Jump to content
Horstenberg

Remote Desktop Gateway nur über Port 3391 und VPN

Recommended Posts

vor 23 Minuten schrieb tesso:

Wozu brauchst du von intern das RDP-GW?

Wenn sich der Computer, von dem ich RDP mache, in einer anderen Domäne befindet (und an einem anderen Standort), und ich verbinde mich mit VPN, brauche ich dann kein Gateway?

Share this post


Link to post
Share on other sites
vor 22 Stunden schrieb Horstenberg:

wenn es selbst das Netzwerk eines Computer-Nerd-Verlages derart hart treffen kann

Es war nicht das Netzwerk des Verlags von ct und ix usw.

Share this post


Link to post
Share on other sites
vor 1 Stunde schrieb NorbertFe:

Es war nicht das Netzwerk des Verlags von ct und ix usw.

Dennoch würde ich vermuten, dass es professioneller betreut sein dürfte als manch anderes, das von Emotet heimgesucht wurde.

Share this post


Link to post
Share on other sites

Doch - der "Schaden" lag ja noch im 5 stelligen Bereich, bei einem Unternehmen dieser Größe also relativ niedrig. Und sie haben sehr schnell agiert. Und konsequent.

Share this post


Link to post
Share on other sites
vor 9 Stunden schrieb Horstenberg:

Ich glaube, ich verstehe Dich nicht vollständig. Wir sind auf einen Softwareanbieter angewiesen, der die gesamte Infrastruktur für die Texterstellung usw. bereitstellt und uns so auch zu bestimmten Einstellungen im Office zwingt. Einer von zwei oder drei Softwareanbietern in unserem Berufszweig, das hat nichts mit Kosten zu tun. Die anderen Anbieter sind jedenfalls meiner Meinung nach schlechter.

Ich bezog mich auf "müßte gehen". Denn das ist ja eben das Problem mit den nicht VL Lizenzen seit O2013, dass wie oben geschrieben die Policies Zweige nicht ausgewertet werden und ein Import per Reg dann eben nicht zum Verbot führt, sondern zu einer Einstellung, die der Nutzer ggf. auch einfach wieder ändern kann. Der Rest bzgl. deiner Aussage und diversen Softwareherstellern ist mir auch schon begegnet und man fragt sich, ob die in den letzten 10-15 Jahren irgendwo unterm Stein gewohnt haben bzgl. Sicherheit und moderner Software.

  • Like 1

Share this post


Link to post
Share on other sites
vor 22 Stunden schrieb NorbertFe:

Ich bezog mich auf "müßte gehen". Denn das ist ja eben das Problem mit den nicht VL Lizenzen seit O2013, dass wie oben geschrieben die Policies Zweige nicht ausgewertet werden und ein Import per Reg dann eben nicht zum Verbot führt, sondern zu einer Einstellung, die der Nutzer ggf. auch einfach wieder ändern kann. Der Rest bzgl. deiner Aussage und diversen Softwareherstellern ist mir auch schon begegnet und man fragt sich, ob die in den letzten 10-15 Jahren irgendwo unterm Stein gewohnt haben bzgl. Sicherheit und moderner Software.

Ok, dann habe ich es jetzt verstanden. Ich habe jetzt noch einmal mit dem Softwarehersteller Kontakt aufgenommen, dass er die Makro- und VBA-Sicherheit in Angriff nehmen soll. Mal sehen, ob es was bringt.  

 

Ich fasse mal zusammen, was ich aus dem Thread gelernt habe:

 

1. Es ist sinnvoll, das Remote Desktop Gateway hinter einer Firewall zu verstecken, insbesondere keine Portweiterleitung auf dieses zu machen. Die Nutzer müssen sich dann vorab per VPN einloggen, um an das Gateway zu gelangen.

 

2. Das VPN gehört eher auf die Firewall als das man es über eine Windows-Server-Maschine bereitstellt. Grund: Auch im Falle eines erfolgreichen Angriffs kann der Intruder dieses nur schwerer manipulieren, weil er die Firewall-Credentials nicht hat.

