Verbindung herstellen" eingestellt ist.
Meinen Server in die vertrauten Herausgeber hinzuzufügen ist durch die Beschränkungen natürlich auch nicht möglich und es kommt immer nur die Standardfehlermeldung „Unbekannter Herausgeber“, "nicht vertrauenswürdiger Herausgeber", .... bla bla :D
Ist es jetzt irgendwie möglich nur Serverseitig dieses Zertifikat vertrauenswürdig zu machen? Übern Client kann ich leider, durch die Beschränkungen, gar nichts machen.
Vielleicht hat ja jemand eine Idee wie man dem Client einen vertrauenswürdigen Herausgeber vorspielen kann oder so!
Vielen Dank schonmal!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6991249226
Url: https://administrator.de/contentid/6991249226
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
9 Kommentare
Neuester Kommentar
Kann es sein, dass der für das Netzwerk Verantwortliche sich bei den Sicherheitseinstellungen etwas gedacht hat?
Direkt auf dem Server arbeitet nur der Admin und das auch nur, wenn die Aufgabe es erfordert!
Oder man setzt einen Terminal-Server ein. Aber das ist ein anderes Thema.
Wenn der Chef mit dem "Netzwerk" nicht zufrieden ist, soll er der IT Beine machen.
Aber irgendwem den Zugriff auf den Server zu erlauben.... Ich als verantwortlicher Admin würde mich sofort schriftlich von jeder Verantwortung freistellen lassen.
Jürgen
PS. Was "funktioniert" denn bei euch im Netzwerk konkret nicht.
Direkt auf dem Server arbeitet nur der Admin und das auch nur, wenn die Aufgabe es erfordert!
Oder man setzt einen Terminal-Server ein. Aber das ist ein anderes Thema.
Wenn der Chef mit dem "Netzwerk" nicht zufrieden ist, soll er der IT Beine machen.
Aber irgendwem den Zugriff auf den Server zu erlauben.... Ich als verantwortlicher Admin würde mich sofort schriftlich von jeder Verantwortung freistellen lassen.
Jürgen
PS. Was "funktioniert" denn bei euch im Netzwerk konkret nicht.
Direkt auf dem Server arbeitet nur der Admin und das auch nur, wenn die Aufgabe es erfordert!
Das hast du glaube ich nicht richtig verstanden. Ich möchte nicht auf dem Domänen Server arbeiten sondern auf einem privaten von mir! Und ja auf diesem Server kann ich einfach so arbeiten, da das nur ein Bastelserver ist.Wenn der Chef mit dem "Netzwerk" nicht zufrieden ist, soll er der IT Beine machen.
Schwierig... Ist so einfach nicht möglich, da Anträge, bla bla... Kann ich hier nicht genau drauf eingehen (darf ich durch den Arbeitgeber einfach nicht).Was "funktioniert" denn bei euch im Netzwerk konkret nicht.
- Proxy sperrt alles weg was nicht grade google.de ist- Sollen für eine Arbeit passende CAD Zeichnungen erstellen, Software fehlt, und naja wird auch nicht zur Verfügung gestellt
- und vieles mehr
Wie gesagt. Bis vor kurzem haben wir uns voll selbst verwaltet, das lief dann auch, seid kurzem muss es ja unbedingt wer anders machen...
Vielleicht hat ja jemand eine Idee wie man dem Client einen vertrauenswürdigen Herausgeber vorspielen kann oder so!
Aber das ist ja auch die Hauptfrage!
Das ändert aber nichts an meiner Aussage!
Der IT- "Dienstleister" mach, wie der Name schon sagt, dass, was der der bezahlt, sagt. Oder der Chef ist gar nicht der Chef.
Was konkret willst du denn auf dem Server machen, was auf einem Client nicht geht?
Übrigens: CAD mit RDP auf einem "Server" auszuführen, ist eine ganz schlechte Idee.
Und ohne passendes CAD-Programm kann man auch auf einem "Server" keine CAD-Zeichnung erstellen.
Zu deinem Problem: Wenn der Server Mitglied der Domäne ist, greifen auch bei ihm die Sicherheitsrichtlinien der Domäne.
Also beim Domänen-Admin beantragen, dass man per RDP auf den Server kommt.
Jürgen
Der IT- "Dienstleister" mach, wie der Name schon sagt, dass, was der der bezahlt, sagt. Oder der Chef ist gar nicht der Chef.
Was konkret willst du denn auf dem Server machen, was auf einem Client nicht geht?
Übrigens: CAD mit RDP auf einem "Server" auszuführen, ist eine ganz schlechte Idee.
Und ohne passendes CAD-Programm kann man auch auf einem "Server" keine CAD-Zeichnung erstellen.
Zu deinem Problem: Wenn der Server Mitglied der Domäne ist, greifen auch bei ihm die Sicherheitsrichtlinien der Domäne.
