[Remoteserverneuling]

Hallo zusammen,

mein Chef möchte das ich unseren WS2012 R2 RDS Optimal schütze.

Seine Hauptsorgen sind 1. Angriffe durch dritte und 2. DAU-Schäden.
Ein Zugriff von außerhalb der Domäne ist nicht vorgesehen, außer durch die Admins zur Verwertung im Notfall.

Da wir "nur" Remote Apps über das Webaccess bzw. die Work Resources anbieten möchte er am liebsten, dass der Zugriff per RDP völlig unmöglich ist. (Außer für uns Admins)

Gibt es eine Möglichkeit das zu realisieren? Bzw. wenn nicht welche Schalter (am besten per GPO) kann ich setzten um die Sicherheit zu Optimieren.


Ich danke euch für eure Unterstützung.
Eurer RemoteServerNeuling

[RalphS]

Einfach RDP deaktivieren. Admins können immer noch via RSAT oder PSRemoting dran.

[Remoteserverneuling]

Hallo RaphS,

ich hatte gehofft mich wieder auf dich verlassen zu können

Ich dachte immer wenn ich RDP abschalte würde der Webaccess auch nicht mehr funktionieren.

[NCC-1701 B]

Du kannst auch einschränken wer per RDP drauf darf z.B. nur Admins erlauben so ist es bei uns und selbst wer auf einen TS will muss mindestens in der Gruppe Terminalserver-Users sein..

[RalphS]

Wie: webaccess? Was genau macht ihr damit?

Sorry falls ich grad mit beiden Beinen auf der langen Leitung stehen sollte, weil mir fällt grad zu Webaccess nur IIS ein und der hat mit RDP nun gar nichts zu tun.

[Ludacris]

Ich glaub er meint das hier: https://technet.micr...ror=-2147217396

[RalphS]

Ah.

Okay, mit RD Web Access hab ich so gut wie keine Erfahrungen, sorry. Da wüßt ich spontan auch nicht, was die Anforderungen sind und was man abstellen kann und was nicht.

[Remoteserverneuling]

Hey leute Danke für die Beteiligung

Ludacris hat recht. Wir veröffentlichen Anwendungen für unsere Nutzer per GPO.
Diese fragt über einen Web Feed ab welche Programm für den jeweiligen Nutzer auf der Homepage https://server.domäne/rdweb freigegeben sind.
Für jedes Programm wird eine Verknüpfung erstellt und im Verzeichnis „work resources“ zusammengefasst.

Wenn der Nutzer eines dieser Programme auswählt wird im Hintergrund eine RDP Verbindung zum TS aufgebaut und das Programm durch diese Verbindung zum Client „getunnelt“

Damit dies funktioniert ist es also erforderlich das unsere Nutzer berechtigt sind sich per RDP auf den Server zu verbinden.

Mein Chef wünscht sich, (was nicht logisch ist) dass die Nutzer sich am besten gar nicht per RDP verbinden können, sondern nur die Programme aufrufen dürfen.
Da das technisch nicht möglich ist soll ich nun dafür sorgen das die Nutzer die auf die Idee kommen manuell eine RDP Verbindung aufzubauen auf dem Server so wenig wie möglich machen können ohne die Funktion der Anwendungen einzuschränken.

[dale]

Eine Verbindung aufbauen heißt ja noch lange nicht das man sich anmelden kann!

Wenn ein Konto ab den übliche Fehlversuchen gesperrt wird sollte das kein Problem sein oder?

[DanielDuesentrieb]

Optimal schützen? Backup! Wenn ihr Hyper-V habt, dann mit der Windowsssicherung (ist ein Anfang), habt ihr VMware dann mit VMware Client der Backupsoftware (z.B. BackupExec). Schneller kannst du den Server dann nicht wiederherstellen, falls ein Windows Update den Server zerschießt oder er durch die Verschlüsselungstrojaner verschlüsselt wird.

[RalphS]

Du hast aber schon mehr als nur die Überschrift gelesen, oder?

- Wie schon erwähnt wurde, müssen Benutzer, die sich per RDP verbinden wollen, direkt oder indirekt Mitglied der "Remote Desktop Users" ("Remotedesktopbenutzer" oä., sch** Lokalisierung wo sie nicht hingehört) sein.

- Einen Blick in die TechNet hast Du schon riskiert? Da steht üblicherweise alles Relevante drin.