8
Zwischenablage bei RDP verbieten für non AD PCs
Hallo zusammen,
wir haben aktuell folgendes Problem.
Wir haben einen externen Consulter, welcher von uns einen VPN Zugang (Forti VPN) ins interne Netz bekommt.
Es verbindet sich also mit seinem "privaten / office" PC per VPN in unser Netz und connected dann per RDP auf einen internen Server.
Wir würde nun gerne unterbinden, dass der Consulter zwischen lokalem PC und der RDP Session die Zwischenablage nutzen kann (Strg+C - Strg+V).
Dies ließe sich ja generell per GPO auf dem Server regeln
--> “Computer Configuration” > “Administrative Templates” > “Windows Components” > “Remote Desktop Services” > “Remote Desktop Session Host“ > “Do not allow Clipboard redirection”
Problem ist aber, dass diese Einstellung natürlich dann generell die Zwischenablage bei RDP auf dem Server verbietet, was also auch z.B. die interne AD-Administration betrifft.
Gibt es eine Möglichkeit die Beschränkung nur auf non AD PC einzuschränken?
Oder hat jemand eine andere Lösung?
Besten Dank
wir haben aktuell folgendes Problem.
Wir haben einen externen Consulter, welcher von uns einen VPN Zugang (Forti VPN) ins interne Netz bekommt.
Es verbindet sich also mit seinem "privaten / office" PC per VPN in unser Netz und connected dann per RDP auf einen internen Server.
Wir würde nun gerne unterbinden, dass der Consulter zwischen lokalem PC und der RDP Session die Zwischenablage nutzen kann (Strg+C - Strg+V).
Dies ließe sich ja generell per GPO auf dem Server regeln
--> “Computer Configuration” > “Administrative Templates” > “Windows Components” > “Remote Desktop Services” > “Remote Desktop Session Host“ > “Do not allow Clipboard redirection”
Problem ist aber, dass diese Einstellung natürlich dann generell die Zwischenablage bei RDP auf dem Server verbietet, was also auch z.B. die interne AD-Administration betrifft.
Gibt es eine Möglichkeit die Beschränkung nur auf non AD PC einzuschränken?
Oder hat jemand eine andere Lösung?
Besten Dank
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2412376462
Url: https://administrator.de/contentid/2412376462
Ausgedruckt am: 20.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
Du könntest einen eigenen RD-Session Host für solche Benutzer betreiben. Darüber habe ich auch schon nachgedacht, bin aber noch zu keiner Entscheidung in der Sache gekommen.
Für einen User ist das natürlich lästig, könnte aber dennoch sinnvoll sein z.B. eine eigene RD-Sammlung für Dienstleister anzulegen.
Für einen User ist das natürlich lästig, könnte aber dennoch sinnvoll sein z.B. eine eigene RD-Sammlung für Dienstleister anzulegen.
Problem ist hier aber, dass der Consultant genau auf den genannten Server connecten muss.
Ein eigener Session Host bringt hier dann vermutlich keine Problemlösung, oder liege ich da falsch?
Ein eigener Session Host bringt hier dann vermutlich keine Problemlösung, oder liege ich da falsch?
Nein eher nicht. Nur wenn er nochmal RDP von dort machen würde, dann könnte man die Zwischenablage unterbinden.
Moin,
Und der Loopbackmodus funktioniert nicht?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Warum eigentlich das verhindern der Nutzung der Zwischenablage? Will der Consultant was kopieren, nutzt er irgendwelche Webmailer o.ä. Oder darf er vom RDS auch keinen WebTraffic nutzen?
Habt ihr „Bammel“, dass er (sensible) Daten veruntreuen könnte? Oder dient es, als eines der vielen Elemente, zum Schutze von Cyberangriffen?
Gruß
em-pie
Und der Loopbackmodus funktioniert nicht?
https://www.gruppenrichtlinien.de/artikel/loopbackverarbeitungsmodus-loo ...
Warum eigentlich das verhindern der Nutzung der Zwischenablage? Will der Consultant was kopieren, nutzt er irgendwelche Webmailer o.ä. Oder darf er vom RDS auch keinen WebTraffic nutzen?
Habt ihr „Bammel“, dass er (sensible) Daten veruntreuen könnte? Oder dient es, als eines der vielen Elemente, zum Schutze von Cyberangriffen?
Gruß
em-pie
im Grund ist es eine Mischung aus allem, was Du geschrieben hattest;
primär wollen wir verhindern, das "unerwünschte Aktionen" durch die RDP Zwischenablage vom priv. PC auf den Server gelangen;
in wie fern soll der Loopback Modus hier hilfreich sein?
primär wollen wir verhindern, das "unerwünschte Aktionen" durch die RDP Zwischenablage vom priv. PC auf den Server gelangen;
in wie fern soll der Loopback Modus hier hilfreich sein?
Hast Recht, Loopback alleine ist quatsch... war schon spät -.-
Du kannst deine obige Computerbasierte GPO aber auch in die USer-Gruppe packen:
Diese GPO hat dann in der SIcherheitsfilterung eine Gruppe "grp_consultants" hinterlegt, in der du dann alle externen hinzufügen kannst.
Das sollte dann eigentlich funktionieren...
https://kb.parallels.com/123625
Gruß
em-pie
Du kannst deine obige Computerbasierte GPO aber auch in die USer-Gruppe packen:
User Configuration Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource a Redirection: Do not allow Clipboard redirection - enabled Das sollte dann eigentlich funktionieren...
https://kb.parallels.com/123625
Gruß
em-pie
Ich hatte auch an Loop Back gedacht aber das funktioniert nicht. Genau das Problem hatte ich vor ein paar Tagen auch, man kann keine Computer-GPO abhängig vom angemeldeten Nutzer greifen oder nicht greifen lassen. Die Computer-GPO wird entweder auf den gesamten Computer angewandt oder nicht aber nicht nur innerhalb eines User-Kontextes geladen.
Computer-GPO auf User filtern
Wenn die GPO auch als User-GPO existiert ist das natürlich optimal, das ist dann kein Problem mehr.
Computer-GPO auf User filtern
Wenn die GPO auch als User-GPO existiert ist das natürlich optimal, das ist dann kein Problem mehr.
besten Dank für die Vorschläge, der Tipp mit der userbasierten GPO hat funktioniert;
Ich habe diese noch an eine AD-Gruppe gebunden, so dass man über diese nun steuern kann, bei welchen AD Accounts die GPO bzw. die Einschränkung angewendet werden soll und wann nicht.
Ich habe diese noch an eine AD-Gruppe gebunden, so dass man über diese nun steuern kann, bei welchen AD Accounts die GPO bzw. die Einschränkung angewendet werden soll und wann nicht.
