WinFuture-Forum.de: Remoteserver Optimal absichern - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows Server
Seite 1 von 1

Remoteserver Optimal absichern


#1 Mitglied ist offline   Remoteserverneuling 

geschrieben 05. Oktober 2016 - 07:50

Hallo zusammen,

mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.

Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.

Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)

Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.


Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling
0

Anzeige



#2 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Oktober 2016 - 08:50

Einfach RDP deaktivieren. Admins können immer noch via RSAT oder PSRemoting dran.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#3 Mitglied ist offline   Remoteserverneuling 

geschrieben 05. Oktober 2016 - 08:56

Hallo RaphS,

ich hatte gehofft mich wieder auf dich verlassen zu können :smokin: :blush:

Ich dachte immer wenn ich RDP abschalte würde der Webaccess auch nicht mehr funktionieren. :blink:
0

#4 Mitglied ist offline   NCC-1701 B 

  • Gruppe: aktive Mitglieder
  • Beiträge: 458
  • Beigetreten: 30. Juli 15
  • Reputation: 49
  • Geschlecht:Männlich

geschrieben 05. Oktober 2016 - 11:20

Du kannst auch einschränken wer per RDP drauf darf z.B. nur Admins erlauben so ist es bei uns und selbst wer auf einen TS will muss mindestens in der Gruppe Terminalserver-Users sein..
Eingefügtes Bild
0

#5 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Oktober 2016 - 12:34

Wie: webaccess? Was genau macht ihr damit?

Sorry falls ich grad mit beiden Beinen auf der langen Leitung stehen sollte, weil mir fällt grad zu Webaccess nur IIS ein und der hat mit RDP nun gar nichts zu tun.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#6 Mitglied ist offline   Ludacris 

  • Gruppe: Moderation
  • Beiträge: 4.666
  • Beigetreten: 28. Mai 06
  • Reputation: 218
  • Geschlecht:Männlich

geschrieben 05. Oktober 2016 - 13:47

Ich glaub er meint das hier: https://technet.micr...ror=-2147217396
0

#7 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Oktober 2016 - 13:54

Ah. :blush:

Okay, mit RD Web Access hab ich so gut wie keine Erfahrungen, sorry. Da wüßt ich spontan auch nicht, was die Anforderungen sind und was man abstellen kann und was nicht.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   Remoteserverneuling 

geschrieben 05. Oktober 2016 - 14:24

Hey leute Danke für die Beteiligung :blush:

Ludacris hat recht. Wir veröffentlichen Anwendungen für unsere Nutzer per GPO.
Diese fragt über einen Web Feed ab welche Programm für den jeweiligen Nutzer auf der Homepage https://server.domäne/rdweb freigegeben sind.
Für jedes Programm wird eine Verknüpfung erstellt und im Verzeichnis „work resources“ zusammengefasst.

Wenn der Nutzer eines dieser Programme auswählt wird im Hintergrund eine RDP Verbindung zum TS aufgebaut und das Programm durch diese Verbindung zum Client „getunnelt“

Damit dies funktioniert ist es also erforderlich das unsere Nutzer berechtigt sind sich per RDP auf den Server zu verbinden.

Mein Chef wünscht sich, (was nicht logisch ist) dass die Nutzer sich am besten gar nicht per RDP verbinden können, sondern nur die Programme aufrufen dürfen.
Da das technisch nicht möglich ist soll ich nun dafür sorgen das die Nutzer die auf die Idee kommen manuell eine RDP Verbindung aufzubauen auf dem Server so wenig wie möglich machen können ohne die Funktion der Anwendungen einzuschränken.
0

#9 Mitglied ist offline   dale 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.210
  • Beigetreten: 15. Februar 08
  • Reputation: 64

geschrieben 05. Oktober 2016 - 16:36

Eine Verbindung aufbauen heißt ja noch lange nicht das man sich anmelden kann!

Wenn ein Konto ab den übliche Fehlversuchen gesperrt wird sollte das kein Problem sein oder?
0

#10 Mitglied ist offline   DanielDuesentrieb 

  • Gruppe: aktive Mitglieder
  • Beiträge: 9.345
  • Beigetreten: 15. Januar 06
  • Reputation: 274
  • Geschlecht:Männlich
  • Wohnort:Troisdorf

geschrieben 05. Oktober 2016 - 17:26

Optimal schützen? Backup! Wenn ihr Hyper-V habt, dann mit der Windowsssicherung (ist ein Anfang), habt ihr VMware dann mit VMware Client der Backupsoftware (z.B. BackupExec). Schneller kannst du den Server dann nicht wiederherstellen, falls ein Windows Update den Server zerschießt oder er durch die Verschlüsselungstrojaner verschlüsselt wird.
0

#11 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 8.895
  • Beigetreten: 20. Juli 07
  • Reputation: 1.126
  • Geschlecht:Männlich
  • Wohnort:Zuhause
  • Interessen:Ja

geschrieben 05. Oktober 2016 - 20:46

Du hast aber schon mehr als nur die Überschrift gelesen, oder?

- Wie schon erwähnt wurde, müssen Benutzer, die sich per RDP verbinden wollen, direkt oder indirekt Mitglied der "Remote Desktop Users" ("Remotedesktopbenutzer" oä., sch** Lokalisierung wo sie nicht hingehört) sein.

- Einen Blick in die TechNet hast Du schon riskiert? Da steht üblicherweise alles Relevante drin.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0