Jump to content
Sign in to follow this  
m43stro

Remotedesktop - Verschlüsselung?

Recommended Posts

Hi

 

ich bastel gerade an einer WinPE Version und frage mich, wie ist das eingentlich mit der Sicherheit bei der Authentifizierung über Remotedesktop.

 

In meinem Projekt startet der User den Rechner und bekommt nach dem Boot kein vollständiges Windows, sondern nur eine Remotesession zu einem Terminal Server.

 

Mit WinPE ist ja Windows sehr abgespeckt.

 

Remotdesktop arbeitet mit zwei Dateien: mstsc.exe und mstscax.dll

 

Welche Verschlüsselung wird benutzt?

Ich habe über google etwas über RDP Verschlüsselung gefunden mit RC4 Algorithmus.

Wird das auch bei Win XP bzw. PE verwendet?

 

Hat das abspecken von WinPE auf die Verschlüsselung eine Auswirkung?

 

Kann ich andere Verschlüsselung einsetzen? Kerberos IPsec

 

 

Wäre über Antworten sehr Dankbar!

Share this post


Link to post

Also grundsätzlich kannst du mit TLS arbeiten, das wird hier beschrieben:

How to configure a Windows Server 2003 terminal server to use TLS for server authentication

 

Ob und wie das allerdings bei PE läuft weiß ich nicht.

 

Mit IPSec wird natürlich alles verschlüsselt. Das will aber gut geplant sein und ob das mit PE geht weiss ich auch nicht.

Zum Einstieg IPSec mal diese Links hier:

IPSec support for client-to-domain controller traffic and domain controller-to-domain controller traffic

Guide to Internet Protocol Security (IPSec)

Share this post


Link to post

Danke für die schnelle Reaktion.

 

Ob und wie das allerdings bei PE läuft weiß ich nicht.

 

Wie läuft es den mit WinXP ab?

Ich gebe mein Benutzername und PW ein und weiter? Wie werden diese Informationen verschlüsselt? Sind da vielleicht Dienste für Zuständig oder nur die mstsc.exe?

Share this post


Link to post
Da sind Zertifikate zuständig. Schau dir mal die Links an.

 

The client computer must trust the root Certification Authority of your terminal server's certificate. Therefore, the client computer must have the certificate of the Certification Authority in the Trusted Root Certificate Certification Authorities folder of the client computer. You can view this folder by using the Certificates snap-in.

 

So langsam verstehe ich die Funktionsweise.

Habe mal ein Snapin hinzugefügt.

Zertifikate - Aktueller Benutzer

Zertifikate - Lokaler Computer

Zertifikate - Computer Konto

 

Welches nur dafür verantwortlich würde mich echt wahnsinnig interessieren.

Wo die auf der Festplatte liegen konnte ich auch noch nicht finden.

 

Wird es bereits bei der Verbindung zum Server verschlüsselt oder erst bei der Eingabe von PW?

 

Danke

Share this post


Link to post

Habe mich jetzt intensiv mit dem Thma auseinandergesetzt und habe jetzt eine ganz andere Frage.

 

Wie realisiert man RDP in Verbindung mit IPsec?

 

Ich finde dazu keine ansetze.

 

Hast das jemand schon mal ausprobiert?

Share this post


Link to post

Das hat miteinander auch eigentlich nichts zu tun.

 

Bei Ipsec wird jeglicher Verkehr zwischen zwei (oder mehr) Hosts verschlüsselt. Dazu zählt u.a. rdp, aber halt auch alles andere, was IP macht.

Share this post


Link to post
Das hat miteinander auch eigentlich nichts zu tun.

 

Bei Ipsec wird jeglicher Verkehr zwischen zwei (oder mehr) Hosts verschlüsselt. Dazu zählt u.a. rdp, aber halt auch alles andere, was IP macht.

 

heisst es, dass bei IPsec es sich einfach um irgendein Zertifikat handelt, der z.B. für RDP konfiguriert werden muss?

Share this post


Link to post

Nein!

 

Entweder IPSEC: Dann wird alles verschlüsselt.

Oder: Kein IPSEC: Alles wie bisher.

 

Hat nichts mit rdp zu tun!

Share this post


Link to post

nein nein, nicht VPN

 

also was ich meine ist eine Remotedesktopverbindung mit IPsec.

 

IPsec ist ein eigenständiges Protokoll und RDP auch.

 

Kann man nun eine Remotedesktopverbindung mit IPsec gewährleisten oder ist die Windows Remotedesktopverbindung nur mit RDP möglich?

Share this post


Link to post

Immernoch falsch verstanden.

 

rdp ist eine Applikation die auf das IP-Protokoll aufbaut. Damit ist das rdp Protokoll auf Schicht 4 oder höher angesiedelt.

 

IPSec ist das "Transportprotokoll" für rdp Pakete auf Schicht 3.

 

Stell dir das so vor:

 

IP-Protokoll wird im ganz normalen Postweg mit Postkarten transportiert. Dabei kann der Inhalt der Karte rdp sein, also sowas wie das Bild des Desktop. Da kann aber auch DNS draufstehen und ein Name in eine IP-Adresse übersetzt sein, oder eine Datei ist darauf abgebildet, oder oder oder.

 

Mit IP-Sec änderst du das Transportverfahren (du lässt den Brief im verschlossenen Umschlag mit einem Geldtransporter direkt beim Empfänger abliefern). Der Inhalt des Briefes kann wie bei der Postkarte auch alles mögliche sein.

Share this post


Link to post

sorry, jetzt habe ich es verstanden.

 

quasi mit vpn vergleichbar wo auch dieverse andere protokolle getunnelt werden.

 

Gut, nun dann eine weitere Frage.

Ist den nicht IPsec standardmässig in XP integriert?

Wie kann man das nachprüfen ob RDP im IPsec getunnelt wird?

 

Danke

Share this post


Link to post

Ipsec ist als "Feature" integriert. Muss aber natürlich konfiguriert und aktiviert werden.

Ob Embed das kann weiss ich leider nicht.

 

Entweder alles geht über ipsec oder nichts! Du kannst den Server so konfigurieren, dass er nur IPSec Pakete akzeptiert.

Das geht über eine Gruppenrichtlinie.

 

ABER: Wie gesagt: Vorher miuss das konfiguriert werden. Einfach richtlinie einschalten geht nicht.

 

Stöbere mal im Forum, bei MS und bei Freund Google, da findest du haufenweise Tutorials zur Einrichtung von IPSec unter Windows. Vielleicht ist da auch was zu Thinclients dabei.

Share this post


Link to post

Danke

 

nein einrichten möchte ich es nicht, nur verstehen.

Vor und Nachteile von RDP und Citrix sind gerade mein Thema.

 

Passend dazu eine Frage.

Wie ist es mit RSA RC4, wenn man Remoteverbindng von XP damit betreibt.

 

Muss von der Clientseite etwas konfiguriert werden oder ist es nur für die Serverseite notwendig?

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...