Hallo zusammen,
mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.
Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.
Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)
Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.
Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling
Seite 1 von 1
Remoteserver Optimal absichern
Anzeige
#2
geschrieben 05. Oktober 2016 - 08:50
Einfach RDP deaktivieren. Admins können immer noch via RSAT oder PSRemoting dran.
#3
geschrieben 05. Oktober 2016 - 08:56
Hallo RaphS,
ich hatte gehofft mich wieder auf dich verlassen zu können
Ich dachte immer wenn ich RDP abschalte würde der Webaccess auch nicht mehr funktionieren.
ich hatte gehofft mich wieder auf dich verlassen zu können
Ich dachte immer wenn ich RDP abschalte würde der Webaccess auch nicht mehr funktionieren.
#4
geschrieben 05. Oktober 2016 - 11:20
Du kannst auch einschränken wer per RDP drauf darf z.B. nur Admins erlauben so ist es bei uns und selbst wer auf einen TS will muss mindestens in der Gruppe Terminalserver-Users sein..
#5
geschrieben 05. Oktober 2016 - 12:34
Wie: webaccess? Was genau macht ihr damit?
Sorry falls ich grad mit beiden Beinen auf der langen Leitung stehen sollte, weil mir fällt grad zu Webaccess nur IIS ein und der hat mit RDP nun gar nichts zu tun.
Sorry falls ich grad mit beiden Beinen auf der langen Leitung stehen sollte, weil mir fällt grad zu Webaccess nur IIS ein und der hat mit RDP nun gar nichts zu tun.
#6
geschrieben 05. Oktober 2016 - 13:47
Ich glaub er meint das hier: https://technet.micr...ror=-2147217396
#7
geschrieben 05. Oktober 2016 - 13:54
Ah.
Okay, mit RD Web Access hab ich so gut wie keine Erfahrungen, sorry. Da wüßt ich spontan auch nicht, was die Anforderungen sind und was man abstellen kann und was nicht.
Okay, mit RD Web Access hab ich so gut wie keine Erfahrungen, sorry. Da wüßt ich spontan auch nicht, was die Anforderungen sind und was man abstellen kann und was nicht.
#8
geschrieben 05. Oktober 2016 - 14:24
Hey leute Danke für die Beteiligung
Ludacris hat recht. Wir veröffentlichen Anwendungen für unsere Nutzer per GPO.
Diese fragt über einen Web Feed ab welche Programm für den jeweiligen Nutzer auf der Homepage https://server.domäne/rdweb freigegeben sind.
Für jedes Programm wird eine Verknüpfung erstellt und im Verzeichnis „work resources“ zusammengefasst.
Wenn der Nutzer eines dieser Programme auswählt wird im Hintergrund eine RDP Verbindung zum TS aufgebaut und das Programm durch diese Verbindung zum Client „getunnelt“
Damit dies funktioniert ist es also erforderlich das unsere Nutzer berechtigt sind sich per RDP auf den Server zu verbinden.
Mein Chef wünscht sich, (was nicht logisch ist) dass die Nutzer sich am besten gar nicht per RDP verbinden können, sondern nur die Programme aufrufen dürfen.
Da das technisch nicht möglich ist soll ich nun dafür sorgen das die Nutzer die auf die Idee kommen manuell eine RDP Verbindung aufzubauen auf dem Server so wenig wie möglich machen können ohne die Funktion der Anwendungen einzuschränken.
Ludacris hat recht. Wir veröffentlichen Anwendungen für unsere Nutzer per GPO.
Diese fragt über einen Web Feed ab welche Programm für den jeweiligen Nutzer auf der Homepage https://server.domäne/rdweb freigegeben sind.
Für jedes Programm wird eine Verknüpfung erstellt und im Verzeichnis „work resources“ zusammengefasst.
Wenn der Nutzer eines dieser Programme auswählt wird im Hintergrund eine RDP Verbindung zum TS aufgebaut und das Programm durch diese Verbindung zum Client „getunnelt“
Damit dies funktioniert ist es also erforderlich das unsere Nutzer berechtigt sind sich per RDP auf den Server zu verbinden.
Mein Chef wünscht sich, (was nicht logisch ist) dass die Nutzer sich am besten gar nicht per RDP verbinden können, sondern nur die Programme aufrufen dürfen.
Da das technisch nicht möglich ist soll ich nun dafür sorgen das die Nutzer die auf die Idee kommen manuell eine RDP Verbindung aufzubauen auf dem Server so wenig wie möglich machen können ohne die Funktion der Anwendungen einzuschränken.
#9
geschrieben 05. Oktober 2016 - 16:36
Eine Verbindung aufbauen heißt ja noch lange nicht das man sich anmelden kann!
Wenn ein Konto ab den übliche Fehlversuchen gesperrt wird sollte das kein Problem sein oder?
Wenn ein Konto ab den übliche Fehlversuchen gesperrt wird sollte das kein Problem sein oder?
#10
geschrieben 05. Oktober 2016 - 17:26
Optimal schützen? Backup! Wenn ihr Hyper-V habt, dann mit der Windowsssicherung (ist ein Anfang), habt ihr VMware dann mit VMware Client der Backupsoftware (z.B. BackupExec). Schneller kannst du den Server dann nicht wiederherstellen, falls ein Windows Update den Server zerschießt oder er durch die Verschlüsselungstrojaner verschlüsselt wird.
#11
geschrieben 05. Oktober 2016 - 20:46
Du hast aber schon mehr als nur die Überschrift gelesen, oder?
- Wie schon erwähnt wurde, müssen Benutzer, die sich per RDP verbinden wollen, direkt oder indirekt Mitglied der "Remote Desktop Users" ("Remotedesktopbenutzer" oä., sch** Lokalisierung wo sie nicht hingehört) sein.
- Einen Blick in die TechNet hast Du schon riskiert? Da steht üblicherweise alles Relevante drin.
- Wie schon erwähnt wurde, müssen Benutzer, die sich per RDP verbinden wollen, direkt oder indirekt Mitglied der "Remote Desktop Users" ("Remotedesktopbenutzer" oä., sch** Lokalisierung wo sie nicht hingehört) sein.
- Einen Blick in die TechNet hast Du schon riskiert? Da steht üblicherweise alles Relevante drin.
- ← User Berechtigung zeit gesteuert im DC hinzufügen
- Windows Server 2012 R2 & Server 2012
- Client Profil wird nicht geladen →
Thema verteilen:
Seite 1 von 1