Also beim Domänen-Admin beantragen, dass man per RDP auf den Server kommt.
Jürgen
Und zu deiner Hauptfrage: Schon mal die Foren-Regel gelesen?
Wir sollen dir einen Tip geben, wie man eure Domäne hackt?
Jürgen
Wir sollen dir einen Tip geben, wie man eure Domäne hackt?
Jürgen
Proxy sperrt alles weg was nicht grade google.de ist
Eventuell hat sich da jemand was dabei gedacht.
Sollen für eine Arbeit passende CAD Zeichnungen erstellen, Software fehlt, und naja wird auch nicht zur Verfügung gestellt
"Chef, wenn ich CAD machen soll brauche ich entsprechende Software. Ohne geht's nicht."
Manuel
1
Zitat von @chiefteddy:
Und zu deiner Hauptfrage: Schon mal die Foren-Regel gelesen?
Wir sollen dir einen Tip geben, wie man eure Domäne hackt?
Jürgen
Und zu deiner Hauptfrage: Schon mal die Foren-Regel gelesen?
Wir sollen dir einen Tip geben, wie man eure Domäne hackt?
Jürgen
Wo hat er denn gefragt, ob wir ihm helfen seine Domäne zu hacken? Er fragt, wie er die Fehlermeldung wegbekommt.
Ist es jetzt irgendwie möglich nur Serverseitig dieses Zertifikat vertrauenswürdig zu machen?
Ja. Ist es. Es braucht in diesem Fall eine PKI und Active Directory-Zertifikatdienste und die müssen sauber ausgerollt werden.
Der Remote Desktop Server // Terminalserver muss ein Zertifikat haben, welches nicht von ihm selber ausgestellt wurde, und nachvollziehbar signiert wurde (von einem gemeinsamen Stammzertifikat signiert).
Die Zertifikate müssen in ihrer Gesamtheit nachvollziehbar sein für den Client. Das ist Arbeit. Aber es lohnt sich.
Die Warnung hat einen Grund. Wenn eine MitM-Attacke gefahren wird, wird die Zertifikatskette gebrochen, ist nicht mehr nachvollziehbar und der Client soll dann ne Warnmeldung auswerfen.
Die Warnmeldung per registry ausschalten ist keine gute Idee.
Lass dir doch mal einen Kostenvorschlag machen für das implementieren und pflegen einer PKI mit ADCS. Argumentation sollte hier die Sicherheit des Unternehmens sein.
Wenn die PKI ordentlich ausgerollt ist, kann man sich auch von außen auf dem Terminalserver anmelden. Sicher. Könnte als auch für work-from-home interessant sein.
Wir nutzen die PKI/ADCS für alles bei uns im Haus, wo ein Zertifikat benötigt wird. Einmal ordentlich eingerichtet hat es Mehrwert. Nach innen und außen.
Und wie soll der TO ein PKI-System in der Domäne implementieren ohne Admin-Rechte. Die hat er nicht und der IT-Dienstleister will sie ihm aus nachvollziehbaren Gründen nicht geben.
Auch andere Sicherheitseinstellungen in der Domäne gefallen ihn nicht.
Statt nun über den Vorgesetzten die aus seiner Sicht notwendigen Änderungen zu beantragen und zu begründen, will er das alleine unter Umgehung der in der Domäne geltenden Vorgaben am IT-Dienstleister vorbei doch umsetzen.
Ich nenne das "hacken".
Jürgen
Auch andere Sicherheitseinstellungen in der Domäne gefallen ihn nicht.
Statt nun über den Vorgesetzten die aus seiner Sicht notwendigen Änderungen zu beantragen und zu begründen, will er das alleine unter Umgehung der in der Domäne geltenden Vorgaben am IT-Dienstleister vorbei doch umsetzen.
Ich nenne das "hacken".
Jürgen
Zitat von @chiefteddy:
Und wie soll der TO ein PKI-System in der Domäne implementieren ohne Admin-Rechte. Die hat er nicht und der IT-Dienstleister will sie ihm aus nachvollziehbaren Gründen nicht geben.
Und wie soll der TO ein PKI-System in der Domäne implementieren ohne Admin-Rechte. Die hat er nicht und der IT-Dienstleister will sie ihm aus nachvollziehbaren Gründen nicht geben.
Du, das kann ich dir echt nicht sagen, weil: das ist nicht unser Ding. Wir sollten ihm aber wenigstens sagen, was das eigentliche Thema ist, wie er eine Lösung bekommt und in welche Richtung er weiter forschen sollte. und besonders: seine Frage beantworten. und die lautete "wie bekomme ich die Fehlermeldung weg". (:
und ganz ehrlich? gegen hacking spricht nicht viel... gegen cracking dagegen schon ;)
