1
Windows RDP mit Verbindungssicherheitsregeln absichern
Hallo zusammen,
Wie nutzt man die Verbindungssicherheitregeln der Windows Firewall?
Da ich gerade ziemlich lange gebraucht habe, um das erfolgreich umzusetzten, hier eine kurze Zusammenfassung als Tip:
Mein Ziel war es, die RDP-Verbindungen zu unseren Domänencontrollern dahingehend abzusichern, dass nur noch Verbindungen von bestimmten Arbeitsstationen möglich sind. Mithilfe der des "Verbindungssicherheitsregeln" genannten Features der Windows Firewall läßt sich das umsetzten. Die Verbindungspartner werden damit über IPSec/IKE authentifiziert. Das ganze wird über GPOs umgesetzt.
Das Ganze ist hier eigentlich ganz gut beschrieben: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... Allerdings gibt es ein paar Fallstricke. Daher hier nochmal die wichtigen Punkte:
Die "Verbindungsicherheitsregel" entspricht grob gesagt der Konfiguration von IPSec-Einstellungen bei anderen IPSec-Implementierungen, zum Beispiel bei VPN-Routern. Hier müssen beide Verbindungspartner über zueinander passende Einträge verfügen! Es genügt eine GPO für beide Verbindungspartner, es muss aber sichergestellt sein, dass diese auch auf beide wirkt. Bei uns habe ich eine GPO für die Domänencontroller und eine separate für die Arbeitsstationen erstellt.
Angelegt wird eine Benutzerdefinierte Regel. Die IP-Adressen eines Verbindungspartners sollten, um Overhead zu vermeiden, eingetragen werden. Ich habe hier die IPs aller Domänencontroller angegeben als Endpunkt1. Die vordefinierten Computergruppen, die man auch auswählen könnte scheinen nicht zu wirken. Die Regel wird für eingehende und ausgehende Verbindungen auf Anfordern gesetzt. Als Methode wird Computer und Benutzer Kerberos v5 ausgewählt. Dann muss man den betreffenden Port und anschließend den Bereich angeben.
Das bloße Erstellen der Verbindungssicherheitsregel macht noch gar nichts. Man muss im nächsten Schritt eine Firewallregel erstellen, die auf diese Regel (indiret) Bezug nimmt.
Die Firewallregel muss im Gegensatz zur Verbindungssicherheitsregel nur an dem Server-Verbindungspartner (bei uns die DCs) angelegt werden. Ich habe ein entsprechende GPO für die DCs angelegt. Die Verbingung wird genehmigt, wenn sicher. Im Reiter Remote-Benutzer und Remote-Computer kann der Zugriff justiert werden - zum Beispiel Beschränkungen auf bestimmte Benutzergruppen oder Computergruppen.
Fertig. das wars. Wie bei "richtigem" IPSec kann man sich im Erfolgsfall die erstellten die SAs (Security Associations) anzeigen lassen: Diese findet man in WF.msc unter Überwachung -> Sicherheitszuordnungen.
Ach ja, der Disclaimer aus dem verlinkten Artikel
Grüße
lcer
Wie nutzt man die Verbindungssicherheitregeln der Windows Firewall?
Da ich gerade ziemlich lange gebraucht habe, um das erfolgreich umzusetzten, hier eine kurze Zusammenfassung als Tip:
Mein Ziel war es, die RDP-Verbindungen zu unseren Domänencontrollern dahingehend abzusichern, dass nur noch Verbindungen von bestimmten Arbeitsstationen möglich sind. Mithilfe der des "Verbindungssicherheitsregeln" genannten Features der Windows Firewall läßt sich das umsetzten. Die Verbindungspartner werden damit über IPSec/IKE authentifiziert. Das ganze wird über GPOs umgesetzt.
Das Ganze ist hier eigentlich ganz gut beschrieben: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... Allerdings gibt es ein paar Fallstricke. Daher hier nochmal die wichtigen Punkte:
GPO für die Verbindungssicherheitsregel
Die "Verbindungsicherheitsregel" entspricht grob gesagt der Konfiguration von IPSec-Einstellungen bei anderen IPSec-Implementierungen, zum Beispiel bei VPN-Routern. Hier müssen beide Verbindungspartner über zueinander passende Einträge verfügen! Es genügt eine GPO für beide Verbindungspartner, es muss aber sichergestellt sein, dass diese auch auf beide wirkt. Bei uns habe ich eine GPO für die Domänencontroller und eine separate für die Arbeitsstationen erstellt.Angelegt wird eine Benutzerdefinierte Regel. Die IP-Adressen eines Verbindungspartners sollten, um Overhead zu vermeiden, eingetragen werden. Ich habe hier die IPs aller Domänencontroller angegeben als Endpunkt1. Die vordefinierten Computergruppen, die man auch auswählen könnte scheinen nicht zu wirken. Die Regel wird für eingehende und ausgehende Verbindungen auf Anfordern gesetzt. Als Methode wird Computer und Benutzer Kerberos v5 ausgewählt. Dann muss man den betreffenden Port und anschließend den Bereich angeben.
