Gigabernie 1 Geschrieben 22. MĂ€rz 2021 Melden Geschrieben 22. MĂ€rz 2021 (bearbeitet) Hallo Pros, Wegen zunehmenden Hackversuchen speziell ĂŒber Nacht wollte ich RDP-Verbindungen zeitgesteuert abends abschalten und morgens wieder zulassen. Auf einem WORKGROUP PC funktioniert dieser Befehl problemlos: netsh advfirewall firewall set rule group="remotedesktop" new enable=no Die verĂ€nderten Einstellungen sind in der Firwewall sichtbar. Auf einem DOMAIN PC bekomme ich zwar auch (als DomainAdmin) mit dem gleichen Befehl: 3 Regel(n) wurde(n) aktualisiert. Allerdings ist das nicht zutreffend, wenn ich in die Firewall schaue. FYI: DomainAdmins dĂŒrfen per GPO Anmelden als Stapelverarbeitungsauftrag. Ich mĂŒsste das per AutoTask pro PC individuell einstellen können, da die Leute zu unterschiedlichen Zeiten vom HomeOffice arbeiten. WĂ€re nett, wenn ihr VorschlĂ€ge hĂ€ttet. Schon mal vielen Dank im Voraus Bernie bearbeitet 22. MĂ€rz 2021 von Gigabernie
Sunny61 828 Geschrieben 22. MĂ€rz 2021 Melden Geschrieben 22. MĂ€rz 2021 Am 22.3.2021 um 07:13 schrieb Gigabernie: Wegen zunehmenden Hackversuchen speziell ĂŒber Nacht wollte ich RDP-Verbindungen zeitgesteuert abends abschalten und morgens wieder zulassen. Mehr D.h. der/die Server/Clients sind vom Internet aus, ohne VPN, ĂŒber RDP zu erreichen? Schlechte Idee, ganz schlechte Idee. 1
testperson 1.792 Geschrieben 22. MĂ€rz 2021 Melden Geschrieben 22. MĂ€rz 2021 Hi, sind die PCs alle aus dem Internet per RDP erreichbar? Dann solltest du das (evtl.) einfach abschalten. Ansonsten ganz schönes Klischeedenken, dass Hacker nur nachts on Tour sind und tagsĂŒber schlafen. GruĂ Jan 1
NorbertFe 2.208 Geschrieben 22. MĂ€rz 2021 Melden Geschrieben 22. MĂ€rz 2021 đŹ aber die kommen doch alle aus China und da is frĂŒher hell als bei uns ;) 2
mwiederkehr 392 Geschrieben 22. MĂ€rz 2021 Melden Geschrieben 22. MĂ€rz 2021 RDP von aussen ist unschön. Falls es darum geht, die BĂŒro-Rechner fĂŒr Benutzer von zuhause erreichbar zu machen, nimm VPN. Kann man auf jeder Firewall einrichten und Windows 10 unterstĂŒtzt IPSec, so dass man nicht mal einen speziellen Client braucht. Habe das bei Kunden seit letztem MĂ€rz im grösseren Umfang im Einsatz und es lĂ€uft problemlos. Eine zeitliche ZugriffsbeschrĂ€nkung bringt aus meiner Sicht nichts. Das ist wie den RDP-Port zu Ă€ndern: es dauert nur etwas lĂ€nger, bis die Angriffe starten. Wenn es wirklich nicht anders geht, hĂ€ttest Du noch folgende Varianten: - Zugriff auf Firewall auf IP-Ranges aus Deutschland beschrĂ€nken (wobei aber auch in Deutschland Botnet-Teilnehmer stehen...) - Im Security-Event-Log nach der ID 4648 suchen. Dort stehen die erfolgreichen Anmeldungen drin. So kommst Du an die IP-Adressen der Benutzer. Diese kannst Du dann erlauben und alles andere verbieten. (Wobei ich nicht weiss, wie fix die IPs in Deutschland sind. In der Schweiz sind auch die dynamischen recht fix, Ă€ndern also so gut wie nicht.) Das ist aber nur in ganz kleinen Umgebungen praktikabel. - Mittels Script nach der ID 4625 (Fehlerversuche) suchen und die IPs blocken. Bringt nach meiner Erfahrung nicht mehr viel, da die Versuche von riesigen Botnetzen kommen und jede IP nur ein paar Mal probiert. 1
Gigabernie 1 Geschrieben 23. MĂ€rz 2021 Autor Melden Geschrieben 23. MĂ€rz 2021 (bearbeitet) Vielen Dank schon mal. Wir haben bereits 56 Site2Site VPNs und 13 Roadwarrior. Von 4,3 Mrd. IP-Adressen werden bereits ĂŒber 4 Mrd. auf der Securepoint UTM (Router) blockiert. Dort sehe ich logischerweise auch die aktuellen AktivitĂ€ten -> 99.9% aller Scans und Angriffe fangen nachts und ĂŒbers Wochenende an! Bei den 3 betroffenen Computern/VMs wĂ€re VPN zwar technisch machbar, aber nicht praktikabel, da Dutzende unterschiedliche, hĂ€ufig wechselnde Leute kurzzeitig darauf zugreifen mĂŒssen. Vielleicht hat ja doch noch jemand eine Lösung fĂŒr das angefragte Problem, anstatt "guten RatschlĂ€gen" VG Bernie bearbeitet 23. MĂ€rz 2021 von Gigabernie
