menace
Goto Top

Zwischenablage bei RDP verbieten für non AD PCs

Hallo zusammen,

wir haben aktuell folgendes Problem.
Wir haben einen externen Consulter, welcher von uns einen VPN Zugang (Forti VPN) ins interne Netz bekommt.
Es verbindet sich also mit seinem "privaten / office" PC per VPN in unser Netz und connected dann per RDP auf einen internen Server.

Wir würde nun gerne unterbinden, dass der Consulter zwischen lokalem PC und der RDP Session die Zwischenablage nutzen kann (Strg+C - Strg+V).
Dies ließe sich ja generell per GPO auf dem Server regeln

--> “Computer Configuration” > “Administrative Templates” > “Windows Components” > “Remote Desktop Services” > “Remote Desktop Session Host“ > “Do not allow Clipboard redirection”

Problem ist aber, dass diese Einstellung natürlich dann generell die Zwischenablage bei RDP auf dem Server verbietet, was also auch z.B. die interne AD-Administration betrifft.
Gibt es eine Möglichkeit die Beschränkung nur auf non AD PC einzuschränken?
Oder hat jemand eine andere Lösung?

Besten Dank

Content-Key: 2412376462

Url: https://administrator.de/contentid/2412376462

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: ukulele-7
ukulele-7 05.04.2022 um 12:29:34 Uhr
Goto Top
Du könntest einen eigenen RD-Session Host für solche Benutzer betreiben. Darüber habe ich auch schon nachgedacht, bin aber noch zu keiner Entscheidung in der Sache gekommen.

Für einen User ist das natürlich lästig, könnte aber dennoch sinnvoll sein z.B. eine eigene RD-Sammlung für Dienstleister anzulegen.
Mitglied: menace
menace 05.04.2022 um 12:39:46 Uhr
Goto Top
Problem ist hier aber, dass der Consultant genau auf den genannten Server connecten muss.
Ein eigener Session Host bringt hier dann vermutlich keine Problemlösung, oder liege ich da falsch?
Mitglied: ukulele-7
ukulele-7 05.04.2022 um 13:31:24 Uhr
Goto Top
Nein eher nicht. Nur wenn er nochmal RDP von dort machen würde, dann könnte man die Zwischenablage unterbinden.
Mitglied: em-pie
em-pie 05.04.2022, aktualisiert am 06.04.2022 um 00:01:14 Uhr
Goto Top
Moin,

Und der Loopbackmodus funktioniert nicht?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

Warum eigentlich das verhindern der Nutzung der Zwischenablage? Will der Consultant was kopieren, nutzt er irgendwelche Webmailer o.ä. Oder darf er vom RDS auch keinen WebTraffic nutzen?

Habt ihr „Bammel“, dass er (sensible) Daten veruntreuen könnte? Oder dient es, als eines der vielen Elemente, zum Schutze von Cyberangriffen?


Gruß
em-pie
Mitglied: menace
menace 06.04.2022 um 08:03:37 Uhr
Goto Top
im Grund ist es eine Mischung aus allem, was Du geschrieben hattest;
primär wollen wir verhindern, das "unerwünschte Aktionen" durch die RDP Zwischenablage vom priv. PC auf den Server gelangen;

in wie fern soll der Loopback Modus hier hilfreich sein?
Mitglied: em-pie
Lösung em-pie 06.04.2022 aktualisiert um 11:01:18 Uhr
Goto Top
Hast Recht, Loopback alleine ist quatsch... war schon spät -.-

Du kannst deine obige Computerbasierte GPO aber auch in die USer-Gruppe packen:
User Configuration Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource a Redirection: Do not allow Clipboard redirection - enabled 
Diese GPO hat dann in der SIcherheitsfilterung eine Gruppe "grp_consultants" hinterlegt, in der du dann alle externen hinzufügen kannst.
Das sollte dann eigentlich funktionieren...

https://kb.parallels.com/123625

Gruß
em-pie
Mitglied: ukulele-7
ukulele-7 06.04.2022 um 11:05:17 Uhr
Goto Top
Ich hatte auch an Loop Back gedacht aber das funktioniert nicht. Genau das Problem hatte ich vor ein paar Tagen auch, man kann keine Computer-GPO abhängig vom angemeldeten Nutzer greifen oder nicht greifen lassen. Die Computer-GPO wird entweder auf den gesamten Computer angewandt oder nicht aber nicht nur innerhalb eines User-Kontextes geladen.
Computer-GPO auf User filtern

Wenn die GPO auch als User-GPO existiert ist das natürlich optimal, das ist dann kein Problem mehr.
Mitglied: menace
menace 11.04.2022 um 15:29:37 Uhr
Goto Top
besten Dank für die Vorschläge, der Tipp mit der userbasierten GPO hat funktioniert;
Ich habe diese noch an eine AD-Gruppe gebunden, so dass man über diese nun steuern kann, bei welchen AD Accounts die GPO bzw. die Einschränkung angewendet werden soll und wann nicht.