Erhöhen Sie die Sicherheit für Remote-Desktop-Computer - verwenden Sie 2FA und / oder beschränken Sie sich nur auf die LAN-Verbindung.

1984
sam

Ich bin dabei, Windows Remote-Desktop auf einem W10 Pro-Computer einzurichten.

Ich möchte die Sicherheit der Verbindung erhöhen und mich fragen, ob eine der folgenden Möglichkeiten möglich ist:

  • Ein Passwort, das sich von dem Benutzernamen unterscheidet, der für die Anmeldung verwendet wird, wenn der Computer physisch verwendet wird. Auf diese Weise könnte eine zufällig generierte Zeichenfolge verwendet werden, die ich einmal vom Wählcomputer eingeben konnte.

  • 2-Faktor-Authentifizierung

  • Beschränken Sie alle eingehenden Verbindungen auf Maschinen, die sich in demselben LAN befinden.

Es wird 3 Computer geben, die sich mit dem Host verbinden, meistens Macs.

Ist irgendetwas / alle möglich und gibt es andere Dinge, die ich mir ansehen sollte?

7
Verbinden Sie sich dazu einfach über ein lokales LAN oder über das öffentliche Internet? Twisty Impersonator vor 6 Jahren 0
@TwistyImpersonator würde es über ein lokales LAN sein, obwohl es eine Einwahl in VPN gibt sam vor 6 Jahren 0
Wie viele Computer benötigen Remote-Zugriff auf diesen Host? Ändern sich die IP-Adressen des Verbindungscomputers? Twisty Impersonator vor 6 Jahren 0
@TwistyImpersonator Es werden 3 Computer sein, die eine Verbindung zum Host herstellen. Ich könnte den eingehenden 3 Computern Mac IP-Bindungen auf dem Router geben, damit sie sich nicht ändern. Denken Sie darüber nach, dass die IP-basierte Authentifizierung ein zusätzliches Sicherheitsmerkmal ist? sam vor 6 Jahren 0
Ja oder mindestens die Firewall auf dem Host so konfigurieren, dass nur Verbindungen zu Port 3389 von diesen 3 Maschinen zugelassen werden. IPSec wäre viel robuster, aber auch schwieriger einzurichten. Twisty Impersonator vor 6 Jahren 0
@TwistyImpersonator würde das auch versuchen, aber was würde den "Angreifer" daran hindern, sich selbst eine Menge statischer IPs im Netzwerkbereich zuzuweisen und zu versuchen, sich mit ihnen zu verbinden? (Natürlich müssten sie noch das richtige Passwort haben) sam vor 6 Jahren 0
IPSec kann Zertifikate verwenden, die die Computer authentifizieren. Selbst wenn der Angreifer eine Verbindung von der richtigen IP-Adresse her herstellt, kann die Verbindung ohne das Zertifikat nicht hergestellt werden. Twisty Impersonator vor 6 Jahren 1
Wie viel Zeit und Geld möchten Sie dafür investieren? Wenn Sie viel tun, um das Login und die Verbindungen zwischen dem Host und den Computern zu sichern, sollten Sie auch das Angriffsgesicht für die angeschlossenen Computer und möglicherweise viele andere Dinge prüfen. Bei der Sicherheit geht es darum, Komfort, Risiko und Ressourcen in Einklang zu bringen. PatrikN vor 6 Jahren 0

3 Antworten auf die Frage

4
harrymc

Im Artikel Sichern von Remotedesktop (RDP) für Systemadministratoren sind folgende Tipps aufgeführt:

  • Verwenden Sie sichere Kennwörter
  • Aktualisieren Sie Ihre Software
  • Beschränken Sie den Zugriff mithilfe von Firewalls
  • Aktivieren Sie die Authentifizierung auf Netzwerkebene (standardmäßig für Windows 10 aktiviert).
  • Beschränken Sie die Anzahl der Benutzer, die sich mit Remotedesktop anmelden können (standardmäßig alle Administratoren).
  • Richten Sie eine Kontosperrungsrichtlinie ein (sperren Sie ein Konto nach einer Reihe von falschen Schätzungen).
  • Ändern Sie den Überwachungsport für Remote Desktop (Standardeinstellung ist TCP 3389).
  • Verwenden Sie keine anderen Produkte wie VNC oder PCAnywhere

Für Ihre Frage zur Zwei-Faktor-Authentifizierung glaube ich nicht, dass dies unter Windows 10 Pro nur unter Windows Server existiert.

