Remote Desktops absichern

Schutz vor ungebetenen Gästen

Microsofts Terminaldienste, besser bekannt als Remotedesktop, sind das Werkzeug der Wahl für Administratoren beim Zugriff auf Windows-Server und -Workstations aus der Ferne. Der Security-Tipp in diesem Monat zeigt, wie sich der Dienst aus dem Blickwinkel der IT-Sicherheit verhält, wie er von Angreifern missbraucht wird und welche Schritte Sie zur Absicherung unternehmen können.
Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. ... (mehr)

Ende der 1990er-Jahre haben Citrix und Microsoft eine Kooperation zur Verbesserung des Remotezugangs auf Windows-Computer geschlossen. Diese sorgte dafür, dass die Microsoft-Terminaldienste, auch bei hoher Latenz und niedriger Bandbreite, seit mehr als 20 Jahren halbwegs benutzbar sind. Der Remotedesktop hat sich seitdem zu dem Werkzeug der Wahl für Administratoren entwickelt, um auf Server und Workstations zuzugreifen.

Obwohl das Protokoll grundsätzlich verschlüsselt kommuniziert, verwenden viele Administratoren den Dienst nur innerhalb des Unternehmensnetzwerks oder zumindest getunnelt über VPN. Und doch finden sich einige RDP-Server ungefiltert im Internet. Die Verwundbarkeitsdatenbank Shodan listet für Deutschland etwa 150.000 RDP-Zugänge [1] auf.

In vielen Unternehmen wird der Remotedesktop auch für Thin Clients genutzt. Die Benutzer arbeiten dann nicht auf dem Computer, an dem sie sitzen, sondern über eine RDP-Sitzung auf einem gemeinsamen Server, der alle notwendigen Ressourcen bereitstellt. Sicherheitsforscher haben in den letzten Jahren immer wieder das zugrundeliegende Protokoll auf mögliche Sicherheitslücken oder Seitenkanäle untersucht.

Sitzungen entführen

Ein bekanntes Feature des Terminalservers ist, dass Sitzungen auch dann weiterlaufen, wenn der Benutzer nicht mehr mit dem Server verbunden ist. So können Sie die Arbeit unterbrechen und von einem anderen Ort oder zu einem späteren Zeitpunkt die Sitzung einfach fortsetzen.

Sind Sie als Administrator mit einem Terminal-Server verbunden, können Sie die wartende Sitzung eines anderen Benutzers übernehmen, solange Sie das Passwort des Benutzers kennen. Finden Sie zunächst mit dem Query-Kommando wie in Bild 1 die ID der Sitzung, die Sie übernehmen möchten, und benutzen Sie anschließend das Werkzeug "C:\Windows\ System32\tscon.exe".

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2020