Jump to content

Terminalserver Security


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen, habe leider ein großes Problem und hoffe sehr das jemand einen Tip für mich hat.

 

Habe ein Virtuelles Projekt und dieses soll beinhaltet folgendes:

 

Stand der Dinge:

Win 2003 Terminalserver vorhanden

User eingerichtet

 

Problemstellung:

Ist es möglich den Terminalserver so einzurichten das die Anmeldung nur per Zertifikat möglich ist? Jedoch so dass ich z..B das Zertifikat oder änliches auf einen USB Stick spielen kann und wenn z.B über RDP eine Verbindung hergestellt wird, nach diesem Zertifikat gefragt wird?

 

Am optimalsten wäre es wenn sich der User mit seienm USB Stick nur als der eine User Anmelden könnte also wie ein Ausweis praktisch. Hab eich da irgend eine Chance?

Kennt jemand ein Tutorial für mich oder hat jemand einen Tip wie weit ich da gehen kann?

Ist es dann auch ausreichend die Integrierte SSl Verbindung von RDP zu benutzen? (SSL3.0)

 

Ok, das waren ja einige Fragen, hoffe jamand hat eine Idee :-)

 

Schöne Grüße

ChriZ

Link zu diesem Kommentar

Hallo, also die User melden sich sowohl über LAN als auch über WAN an.

 

Ziel ist es einfach die Security so hoch wie möglich zu setzten. Dies soll jedoch ohne viel Aufwand für dne User passieren. ( als nix mit Putty SSH Tunnel und so )

Wenn ich ein Schlüssel auf einen USB Stick bringen würde, habe ich ein Art elektronischen Ausweis für den user. Auch wenn ich Ihn nicht direkt damit anmelden könnte, so hätte ich die Beruhigung das niemand ohne diesen Schlüssel sich am TM Server anmelden kann.

 

Es muss doch irgendwie machbar sein. Die Smart CVard Funktion ist ja schon in diese Richtung gedacht, nur st es nicht gerade sinnvoll jedes mla eine SmartCard -Leser mit sich rumzutragen. USB ist heute in fast jedem PC vorhanden und wäre deswegen sinnvoller.

 

Könnte ihr mir, fals das alles nicht geht, eienn Tip geben wie Ihr einen Terminalserver absichern würdet der über WAN erreichbar sein muss?

 

Wäre super, danke schön

Link zu diesem Kommentar
Es muss doch irgendwie machbar sein

Ja, ist machbar. Setze einen CITRIX Server mit Presentation Server ein. Da gibt es diverse Token-Lösungen dafür.

 

... nur st es nicht gerade sinnvoll jedes mla eine SmartCard -Leser mit sich rumzutragen

Dafür ist der Presentation Server gedahct, von überall her mit Port 80 bzw. 443 zugreifen.

 

Mit Microsoft Mitteln ist das nicht machbar, außer mit Smartcard.

 

grizzly999

Link zu diesem Kommentar

Vielleicht doch ein VPN-Tunnel und in den via CMAK konfigurierten DFÜ-Eintrag für die Clients eine benutzerdefinierte Aktion durchführen lassen und eine RDP-Verbindungsdatei integrieren ?!

edit: oder ein VPN mit einem Gerät wie Watchguard oder Bintec. Dazu wird ein spezieller Client auf dem externen Gerät installiert, welches den Tunnel automatisch herstellt (vorher hergestellte Internetverbindung vorausgesetzt), wenn der interne Terminalserver via RDP-Client angesprochen wird ...

Link zu diesem Kommentar

Muss schon sagen das es ein ziemliches Armutszeugniss ist in dieser Richtung nichts getan zu haben. Citrix ist natürlich eine extrem teure Alternative die sich für 3 Arbeitsplätze kaum trägt.

 

VPN Verbindung ist ja halt auch nicht das gelbe vom Ei, ist eben auch nur eine Benutzername und Kennwort gesicherte Lösung. Die Verbindung selber dann sicher zu gestallten ist natürlich mit Zertifikatsdienst relativ einfach, die Authentifizierung ist jedoch ein ziemlicher Schwachpunkt oder sehe ich das flasch ?