Der Artikel Die 5 besten Alternativen zu Google Authenticator listet sechs Produkte auf, die einen kostenlosen (aber auch bezahlten) Tarif haben: Google Authenticator, Authy, Duo, HDE-OTP, Authenticator Plus und Sound Login Authenticator. Ich habe solche Produkte noch nie verwendet, daher weiß ich nicht, wie nützlich diese für Sie sind.

Danke, @ harrymc, wissen Sie, ob es möglich ist, ein Kennwort oder einen Schlüssel als Teil des ersten Remotedesktop-Anmeldevorgangs festzulegen. Daher sind wir nicht auf ein einprägsames, sicheres Kennwort beschränkt, das die Benutzer zum Anmelden verwenden würden, sondern es können zufällig 60 Zeichen verwendet werden string als vorinstallierter Schlüssel zur Ergänzung des Benutzerpassworts sam vor 6 Jahren 0
Windows 10 verfügt über die neue Technologie von [Virtual Smart Cards] (https://docs.microsoft.com/en-us/windows/security/identity-protection/virtual-smart-cards/virtual-smart-card-overview), die In der Tat bietet die Zwei-Faktor-Authentifizierung. Weitere Informationen finden Sie im [Erste Schritte mit Virtual Smart Cards: Walkthrough-Leitfaden] (https://docs.microsoft.com/de-de/windows/security/identity-protection/virtual-smart-cards/virtual-smart-card-get- gestartet). Ich habe es noch nie benutzt und kann daher keine Fragen beantworten. harrymc vor 6 Jahren 0
Für virtuelle Smart Cards ist TPM 1.2 erforderlich. Haben alle Ihre Computer das @sam? PatrikN vor 6 Jahren 0
@PatrikN Ich bezweifle es, die Client-Maschinen sind meistens Macs sam vor 6 Jahren 1
Leider ist dies das einzige kostenlose Produkt, das ich kenne. Kommerzielle Produkte können durch Googeln nach Zwei-Faktor-Authentifizierung gefunden werden. harrymc vor 6 Jahren 0
@sam, bezüglich Passwort, siehe meine Antwort (über SSH). Und da es sich um Macs handelt, kann NLA auch nicht verwendet werden. PatrikN vor 6 Jahren 0
Ich habe einen Link zu einem Artikel hinzugefügt, der sechs 2FA-Produkte enthält, die helfen könnten, aber es liegt an Ihnen, sie herauszufinden. harrymc vor 6 Jahren 0
@harrymc beim Durchlesen der Aufzählungspunkte darüber fällt mir auf, dass die "niedrig hängende Frucht" (z. B. die einfachste zu implementieren und die mit der größten Reichweite) "Feste Kennwörter verwenden" und "Kontosperrungsrichtlinie festlegen" wäre Wenn es ein eindeutiges Kennwort mit 10 Zeichen und eine Drei-Minuten-Sperrfrist für drei Versuche gibt, unabhängig davon, ob jemand Zugang zu den Ports hat, würde er nicht wirklich die Zeit haben, sich auf diese Weise brutal zu erzwingen. Wäre es aus Ihrer Sicht ausreichend, nur diese beiden Elemente einzustellen? sam vor 6 Jahren 0
Es kann niemals eine Antwort auf die Frage "Was ist genug" geben. Es hängt alles von den Angriffsvektoren ab, vor denen Sie schützen möchten. Diese beiden Maßnahmen stellen einen guten Schutz gegen Brute-Force-Angriffe dar, aber sie helfen beispielsweise nicht gegen den Benutzer, der seine Berechtigungsnachweise auf einem Aufkleber platziert. harrymc vor 6 Jahren 0
3
PatrikN

