135522
21.02.2018
1659
7
0
SBS Remotewebzugriff-Sicherheits-Frage
Guten Abend
Ich habe noch zwei SBS 2011 im Einsatz und mir ist aufgefallen, dass über https://mail.KUNDE.de/remote standardmässig eine RDP Möglichkeit besteht, wenn man sich einloggt.
Frage:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu verbinden, auch wenn der RDP Port 3389 dicht ist?
2. Im Test gelang mir dies nicht weil ich das Zertifikat nicht installiert hatte. Erhalte ich dies nur über den Server? Dann wäre es ja nicht so problematisch.
3. Kann man diese Variante komplett unterbinden? Irgendwie finde ich die blosse Vorstellung, dass sowas möglich ist, schon sehr bedenklich.
Freundlichen Gruss euch
Oli
P.s.: Ich bin froh wenn auch die letzten zwei SBS ersetzt wurden.
Ich habe noch zwei SBS 2011 im Einsatz und mir ist aufgefallen, dass über https://mail.KUNDE.de/remote standardmässig eine RDP Möglichkeit besteht, wenn man sich einloggt.
Frage:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu verbinden, auch wenn der RDP Port 3389 dicht ist?
2. Im Test gelang mir dies nicht weil ich das Zertifikat nicht installiert hatte. Erhalte ich dies nur über den Server? Dann wäre es ja nicht so problematisch.
3. Kann man diese Variante komplett unterbinden? Irgendwie finde ich die blosse Vorstellung, dass sowas möglich ist, schon sehr bedenklich.
Freundlichen Gruss euch
Oli
P.s.: Ich bin froh wenn auch die letzten zwei SBS ersetzt wurden.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365591
Url: https://administrator.de/forum/sbs-remotewebzugriff-sicherheits-frage-365591.html
Ausgedruckt am: 23.04.2025 um 12:04 Uhr
7 Kommentare
Neuester Kommentar
Zitat von @135522:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Zitat von @tomolpi:
Zitat von @135522:
1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Geht das nicht mit jedem User, der sich im WebAccess anmeldet? Die Verbindung läuft dann einfach getunnelt über den Port 443 (der SBS fungiert dann als Remote Desktop Gateway Server).1. Wenn nun jemand das Admin Passwort hat, ist es ihm dann möglich sämtliche Regeln der Firewall zu umgehen und somit auf den Server zu
Hallo Tomolpi,
Vermutlich schon - aber auf den Server selber kann ein "normaler" Benutzer ja sowieso nicht einloggen. Und ja der Port 443 stimmt, deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Richtig, darum sollte man hierbei auch gewisse Vorkehrungen treffen.
Aber die SBS gehen langsam sowieso in Rente, daher...
Aber die SBS gehen langsam sowieso in Rente, daher...
Zitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Gruß Snap
Zitat von @135333:
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspxZitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Zitat von @135333:
Gruß Snap
Zitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Doch kannst du, entweder über IIS IP Restrictions nur das lokale Netz auf dieses Unterverzeichnis zugreifen lassen oder über einen vorgeschalteten Reverse-Proxy den man sicherheitshalber immer haben sollte, das Unterverzeichnis erst gar nicht druch lassen.deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Gruß Snap
Aber ich will ja "nur" RDP von extern komplett unterbinden. Ausser per VPN natürlich. ;)
Zitat von @tomolpi:
Zitat von @135333:
du kannst den Remote Webzugriff auch einfach deaktivieren: https://msdn.microsoft.com/de-de/library/cc527621(v=ws.11).aspxZitat von @135522:
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
deshalb kann ich Firewall-mässig auch nichts machen da OWA benötigt wird - läuft ja über den selben Port.
Wird dann RDP über HTTPS auch mit deaktiviert?