Link zu diesem Kommentar

Hallo,

Muss schon sagen das es ein ziemliches Armutszeugniss ist in dieser Richtung nichts getan zu haben.

 

Beziehst du das auf Microsoft? Auch Microsoft kann nicht alles. Im Bereich Tokenauthentifizierung gibt ja auch Firmen die das schon Jahrelang mit Erfolg herstellen.

Siehe RSA oder auch Kobil.

Zudem konnte ich noch nicht ganz herauslesen wie du die Verbindung zum TS aufbauen möchtest. Von privaten/öffentlichen PCs über das Internet?

Der Große Voteil eines Tokens ist ja die unabhängigkeit vom System, es werden keinerlei Anschlüsse am System benötig.

 

Sicherheit ist natürlich nicht billig. Die Frage was für einen Aufwand man für 3 Benutzer machen muß. Würde da nicht ein Sicheres Kennwort welches regelmäßig geändert werden muß reichen ?

 

Grüße

 

Tobias

Link zu diesem Kommentar

Hallo Tobias,

 

die Anforderung ist ehr in die Richtung unabhängigkeit vom System und Standort gelegt.

Am optimalsten wäre eine Browserbasierende RDC verbindung.

So gelange ich von überall und jederzeit zu Anmeldung. Diese sollte dann idealerweise über benutzername, Kennwort und ein Privaten Schlüssel auf einem USB Stick oder Smartcard abgesichert sein. Natürlich ist die RDC Verbindung im ersten Step schon SSL 3.0 abgesichert. Das bringt ja Microsoft bereits relativ problemlos mit.

 

Was haltet Ihr von solchen Lösung?

Link zu diesem Kommentar

Hallo,

 

ok wenn es dir um die Unanhängigkeit geht, sind aber Smartcard und USB-Stick nicht gerade die richtige Lösung. Da bist du wieder abhängig von Bestimmten Lesern und Schnittstellen.

 

Wie schon gesagt wäre da die allerbeste Lösung eine Tokenauthentifizierung. Mit der entsprechenden Firewall lässt sich wunderbar eine ensprechende Authentifizierung vorschalten. So da nur user mit Token, Benutzer und Kennwort überhaupt erst zur Terminalservermaske kommen.

 

EDIT: Wenn du das ganze gerne über eine Browserverbindung machen möchtest ist die Sicherung mit SmartCards ziemlich schlecht.

 

Grüße

 

Tobias

Link zu diesem Kommentar

Wir haben einen Citrix Secure Gateway im Einsatz. Habe ich gerade mit Tokens (Einmalpassworten der Fa. Secure Computing ausgestattet - Produkt Safeword) ausgestattet. User können sich von überall per Webbrowser einloggen, aber halt nur die, die auch den Token haben. Und dann mache ich eigentlich nur ungern eine RDP-Verbindung. Nicht sehr performant und unschön.

Macht Citrix mit Java, oder Ica-Client, oder Active-X, oder Plugin (reicht das?) schöner!

 

Gruß

mriess

Link zu diesem Kommentar
Wir haben einen Citrix Secure Gateway im Einsatz. Habe ich gerade mit Tokens (Einmalpassworten der Fa. Secure Computing ausgestattet - Produkt Safeword) ausgestattet. User können sich von überall per Webbrowser einloggen, aber halt nur die, die auch den Token haben. Und dann mache ich eigentlich nur ungern eine RDP-Verbindung. Nicht sehr performant und unschön.

Macht Citrix mit Java, oder Ica-Client, oder Active-X, oder Plugin (reicht das?) schöner!

 

Gruß

mriess

 

 

Klar würde das reichen.... Das Citrix die bessere Lösung in dem Bereich bietet steht denkne ich ausser Frage. Das Thema ist hier nur, dass es relativ Kostenintensiv ist. Ich möchte versuchen einfach eine Lösung zu finden die Sicher jedoch relativ preiswert ist. Da bieten sich natürlich die Microsoft Boardmittel gerade zu an.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...