lcer00
Goto Top

Windows RDP mit Verbindungssicherheitsregeln absichern

Hallo zusammen,

Wie nutzt man die Verbindungssicherheitregeln der Windows Firewall?

Da ich gerade ziemlich lange gebraucht habe, um das erfolgreich umzusetzten, hier eine kurze Zusammenfassung als Tip:

Mein Ziel war es, die RDP-Verbindungen zu unseren Domänencontrollern dahingehend abzusichern, dass nur noch Verbindungen von bestimmten Arbeitsstationen möglich sind. Mithilfe der des "Verbindungssicherheitsregeln" genannten Features der Windows Firewall läßt sich das umsetzten. Die Verbindungspartner werden damit über IPSec/IKE authentifiziert. Das ganze wird über GPOs umgesetzt.

Das Ganze ist hier eigentlich ganz gut beschrieben: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... Allerdings gibt es ein paar Fallstricke. Daher hier nochmal die wichtigen Punkte:

back-to-topGPO für die Verbindungssicherheitsregel

Die "Verbindungsicherheitsregel" entspricht grob gesagt der Konfiguration von IPSec-Einstellungen bei anderen IPSec-Implementierungen, zum Beispiel bei VPN-Routern. Hier müssen beide Verbindungspartner über zueinander passende Einträge verfügen! Es genügt eine GPO für beide Verbindungspartner, es muss aber sichergestellt sein, dass diese auch auf beide wirkt. Bei uns habe ich eine GPO für die Domänencontroller und eine separate für die Arbeitsstationen erstellt.

Angelegt wird eine Benutzerdefinierte Regel. Die IP-Adressen eines Verbindungspartners sollten, um Overhead zu vermeiden, eingetragen werden. Ich habe hier die IPs aller Domänencontroller angegeben als Endpunkt1. Die vordefinierten Computergruppen, die man auch auswählen könnte scheinen nicht zu wirken. Die Regel wird für eingehende und ausgehende Verbindungen auf Anfordern gesetzt. Als Methode wird Computer und Benutzer Kerberos v5 ausgewählt. Dann muss man den betreffenden Port und anschließend den Bereich angeben.

Das bloße Erstellen der Verbindungssicherheitsregel macht noch gar nichts. Man muss im nächsten Schritt eine Firewallregel erstellen, die auf diese Regel (indiret) Bezug nimmt.

back-to-topGPO für die Firewall-Regel

Die Firewallregel muss im Gegensatz zur Verbindungssicherheitsregel nur an dem Server-Verbindungspartner (bei uns die DCs) angelegt werden. Ich habe ein entsprechende GPO für die DCs angelegt. Die Verbingung wird genehmigt, wenn sicher. Im Reiter Remote-Benutzer und Remote-Computer kann der Zugriff justiert werden - zum Beispiel Beschränkungen auf bestimmte Benutzergruppen oder Computergruppen.

Fertig. das wars. Wie bei "richtigem" IPSec kann man sich im Erfolgsfall die erstellten die SAs (Security Associations) anzeigen lassen: Diese findet man in WF.msc unter Überwachung -> Sicherheitszuordnungen.

Ach ja, der Disclaimer aus dem verlinkten Artikel face-smile
Disclaimer: a misconfigured CSR is an excellent way to blow a Windows device off the network. If you use a GPO to deliver incorrect CSR settings, undoing the damage will require a console visit to each impacted device.
treffend formuliert!


Grüße

lcer

Content-ID: 655106

Url: https://administrator.de/contentid/655106

Ausgedruckt am: 19.12.2024 um 01:12 Uhr

lcer00
lcer00 07.12.2021 um 11:22:05 Uhr
Goto Top
Ein paar ergänzende Hinweise:

back-to-topKryptographie

Die Kryptographieeinstellungen für die IPSec Vebindungssicherheitsregeln findet man in den Einstellungen der Windows-Firewall -> IPSec-Einstellungen -> IPSec-Standardeinstellungen
csr

https://docs.microsoft.com/en-us/troubleshoot/windows-server/windows-sec ...

Es empfiehlt sich, SHA-1 und 3DES nicht zu verwenden, und stattdessen sicherer Verfahren auszuwählen.

back-to-topFallstrick Nullkapselung

Man kann in der Firewallregel unter "Verbindung zulassen, wenn sie sicher ist" "Verwendung von Nullkapselung für die Verbindung zulassen" einstellen. Die Idee ist, dass die Partner Authentifiziert sind, aber keine Verschlüsselung erfolgt. Das ist wohl nur für Debugzwecke empfohlen. Wenn man das tut, muss bei den IPSec-Standardeinstellungen ein Eintrag für Nullkapselung angelegt werden. Sonst klappt das nicht.

null


back-to-topFallstrick Gruppenrichtlinien

Es ist wichtig, dass alle Verbindungspartner über die gleichen Einstellungen verfügen. Deshalb sollte man die relevanten Einstellungen in einer einzelnen GPO auf Domänenebene festlegen und sicherstellen, dass diese nicht von anderen GPOs überschrieben werden. Gemeint sind hier de Einstellungen unter IPSec-Standardeinstellungen und die eigentlichen Verbindungssicherheitsregeln. Die Firewallregeln kann man dann wie erforderlich per OU separat einstellen.

back-to-topVerbindungssicherheitsrichtlinien per Powershell überprüfen

mit folgendem Einzeiler kann man sich schnell die aktuellen Verbindungssicherheitsregeln anzeigen lassen:
Get-NetIPsecRule -PolicyStore ActiveStore | ft

Grüße

lcer