Re: Netzwerkumgebung deaktivieren?
- From: "Daniel Melanchthon [MSFT]" <danielme@xxxxxxxxxxxxxxxxxxxx>
- Date: Wed, 26 Oct 2005 16:43:28 +0200
Thomas Wildgruber schrieb:
Wie wäre es denn, den VPN-Tunnel zu filtern und nur Port 3389 zuzulassen?
Das wäre dann eine RDP Verbindung über VPN? Welchen Vorteil hätte das gegenüber nur einer RDP Verbindung? Bei VPN habe ich das Problem, dass die Performance - zumindest unter derzeitigen Einsatz unseres Bintec VPN 25 - miserabel ist.
Ich bin bei "Ich möchte einen Server per RDP freigeben(,) auf welchem sich Domänenbenutzer remote (z.B. von zu Hause aus) anmelden können und auch ihre Netzlaufwerke gemappet bekommen." davon ausgegangen, dass Du ein VPN implementierst.
Ist RDP nicht ausreichend sicher?
RDP allein nein. Zumindest die Absicherung mit TLS wäre Pflicht - besser die Verlagerung in ein VPN, damit nicht Rdui Böse aus Timbuktu schonmal bis zum Terminal Server Logon Dialog kommt. Portbasierende Anmeldung an einer Firewall wäre auch eine Möglichkeit - ich weiß aber nicht, ob die Bintec das kann.
Siehe dazu auch:
Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service http://www.microsoft.com/technet/security/bulletin/MS05-041.mspx
Neben dem Patch gibt es als Workarounds für die Remote Desktop Protocol Vulnerability: "Help secure Remote Desktop Connections by using a virtual private network (VPN) connection."
Das es dieses Problem gegeben hat, zeigt, dass auch RDP nicht unverwundbar ist.
Dann können die User von zu Hause auch keine Sasser & Co. inns Netz einschleppen. Das war ja Deine Hauptbefürchtung, oder?
Es geht mir jetzt nicht speziell um Sasser oder Blaster, dagegen sind wir gepatched aber die Art und Weise *wie* das passieren konnte war nicht sonderlich vertrauenserweckend. Es wird wohl nicht auszuschliessen sein, das nochmal was aus dieser Liga kommt...
Solange die User nur auf 3389 zugreifen können, hast Du eigentlich einen sehr kleinen Angriffsvektor. Sasser & Co. könnten sich z.B. darüber nicht weiterverbreiten.
Den Dateitransfer kannst Du dann via RDP in der Session durchführen (lokale Laufwerke verbinden oder 3rd Party Tool).
Welche lokalen Laufwerke meinst du, die des TS oder die des Clients?
Die des Clients. Damit kannst Du aus der Session heraus auch auf lokale Laufwerke zum Datentransfer zugreifen. Ist ein Feature von W2k3 oder von 3rd Party Tools. Läßt sich auch abschalten.
würde es schon reichen copy&paste oder drag&drop von Client nach TS und
umgekehrt zum Laufen zu bekommen
Das geht.
-- ..:Daniel Melanchthon:. Technologieberater - Exchange Server http://blogs.technet.com/dmelanchthon This posting is provided "AS IS" with no warranties, and confers no rights. .
- Follow-Ups:
- Re: Netzwerkumgebung deaktivieren?
- From: Thomas Wildgruber
- Re: Netzwerkumgebung deaktivieren?
- References:
- Netzwerkumgebung deaktivieren?
- From: Thomas Wildgruber
- Re: Netzwerkumgebung deaktivieren?
- From: Daniel Melanchthon [MSFT]
- Netzwerkumgebung deaktivieren?
- Prev by Date: Re: DHCP Option hinzufügen
- Next by Date: Re: Zugriff von 2000-Domäne auf 2003-Domäne ohne Trust
- Previous by thread: Re: Netzwerkumgebung deaktivieren?
- Next by thread: Re: Netzwerkumgebung deaktivieren?
- Index(es):
Relevant Pages
|
Loading
