Jump to content

TLS Security mit RD Windows Server 2012R2 (Remote Connections for Administrative Purposes)


Direkt zur Lösung Gelöst von Daniel -MSFT-,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

lässt sich irgendwie die Sicherheit der RDP-Verbindungen zu Windows Servern (zu administrativen Zwecken, Server 2012R2) verbessern, ohne gleich die Rolle "Remotedesktopdienste"  zu installieren? Ich würde hierzu gerne TLS Security verwenden wollen. IPSec ist in diesem Fall keine Option. Hat dazu jemand eine Idee, denn im Netz finde ich nicht wirklich eine Lösung.

 

Grüße

Heiko

 

Link zu diesem Kommentar

Hi Heiko,

 

schau mal in der Systemsteuerung unter System auf die Remoteeinstellungen. Dort kannst Du das Feld 'Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Authentifizierung auf Netzwerkebene ausgeführt wird (empfohlen)' aktivieren. Dadurch werden nur Verbindungen akzeptiert, die Authentifizierung auf Netzwerkebene verwenden.

 

Das sollte auch über die Gruppenrichtlinien setzbar sein. Ich würde das in einer Richtlinie umsetzen, die Du an die Server bindest und die die Baseline für Server konfiguriert.

 

Have fun!
Daniel

Link zu diesem Kommentar

Hallo Daniel,

 

danke für deine rasche Antwort. Authentifizierung auf Netzwerkebene ist bereits auf den Systemen eingerichtet. In diesem Zusammenhang wusste ich bislang nicht, dass hierbei bereits SSL/TLS zum Tragen kommt. Zum Verifizieren der Verbindungssicherheit habe ich den SChannel-Loglevel erhöht.

Ein Handshake Server für SSL wurde ordnungsgemäß ausgeführt. Die ausgehandelten kryptografischen Parameter sind.

Protokoll: TLS 1.2
CipherSuite: 0xC028
Austauchstärke: 256

Soweit so gut, wenn ich obigen Logeintrag richtig verstehe. Das ganze läuft zurzeit mit dem selbst-signierten Zertifikat. Kann man hier auch ein Zertifikat von einer offiziellen CA irgendwo eintragen, ohne das man eine eigene Windows-CA einrichten muss? Wenn ich das Standard-Zertifikat lösche und ein Zertifikat zur Serveridentifikation importiere und anschließend den TermService neu starte, dann erstellt mir das System ein neues selbst-signiertes Zert.

 

Grüße

Heiko

Link zu diesem Kommentar
  • Beste Lösung

Das ist bei 2012 nicht ganz so einfach. Mit dem Import des Zertifikats in den Server bist Du schonmal auf dem richtigen Weg. Das Zertifikat gehört dabei in den ‘Personal’ Certificate Store des Computerkontos. Das ist der erste Schritt.

Danach musst Du den RDP-Listener anweisen, das Zertifikat für RDP-Authentifizierung zu nutzen. Das kannst Du über einen Registry-Eintrag machen. Dazu trägst Du unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp in den SSLCertificateSHA1Hash (REG_BINARY) den Fingerabdruck des Zertifikats ein. Alternativ kannst UD das über WMI machen, in dem Du ausführst:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="THUMBPRINT"

THUMBPRINT ist dann zu ersetzen durch den Fingeradbruck des Zertifikats. Hier eine Anleitung, wie das genau geht: http://blogs.technet.com/b/askperf/archive/2014/05/28/listener-certificate-configurations-in-windows-server-2012-2012-r2.aspx

 

Have fun!
Daniel

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...