Das bloße Erstellen der Verbindungssicherheitsregel macht noch gar nichts. Man muss im nächsten Schritt eine Firewallregel erstellen, die auf diese Regel (indiret) Bezug nimmt.
GPO für die Firewall-Regel
Die Firewallregel muss im Gegensatz zur Verbindungssicherheitsregel nur an dem Server-Verbindungspartner (bei uns die DCs) angelegt werden. Ich habe ein entsprechende GPO für die DCs angelegt. Die Verbingung wird genehmigt, wenn sicher. Im Reiter Remote-Benutzer und Remote-Computer kann der Zugriff justiert werden - zum Beispiel Beschränkungen auf bestimmte Benutzergruppen oder Computergruppen.Fertig. das wars. Wie bei "richtigem" IPSec kann man sich im Erfolgsfall die erstellten die SAs (Security Associations) anzeigen lassen: Diese findet man in WF.msc unter Überwachung -> Sicherheitszuordnungen.
Ach ja, der Disclaimer aus dem verlinkten Artikel
Disclaimer: a misconfigured CSR is an excellent way to blow a Windows device off the network. If you use a GPO to deliver incorrect CSR settings, undoing the damage will require a console visit to each impacted device.
treffend formuliert!Grüße
lcer
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 655106
Url: https://administrator.de/contentid/655106
Ausgedruckt am: 18.11.2024 um 19:11 Uhr
1 Kommentar
Ein paar ergänzende Hinweise:
Die Kryptographieeinstellungen für die IPSec Vebindungssicherheitsregeln findet man in den Einstellungen der Windows-Firewall -> IPSec-Einstellungen -> IPSec-Standardeinstellungen
https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-sec ...
Es empfiehlt sich, SHA-1 und 3DES nicht zu verwenden, und stattdessen sicherer Verfahren auszuwählen.
Man kann in der Firewallregel unter "Verbindung zulassen, wenn sie sicher ist" "Verwendung von Nullkapselung für die Verbindung zulassen" einstellen. Die Idee ist, dass die Partner Authentifiziert sind, aber keine Verschlüsselung erfolgt. Das ist wohl nur für Debugzwecke empfohlen. Wenn man das tut, muss bei den IPSec-Standardeinstellungen ein Eintrag für Nullkapselung angelegt werden. Sonst klappt das nicht.
Es ist wichtig, dass alle Verbindungspartner über die gleichen Einstellungen verfügen. Deshalb sollte man die relevanten Einstellungen in einer einzelnen GPO auf Domänenebene festlegen und sicherstellen, dass diese nicht von anderen GPOs überschrieben werden. Gemeint sind hier de Einstellungen unter IPSec-Standardeinstellungen und die eigentlichen Verbindungssicherheitsregeln. Die Firewallregeln kann man dann wie erforderlich per OU separat einstellen.
mit folgendem Einzeiler kann man sich schnell die aktuellen Verbindungssicherheitsregeln anzeigen lassen:
Grüße
lcer
Kryptographie
Die Kryptographieeinstellungen für die IPSec Vebindungssicherheitsregeln findet man in den Einstellungen der Windows-Firewall -> IPSec-Einstellungen -> IPSec-Standardeinstellungenhttps://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-sec ...
Es empfiehlt sich, SHA-1 und 3DES nicht zu verwenden, und stattdessen sicherer Verfahren auszuwählen.
Fallstrick Nullkapselung
Man kann in der Firewallregel unter "Verbindung zulassen, wenn sie sicher ist" "Verwendung von Nullkapselung für die Verbindung zulassen" einstellen. Die Idee ist, dass die Partner Authentifiziert sind, aber keine Verschlüsselung erfolgt. Das ist wohl nur für Debugzwecke empfohlen. Wenn man das tut, muss bei den IPSec-Standardeinstellungen ein Eintrag für Nullkapselung angelegt werden. Sonst klappt das nicht.Fallstrick Gruppenrichtlinien
Es ist wichtig, dass alle Verbindungspartner über die gleichen Einstellungen verfügen. Deshalb sollte man die relevanten Einstellungen in einer einzelnen GPO auf Domänenebene festlegen und sicherstellen, dass diese nicht von anderen GPOs überschrieben werden. Gemeint sind hier de Einstellungen unter IPSec-Standardeinstellungen und die eigentlichen Verbindungssicherheitsregeln. Die Firewallregeln kann man dann wie erforderlich per OU separat einstellen.Verbindungssicherheitsrichtlinien per Powershell überprüfen
mit folgendem Einzeiler kann man sich schnell die aktuellen Verbindungssicherheitsregeln anzeigen lassen:Get-NetIPsecRule -PolicyStore ActiveStore | ftGrüße
lcer
1