Basierend auf den aktuellen Informationen sind meine Empfehlungen:

  • Durch das Einrichten eines SSH-Tunnels erhalten Sie eine zusätzliche Authentifizierungsebene, in der Sie einen anderen Benutzernamen / ein anderes Kennwort oder eine Authentifizierung mit einem öffentlichen Schlüssel zum Anmelden verwenden können. Sie können auch ermöglichen, Verschleierung, mit einem völlig anderen Passwort, wie man wollte. Auf diese Weise wird es auch für jemanden schwieriger, den Datenverkehr zu überwachen, um sogar zu sehen, dass es sich um SSH handelt - und um eine Verbindung herzustellen, benötigen beide das Kennwort und das von Ihnen eingerichtete SSH-Login. Hinzu kommt, dass es RDP-Datenverkehr gibt, der ebenfalls verschlüsselt ist.

    Auf der Windows - Maschine können Sie installieren Bitvise SSH Server und auf dem Mac, können SieFügen Sie dem eingebauten OpenSSH mit einigen Pfaden von ZingLau Unterstützung für Verschleierungen hinzu .
  • 2FA könnte möglich sein, aber es wird nicht leicht oder frei sein. Für die integrierte Smartcard-Anmeldung ist eine Windows Active Directory-Domäne erforderlich. Es gibt jedoch Lösungen von Drittanbietern für eigenständige Computer. EIDAuthenticate unterstützt RDP und ist in einer kostenlosen Open-Source-Version verfügbar, jedoch nur für die Home-Edition (sie denken jedoch über ein "Heimgebrauchsprogramm" nach, so dass die Kontaktaufnahme sie möglicherweise beschleunigt). In Ihrem Fall reicht es jedoch möglicherweise nicht aus, da es nur für Windows ist und Sie von einem Mac aus eine Verbindung herstellen.
  • Eingehende Verbindungen auf LAN zu beschränken, ist in der Windows-Firewall problemlos möglich .
  • Allgemeine Dinge wie sichere Kennwörter und das Aktualisieren aller Computer sollten natürlich durchgeführt werden. Ich empfehle außerdem, getrennte Benutzer- und Administratorkonten zu haben und nur den (unprivilegierten) Benutzerkonten die Anmeldung über RDP zu erlauben, sodass sich das Administratorkonto lokal anmelden muss.
  • Das nächste, was ich mir anschauen würde, wäre die Sicherheit der Clients, die eine Verbindung herstellen, denn wenn sie kompromittiert werden, hilft all die anderen Dinge, die Sie eingerichtet haben, nicht viel . Ich spreche jedoch von allgemeinen Sicherheitsgrundsätzen, deshalb werde ich nicht ins Detail gehen.
0
William

Dieses Szenario ist mit WebADM von RCDevs möglich, das sogar bis zu 40 Benutzer frei ist.

  1. Ein Passwort, das sich von dem Benutzernamen unterscheidet, der für die Anmeldung verwendet wird, wenn der Computer physisch verwendet wird.

Ja, WebADM verwendet LDAP, ActiveDirectory ... Sie können also einen anderen Benutzernamen / ein anderes Passwort verwenden.

  1. Zwei-Faktor-Authentifizierung.

Ja, Sie können TOTP, HOTP mit Hardware / Software Token, E-Mail und SMS verwenden.

  1. Beschränken Sie alle eingehenden Verbindungen auf Maschinen, die sich in demselben LAN befinden.

Ja, Sie können Client-Richtlinien definieren.

  1. Es wird 3 Computer geben, die sich mit dem Host verbinden, meistens Macs.

Ja, Sie können das Credential Provider Plugin für Windows oder OSX mit Offline-Authentifizierung installieren.