 

3. Bei Office im Unternehmensbereich empfehlen sich unbedingt Volumenlizenzen oder solche O365-Versionen, die über GPOs steuerbar sind. Dies kann im Einzelfall die Ausführung schädlichen Codes verhindern, wenn man über GPOs Makros und VBA entsprechend deaktiviert.

 

Oder ist was falsch daran?

Share this post


Link to post
Share on other sites
vor 30 Minuten schrieb Horstenberg:

Ok, dann habe ich es jetzt verstanden. Ich habe jetzt noch einmal mit dem Softwarehersteller Kontakt aufgenommen, dass er die Makro- und VBA-Sicherheit in Angriff nehmen soll. Mal sehen, ob es was bringt.  

 

Ich fasse mal zusammen, was ich aus dem Thread gelernt habe:

 

1. Es ist sinnvoll, das Remote Desktop Gateway hinter einer Firewall zu verstecken, insbesondere keine Portweiterleitung auf dieses zu machen. Die Nutzer müssen sich dann vorab per VPN einloggen, um an das Gateway zu gelangen.

 

2. Das VPN gehört eher auf die Firewall als das man es über eine Windows-Server-Maschine bereitstellt. Grund: Auch im Falle eines erfolgreichen Angriffs kann der Intruder dieses nur schwerer manipulieren, weil er die Firewall-Credentials nicht hat.

 

3. Bei Office im Unternehmensbereich empfehlen sich unbedingt Volumenlizenzen oder solche O365-Versionen, die über GPOs steuerbar sind. Dies kann im Einzelfall die Ausführung schädlichen Codes verhindern, wenn man über GPOs Makros und VBA entsprechend deaktiviert.

 

Oder ist was falsch daran?

Nope, genau so. :thumb1:

  • Like 1

Share this post


Link to post
Share on other sites

Ich bin voll bei den beiden Norberts :-) Makros gehören deaktiviert (nur signierte zulassen), und Applocker sollte dringend aktiviert sein. Notfalls SRP - die c't stellt da was halbwegs brauchbares bereit...

  • Like 1

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb daabm:

Ich bin voll bei den beiden Norberts :-) Makros gehören deaktiviert (nur signierte zulassen), und Applocker sollte dringend aktiviert sein. Notfalls SRP - die c't stellt da was halbwegs brauchbares bereit...

Applocker ist ein attraktives Tool, das stimmt. Nach meinen Recherchen muss auf dem Client aber Windows 10 Enterprise installiert sein. Oder stimmt das nicht mehr?

Share this post


Link to post
Share on other sites
vor 20 Minuten schrieb Horstenberg:

Nach meinen Recherchen muss auf dem Client aber Windows 10 Enterprise installiert sein. Oder stimmt das nicht mehr?

Naja 7, 8 und 8.1 oder die dazugehörigen Serverversionen funktionieren auch. ;)

  • Like 1

Share this post


Link to post
Share on other sites
Gerade eben schrieb NorbertFe:

Naja 7, 8 und 8.1 oder die dazugehörigen Serverversionen funktionieren auch. ;)

Was heißt das? Wenn ich auf Windows Server 2016 eine entsprechende GPO kreiere, dann wird Applocker auf dem Win 10 Pro Client aktiviert?

Share this post


Link to post
Share on other sites

Nein Windows Server 2016 kann Applocker anwenden heißt das. Genau wie Windows 2012R2 usw. Kann man ja statt Enterprise einsetzen wenn man genug Lizenzen hat. Ich bezog mich auf deine Recherchen, die alle anderen OS die Applocker verwenden können ignoriert haben.

  • Like 1

Share this post


Link to post
Share on other sites
Am 12.6.2019 um 10:55 schrieb NorbertFe:

Nein eben nicht, weil diese Office Versionen eben die /policies Zweige nicht auswerten in denen ein User nicht schreiben darf. Also bleibt bei Office nur die registry im User hive und rate mal, wer da schreiben darf. Aber muss ja immer alles billig sein. ;)

 

Sind nicht die meisten Einstellungen für Office in der GPO unter Benutzerkonfiguration?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...