Windows RDP mit Verbindungssicherheitsregeln absichern

Mitglied: lcer00

lcer00 (Level 2) - Jetzt verbinden

23.02.2021 um 14:46 Uhr, 663 Aufrufe, 2 Danke

Hallo zusammen,

Wie nutzt man die Verbindungssicherheitregeln der Windows Firewall?

Da ich gerade ziemlich lange gebraucht habe, um das erfolgreich umzusetzten, hier eine kurze Zusammenfassung als Tip:

Mein Ziel war es, die RDP-Verbindungen zu unseren Domänencontrollern dahingehend abzusichern, dass nur noch Verbindungen von bestimmten Arbeitsstationen möglich sind. Mithilfe der des "Verbindungssicherheitsregeln" genannten Features der Windows Firewall läßt sich das umsetzten. Die Verbindungspartner werden damit über IPSec/IKE authentifiziert. Das ganze wird über GPOs umgesetzt.

Das Ganze ist hier eigentlich ganz gut beschrieben: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ... Allerdings gibt es ein paar Fallstricke. Daher hier nochmal die wichtigen Punkte:

GPO für die Verbindungssicherheitsregel

Die "Verbindungsicherheitsregel" entspricht grob gesagt der Konfiguration von IPSec-Einstellungen bei anderen IPSec-Implementierungen, zum Beispiel bei VPN-Routern. Hier müssen beide Verbindungspartner über zueinander passende Einträge verfügen! Es genügt eine GPO für beide Verbindungspartner, es muss aber sichergestellt sein, dass diese auch auf beide wirkt. Bei uns habe ich eine GPO für die Domänencontroller und eine separate für die Arbeitsstationen erstellt.

Angelegt wird eine Benutzerdefinierte Regel. Die IP-Adressen eines Verbindungspartners sollten, um Overhead zu vermeiden, eingetragen werden. Ich habe hier die IPs aller Domänencontroller angegeben als Endpunkt1. Die vordefinierten Computergruppen, die man auch auswählen könnte scheinen nicht zu wirken. Die Regel wird für eingehende und ausgehende Verbindungen auf Anfordern gesetzt. Als Methode wird Computer und Benutzer Kerberos v5 ausgewählt. Dann muss man den betreffenden Port und anschließend den Bereich angeben.

Das bloße Erstellen der Verbindungssicherheitsregel macht noch gar nichts. Man muss im nächsten Schritt eine Firewallregel erstellen, die auf diese Regel (indiret) Bezug nimmt.

GPO für die Firewall-Regel

Die Firewallregel muss im Gegensatz zur Verbindungssicherheitsregel nur an dem Server-Verbindungspartner (bei uns die DCs) angelegt werden. Ich habe ein entsprechende GPO für die DCs angelegt. Die Verbingung wird genehmigt, wenn sicher. Im Reiter Remote-Benutzer und Remote-Computer kann der Zugriff justiert werden - zum Beispiel Beschränkungen auf bestimmte Benutzergruppen oder Computergruppen.

Fertig. das wars. Wie bei "richtigem" IPSec kann man sich im Erfolgsfall die erstellten die SAs (Security Associations) anzeigen lassen: Diese findet man in WF.msc unter Überwachung -> Sicherheitszuordnungen.

Ach ja, der Disclaimer aus dem verlinkten Artikel :) face-smile
Disclaimer: a misconfigured CSR is an excellent way to blow a Windows device off the network. If you use a GPO to deliver incorrect CSR settings, undoing the damage will require a console visit to each impacted device.
treffend formuliert!


Grüße

lcer
Heiß diskutierte Inhalte
Microsoft
STRG + ALT + ENTF
TezzlaVor 1 TagAllgemeinMicrosoft12 Kommentare

Mahlzeit zusammen, wir haben gerade im Kollegenkreis über Sinn und Unsinn der Sperrbildschirmentriegelung STRG + ALT + ENTF unter Win10 diskutiert. Mich würde hierzu ...

Video & Streaming
Streamingplattform mit eigenen Servern
gelöst icegetVor 1 TagFrageVideo & Streaming6 Kommentare

Hallo liebe Community, ich würde gerne via Amazaon AWS (oder andere Cloudanbietern) mehrere Serverinstanzen (Streaming) starten, um z.B. 2000 Personen den selben Stream den ...

Hardware
Outdoor LAN sichern mit oder ohne Fritzbox Verständnis Frage
bluescreenVor 1 TagFrageHardware15 Kommentare

Hallo zusammen, ich habe die letzten Stunden schon viel hier gelesen, stehe aber ein wenig auf dem Schlauch, wie und wo ich weiter suchen ...

Windows Server
Nutzer als lokaler Admin in Windows Server 2019
hanheikVor 1 TagFrageWindows Server6 Kommentare

Hallo, in SBS 2011 konnte ich ganz einfach einen Nutzer als lokalen Admin einstellen. Windows fragte dann, für welchen Rechner; Rechner auswählen; fertig! In ...

Windows Netzwerk
Telefone im Netzwerk bekannt machen
jannik0205Vor 22 StundenFrageWindows Netzwerk13 Kommentare

Hallo Zusammen, In unserem Unternehmen gibt es eine Telefonanlage mit eigenem Telefonienetz (192.168.5.X). Schließe ich ein Telefon an eine Netzwerkdose, bekommt es vom DHCP- ...

Windows 10
Windows 7 pro Lizenz nutzen für Windows 10
lukas0209Vor 18 StundenFrageWindows 1013 Kommentare

Hallo Community, ich versuche seit einigen Wochen unser Netzwerk von Windows Server 2008 R2 Standard auf Windows Server 2016 Essentials um, welches eine städtische ...

Datenschutz
Übergang von "Sorgfaltspflicht" im Datenschutz
ukulele-7Vor 1 TagFrageDatenschutz7 Kommentare

Hallo zusammen, mir ist eine, zugegeben eher juristische, Frage in den Sinn gekommen. In unserer Branche arbeiten wir mit sensiblen, personenbezogenen Daten die natürlich ...

Windows Server
Remotedesktop Lizenzzierungsserver
Leffe69Vor 1 TagFrageWindows Server11 Kommentare

Hallo! Ich habe zwei Win Server ohne AD: Win 2019 Standard - Auf diesem sind die RDS Zugriffslizenzen installiert. Win 2008 R2 - Dieser ...