wznutzer 32 Geschrieben 21. Februar 2023 Melden Teilen Geschrieben 21. Februar 2023 Guten Abend, RDP lässt sich ja prima per RDS Gateway freigeben, wenn man eine passende Lizenz hat funktioniert das auch sehr gut mit der Azure MFA. Ich mache das z. B. mit einem Reverse-Proxy. Da hat man dann die Möglichkeit die URL /KdcProxy freizugeben oder auch nicht. Funktionieren tut beides. Mit Freigabe von /KdcProxy: Kerberos-Authentifizierung Keine Zertifikatsabfrage (RDP-Zertifikat) auch wenn der Client nicht Mitglied der Domäne ist. Passwortänderung geht von einem Client aus der nicht Mitglied der Domäne ist (STRG + ALT + ENTF) Ohne Freigabe von /KdcProxy: NTLM Zertifikatsabfrage des RDP-Zertifikats wenn das nicht zuvor irgendwie verteilt wurde. Passwortänderung nicht möglich, wenn der Client nicht Mitglied der Domäne ist. Ein paar Infos z. B. hier: https://syfuhs.net/kdc-proxy-for-remote-access Da das von Microsoft ja explizit für das RDS-Gateway vorgesehen ist, müsste das kein Problem sein. Aber ist es tatsächlich auch sicher? Ich meine, macht das Freigeben ein Loch auf, das ich ohne diese Freigabe nicht habe? Vielen Dank Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 22. Februar 2023 Autor Melden Teilen Geschrieben 22. Februar 2023 Ergänzung: Wenn man sich bei einem RDS-Gateway mit domäne\Benutzername anmeldet, wird Kerberos verwendet, wenn ich den UPN verwende nicht. Unter der Voraussetzung, dass /KdcProxy erreichbar ist. Da bei Kerberos das Passwort nicht über die Leitung geht und der Kerberos Proxy von Microsoft explizit für das RDS-Gateway und Direct-Access gemacht ist, wird das wohl in Ordnung sein das freizugeben. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 23. Februar 2023 Melden Teilen Geschrieben 23. Februar 2023 Was willst Du denn erreichen? Ein SSO via Kerberos würde nur funktionieren, wenn der Client sich schon über einen anderen Weg bei KDC authentifiziert hat und von dem Ticket für das RDS-Gateway bekommen hat. Das macht man Das RDS-Gateway kann intern mit dem KDC sprechen, eventuell über den Proxy. Wozu soll der aber im Internet hängen? Es gibt einen Grund, warum im Internet niemand Kerberos macht, sondern Lösungen wie OpenID verwendet. Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 23. Februar 2023 Melden Teilen Geschrieben 23. Februar 2023 Und das mit dem Zertifikat lässt sich lösen - In dem man ein Zertifikat von einem Öffentlichen CA Anbieter nutzt - Kostet nicht mehr die Welt. Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 23. Februar 2023 Autor Melden Teilen Geschrieben 23. Februar 2023 vor 9 Stunden schrieb zahni: Was willst Du denn erreichen? Ein SSO via Kerberos würde nur funktionieren Ich will nichts spezielles wie SSO erreichen. Selbst das Zertifikat ist kein Problem. Die User klicken sowieso auf alles. Ich will einfach nur herausfinden was die sicherste Methode für die Veröffentlichung des Gateway ist. Nützlich wäre, wenn sich die User mittels der RDP-Anmeldung ein neues Passwort vergeben könnten. Das ist aber nur ein angenehmer Nebeneffekt. Ich bin davon abgerückt, dass die User die Passwörter oft ändern müssen. Meine erste Überlegung war zwar falsch, weil ja bei NTLM das Passwort auch nicht übertragen wird, aber es ist halt eine URL mehr die erreichbar ist. Mit der URL /KdcProxy ist das Loch größer und dafür muss es dann einen Grund geben. Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 24. Februar 2023 Melden Teilen Geschrieben 24. Februar 2023 Hallo und Guten Morgen, okay aber was spricht gegen ein vernünftiges Zertifikat ? Viele Grüße Arnd Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 24. Februar 2023 Autor Melden Teilen Geschrieben 24. Februar 2023 vor 13 Stunden schrieb WSUSPraxis: was spricht gegen ein vernünftiges Zertifikat Dagegen spricht nichts. Aber mir geht es darum, ob ich den Kerberos-Proxy ohne Nachteile öffnen kann. Da hilft mir ein Zertifikat ja nicht. Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 25. Februar 2023 Melden Teilen Geschrieben 25. Februar 2023 vor 12 Stunden schrieb wznutzer: Kerberos-Proxy ohne Nachteile öffnen Hallo, wenn wir hier über einen reinen KdcProxy reden, würde ich es nicht tun. Ob nun verschlüsselt oder nicht. Du öffnest dich für Kerberos-Angriffe. Ohne hier tiefer zu gehen, würde ich es nicht empfehlen. Einfach gesagt gibt es Gründe einen DC nicht ins Internet zu hängen. Wäre aber schön, dann würde vieles ohne VPN funktionieren 😀 Zitieren Link zu diesem Kommentar
wznutzer 32 Geschrieben 25. Februar 2023 Autor Melden Teilen Geschrieben 25. Februar 2023 vor 4 Stunden schrieb MurdocX: Ohne hier tiefer zu gehen, würde ich es nicht empfehlen. Ja, ich meinte den reinen KdcProxy der mit einem RDS-Gateway installiert wird. Von mache nicht über mache ich doch, wenn MS das extra dafür baut, bis jetzt wieder mache ich nicht, war so der Gedankengang. Gut, dass Du das auch so siehst. In dem verlinkten Artikel von Steve Syhfus schreibt er auch, dass man sich extern für Angriffe wie dem Kerberoasting aussetzt. Ich lasse das Loch zu. Zwar jetzt etwas OT, aber verwundert war ich, dass ich mit Domäne\Benutzername über den KdcProxy per Kerberos authentifiziert werde und per Name@Domäne üer NTLM. Das ist doch normalerweise andersrum. Ich habe das mehrfach probiert, ist einfach so. RDP zeitgt ja bei Kerberos oben das Schloss an. Danke und schönes Wochenende Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.