testperson 1.792 Geschrieben 23. MĂ€rz 2021 Melden Geschrieben 23. MĂ€rz 2021 Am 23.3.2021 um 05:15 schrieb Gigabernie: Dort sehe ich logischerweise auch die aktuellen AktivitĂ€ten -> 99.9% aller Scans und Angriffe fangen nachts und ĂŒbers Wochenende an! Mehr Dann sind das die guterzogenen, die sich an "den Kodex" halten. Die Tragen i.d.R. auch schwarze Kapuzenpullis und nutzen ein "Matrix Wallpaper". :) Am 23.3.2021 um 05:15 schrieb Gigabernie: Vielleicht hat ja doch noch jemand eine Lösung fĂŒr das angefragte Problem, anstatt "guten RatschlĂ€gen" Mehr Du bist auf dem Holzweg und zwar auf dem ziemlichen morschen. HĂ€ng ein SSL / clientless VPN oder ggfs. Remote Web und Remotedesktop Gateway davor bzw. irgendwas, was anhand zweiter Faktoren eine Authentifizierung macht und dann RDP "tunnelt".
Gigabernie 1 Geschrieben 23. MĂ€rz 2021 Autor Melden Geschrieben 23. MĂ€rz 2021 Jetzt nochmal fĂŒr alle - auch und speziell fĂŒr testperson: Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer DomĂ€ne zeitgesteuert zu verĂ€ndern. Danke nochmal. Bernie
Sunny61 828 Geschrieben 23. MĂ€rz 2021 Melden Geschrieben 23. MĂ€rz 2021 Am 23.3.2021 um 07:07 schrieb Gigabernie: Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer DomĂ€ne zeitgesteuert zu verĂ€ndern. Mehr Per GPO ĂŒber den Taskmanager. Ein GPO fĂŒr Zeitraum A, ein zweites fĂŒr Zeitraum B. Und Jetzt musst Du das ganze nur noch gescriptet kriegen. Es gibt sehr viele Scripte fĂŒr die GPMC: https://www.gruppenrichtlinien.de/artikel/die-scripte-der-gpmc-das-unbekannte-feature Das hier könnte in deine Richtung gehen: Setting Permissions for all GPOs Linked to a Scope of Management
testperson 1.792 Geschrieben 23. MĂ€rz 2021 Melden Geschrieben 23. MĂ€rz 2021 Am 23.3.2021 um 07:07 schrieb Gigabernie: Jetzt nochmal fĂŒr alle - auch und speziell fĂŒr testperson: Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer DomĂ€ne zeitgesteuert zu verĂ€ndern. Mehr Jetzt hast du mich ĂŒberzeugt. Ich hab das vorher scheinbar nicht richtig verstanden. Aufgabenplanung + PowerShell - Sind auch Tools der tagsĂŒber schlafenden H4x0r!
Beste Lösung daabm 1.402 Geschrieben 24. MĂ€rz 2021 Beste Lösung Melden Geschrieben 24. MĂ€rz 2021 Sind auf den Domain CLients lokale FW-Ausnahmen zugelassen? Ich wĂŒrde vermuten "nein" - dann kann man nĂ€mlich per netsh beliebig weitere lokale Regeln anlegen, nur interessiert das niemand . Dann wĂ€re die Lösung von @Sunny61 wohl passend. Wenn ja, ginge es per scheduled Task.
Gigabernie 1 Geschrieben 25. MĂ€rz 2021 Autor Melden Geschrieben 25. MĂ€rz 2021 (bearbeitet) Hallo zusammen, Ich hab es jetzt so gelöst: Da man offensichtlich "voreingestellte Regeln" nicht mit netsh in der AutoTask deaktivieren kann (aber manuell schon ???) habe ich eine eigene Regel angelegt: "BlockRDP", die sich jetzt automatisch aktivieren u. deaktivieren lĂ€sst. Die Task lĂ€sst sich exportieren, dann editieren (wegen unterschiedlicher Zeiten) und auf einem anderen Computer importieren. Das ist ein ĂŒbersehbarer Aufwand. @Sunny61 Da es nur um eine Handvoll PCs/VMs geht, die zu unterschiedlichen Zeiten erreichbar sein sollten, ist die Lösung zu aufwĂ€ndig - aber gut zu wissen. @daabm Deine Lösung liegt meiner am nĂ€chsten. Vielen Dank an euch beide Man kann leider nur einen "belohnen" - Sorry Sunny VG Bernie bearbeitet 25. MĂ€rz 2021 von Gigabernie
Empfohlene BeitrÀge