menace
Goto Top

Zwischenablage bei RDP verbieten für non AD PCs

Hallo zusammen,

wir haben aktuell folgendes Problem.
Wir haben einen externen Consulter, welcher von uns einen VPN Zugang (Forti VPN) ins interne Netz bekommt.
Es verbindet sich also mit seinem "privaten / office" PC per VPN in unser Netz und connected dann per RDP auf einen internen Server.

Wir würde nun gerne unterbinden, dass der Consulter zwischen lokalem PC und der RDP Session die Zwischenablage nutzen kann (Strg+C - Strg+V).
Dies ließe sich ja generell per GPO auf dem Server regeln

--> “Computer Configuration” > “Administrative Templates” > “Windows Components” > “Remote Desktop Services” > “Remote Desktop Session Host“ > “Do not allow Clipboard redirection”

Problem ist aber, dass diese Einstellung natürlich dann generell die Zwischenablage bei RDP auf dem Server verbietet, was also auch z.B. die interne AD-Administration betrifft.
Gibt es eine Möglichkeit die Beschränkung nur auf non AD PC einzuschränken?
Oder hat jemand eine andere Lösung?

Besten Dank

Content-Key: 2412376462

Url: https://administrator.de/contentid/2412376462

Printed on: February 8, 2023 at 10:02 o'clock

Member: ukulele-7
ukulele-7 Apr 05, 2022 at 10:29:34 (UTC)
Goto Top
Du könntest einen eigenen RD-Session Host für solche Benutzer betreiben. Darüber habe ich auch schon nachgedacht, bin aber noch zu keiner Entscheidung in der Sache gekommen.

Für einen User ist das natürlich lästig, könnte aber dennoch sinnvoll sein z.B. eine eigene RD-Sammlung für Dienstleister anzulegen.
Member: menace
menace Apr 05, 2022 at 10:39:46 (UTC)
Goto Top
Problem ist hier aber, dass der Consultant genau auf den genannten Server connecten muss.
Ein eigener Session Host bringt hier dann vermutlich keine Problemlösung, oder liege ich da falsch?
Member: ukulele-7
ukulele-7 Apr 05, 2022 at 11:31:24 (UTC)
Goto Top
Nein eher nicht. Nur wenn er nochmal RDP von dort machen würde, dann könnte man die Zwischenablage unterbinden.
Member: em-pie
em-pie Apr 05, 2022 updated at 22:01:14 (UTC)
Goto Top
Moin,

Und der Loopbackmodus funktioniert nicht?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...

Warum eigentlich das verhindern der Nutzung der Zwischenablage? Will der Consultant was kopieren, nutzt er irgendwelche Webmailer o.ä. Oder darf er vom RDS auch keinen WebTraffic nutzen?

Habt ihr „Bammel“, dass er (sensible) Daten veruntreuen könnte? Oder dient es, als eines der vielen Elemente, zum Schutze von Cyberangriffen?


Gruß
em-pie
Member: menace
menace Apr 06, 2022 at 06:03:37 (UTC)
Goto Top
im Grund ist es eine Mischung aus allem, was Du geschrieben hattest;
primär wollen wir verhindern, das "unerwünschte Aktionen" durch die RDP Zwischenablage vom priv. PC auf den Server gelangen;

in wie fern soll der Loopback Modus hier hilfreich sein?
Member: em-pie
Solution em-pie Apr 06, 2022 updated at 09:01:18 (UTC)
Goto Top
Hast Recht, Loopback alleine ist quatsch... war schon spät -.-

Du kannst deine obige Computerbasierte GPO aber auch in die USer-Gruppe packen:
Diese GPO hat dann in der SIcherheitsfilterung eine Gruppe "grp_consultants" hinterlegt, in der du dann alle externen hinzufügen kannst.
Das sollte dann eigentlich funktionieren...

https://kb.parallels.com/123625

Gruß
em-pie
Member: ukulele-7
ukulele-7 Apr 06, 2022 at 09:05:17 (UTC)
Goto Top
Ich hatte auch an Loop Back gedacht aber das funktioniert nicht. Genau das Problem hatte ich vor ein paar Tagen auch, man kann keine Computer-GPO abhängig vom angemeldeten Nutzer greifen oder nicht greifen lassen. Die Computer-GPO wird entweder auf den gesamten Computer angewandt oder nicht aber nicht nur innerhalb eines User-Kontextes geladen.
https://administrator.de/forum/computer-gpo-auf-user-filtern-2211006597. ...

Wenn die GPO auch als User-GPO existiert ist das natürlich optimal, das ist dann kein Problem mehr.
Member: menace
menace Apr 11, 2022 at 13:29:37 (UTC)
Goto Top
besten Dank für die Vorschläge, der Tipp mit der userbasierten GPO hat funktioniert;
Ich habe diese noch an eine AD-Gruppe gebunden, so dass man über diese nun steuern kann, bei welchen AD Accounts die GPO bzw. die Einschränkung angewendet werden soll und wann nicht.