ineedhelp 12 Geschrieben 3. Mai Melden Teilen Geschrieben 3. Mai @Community Ich habe einen Server auf dem nur von einem bestimmten IP-Adressbereich per RDP zu gegriffen werden darf. Dieser Server darf aber nur auf bestimmte IP-Adressen per RDP zugreifen. Wie müssen die Windows Firewallregeln aussehen? Ich habe schon so viele Möglichkeiten und sperre mich leider immer wieder per RDP aus. Zum Glück kann ich mich lokal an den Server anmelden. Danke im Voraus und wünsche ein sonniges Wochenende. Zitieren Link zu diesem Kommentar
cj_berlin 1.168 Geschrieben 3. Mai Melden Teilen Geschrieben 3. Mai Moin, wenn die Default-Regel in beiden Fällen auf "verweigern" steht, dann musst Du für den Zugriff auf den Server die zulässigen Quell-IPs angeben und für den Zugriff von diesem Server aus die zulässigen Ziel-IPs. Ports sind in beiden Fällen 3389 TCP + UDP. Wenn die Default-Regel auf "zulassen" steht, gehört das ganze Konzept auf den Prüfstand und nicht nur RDP, Aber für RDP müsstest Du dann zwei Regeln haben: eine wie oben und eine, die RDP zumacht, aber tiefer in der Reihenfolge steht. Zitieren Link zu diesem Kommentar
daabm 1.199 Geschrieben 3. Mai Melden Teilen Geschrieben 3. Mai Kennt die Windows-FW eine "Reihenfolge"? Wenn ich das richtig verstehe, ist die Regel-Rangfolge nicht ganz so einfach: https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/rules (die Formulierung "more specific rules take precedence" finde ich herzerfrischend. Wie ist das, wenn bei einer ein Set von IP-Ranges steht und bei der anderen ein Set von Ports?) Eine explizite Block-Regel gewinnt wohl immer, daher müsste man grundsätzlich für Inbound _und_ Outbound "Block" als Standard einstellen und dann per Allow gezielt wieder öffnen. Zitieren Link zu diesem Kommentar
cj_berlin 1.168 Geschrieben 4. Mai Melden Teilen Geschrieben 4. Mai Stimmt, da war was. Dann muss man, wenn es aus irgendeinem Grund nicht möglich ist, das Default-Verhalten auf Block zu setzen, alle unerwünschten Ranges explizit blockieren. Viel Spaß damit - aber mit viel Aufwand ist auch das machbar. Ob's sinnvoll ist, ist eine andere Frage. Je nachdem, wie das Netz segmentiert ist, würde ich als Konzept-Vorschlag noch den RD Gateway einwerfen, aber das hat wieder Abhängigkeiten, die man bedenken muss. Zitieren Link zu diesem Kommentar
testperson 1.547 Geschrieben 4. Mai Melden Teilen Geschrieben 4. Mai Hi, evtl. wäre serverseitig eine Isolierung per Verbindungssicherheitsregel "Authentifizierung für ein- / ausgehend anfordern" noch ein Ansatz. Grob: Implemeting IPSec in Windows Domain – part 1 | Michael Firsov (wordpress.com) Implemeting IPSec in Windows Domain – part 2 | Michael Firsov (wordpress.com) Gruß Jan Zitieren Link zu diesem Kommentar
MurdocX 908 Geschrieben 5. Mai Melden Teilen Geschrieben 5. Mai Da haut @testperson aber einen raus Ich sehe hier diese Wege: (siehe oben von Kollegen) Default Block auf den ausgehenden Verkehr -> "Allow" RDP-Regel erstellen und IPs dort freigeben -> Eine Block-Regel lässt sich leider nicht aufgrund von Remoteadressen beschränken, eine Allow-Regel schon. Alle anderen möglichen Inbound-RDP Verbindungsmöglichkeiten der Servernachbarn kontrollieren Netzübergreifend die Verbindungsmöglichkeiten an der Firewall steuern Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.