ComputerBase Menü
Aktuelles

RDP einschränken

N

Newbie80

Cadet 3rd Year
Registriert
Nov. 2016
Beiträge
36
Hallo zusammen,

hat jemand von euch eine Idee wie man die Auswahl der Lokalen Ressourcen in einem RDP-Verbindungsfenster abschalten kann? Unsere User sollen sich nicht die lokalen Laufwerke in eine RDP-Session einbinden können. Die Zwischenablage kann man ja deaktivieren, so dass sich hier niemand per Copy und Paste was aus dem RDP-Session auf sein Rechner kopieren kann. Nur bekomme ich das Laufwerke mappen nicht deaktiviert. Hier kann der User welcher die RDP-Session startet, einfach Dateien ins LAN kopieren (durch das Mappen der Laufwerke).

Gruß
 
Wieso sollte man da RDP einschränken, das macht man auf den Netzwerkressourcen durch entsprechende Berechtigungen.

Grüsse

Gulp
 
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Geräte- und Ressourcenumleitung und dort "Laufwerkumleitung nicht zulassen" aktivieren.

Oder in jeder RDP Datei per Editor/Notepad das devicestoredirect ausschalten: https://www.donkz.nl/overview-rdp-file-settings/
 
1.gif

Hier kannst du alle nötigen Einstellungen setzen, entweder lokal durch gpedit.msc, oder aber per Gruppenrichtlinie auf mehrere Server.

EDITH:
Firexs war schneller... :rolleyes:
 
Hallo zusammen,

danke für die Antworten. Einige unsere User benötigen RDP um einen Server in einem fremden Netz fernzusteuern. Hier ist das Problem, dass die Einstellungen auf dem im fremden Netz befindlichen Server getroffen werden müssen. D.h. unsere User können sich ihre Laufwerke auf dem im fremden LAN befindlichen Server/Client einbinden und fröhlich Dateien hin und her transferieren. Das ist halt eine Sicherheitslücke welche geschlossen werden müsste.

In der registry kann ich die Zwischenablage per Key deaktivieren, so dass diese nicht konfiguriert bzw. eingeschaltet werden kann. Das mit den Laufwerken geht weder in den lokalen noch in den GPOs (da es eine Hostseitige Einstellung ist)

oder hab ich hier ein Denkfehler? Bzw. wie händelt ihr das?
 
Du hast also keine Rechte auf diesem Server? Die notwendigen Einstellungen kannst du nur am Server selbst setzen, was ja eigentlich auch Sinn macht.
 
Genau. Und dadurch ist es sehr problematisch wenn der Anwender sich seine Laufwerke verbinden kann. Mich wundert es nur das ich in der Registry die Zwischenablage auf dem Client welcher die RDP Session startet, deaktivieren kann (unter HLKM, so kann der Anwender dies auch nicht mehr aktivieren), aber das Laufwerke Mappen bzw. den Punkt "weitere" nicht deaktivieren kann. :-(
 
Aber wer administriert denn diesen Server? Normalerweise sollten die Admins dort doch solche Einstellungen treffen aus Sicherheitsgründen. Deine Leute könnten ja auch Daten bei denen in's Netz einschleusen...

Eine Client-Seitige Einstellung, die das ganze auch wirklich verhindert, kenne ich nicht. RDP-Verknüpfungs-Einstellungen kann der User ja manuell ändern, wenn mich nicht alles täuscht.

Ein anderer Weg wäre dann halt, nicht die Windows-Mittel zu nutzen, sondern eine administrierbare Terminal-Software. Da kannst du solche Dinge deutlich besser und leichter verwalten.
 
Der Server bzw. ein Windows Client steht in der DMZ und hat keine Verbindung ins LAN, dafür aber freier Zugriff auf das www. Die User haben auf Ihren Clients nur Benutzerrechte. Möchte ein User ein Websession machen, kann er sich kein PlugIn usw. installieren. Auch ist der Download von ausführbaren Dateien unterbunden (ergo kein Download von exe bzw. Plug In usw. möglich). Nun müssen die User aber an Websessions teilnehmen. Somit sollte der Client in der DMZ als freier "Internet PC" dienen, an dem die User alles machen können. Und hierauf wird der Zugriff vom Arbeitsplatz aus benötigt.

Weißt du was ich meine?
 
Ich weiß, was du meinst. Aber ich verstehe nicht wirklich, warum du auf diesem "Internet PC" dann nicht einfach die Einstellung vornimmst, wie ich sie oben gepostet habe.
Um genauer zu sein "Laufwerksumleitung nicht zulassen".
 
Wenn ich die Einstellungen auf dem Internet-PC so vornehme und der User Admin-Rechte hat (um PlugIns für Websessions usw. zu installieren), dann kann dieser sich auch die lokale Richtlinie selbst einstellen und die Änderung bzw. das verbinden der Netzlaufwerke aus dem geschützten Bereich ermöglichen.
 
Dann solltet ihr mal euer gesamtes Konzept überdenken.
 
In wie fern überdenken? Somit würden wie das LAN interne Netz schützen und den Anwender die Möglichkeit geben, an Websessions usw dran teilnehmen zu können. Dein letzter Beitag macht kein Sinn
 
Du willst den User auf dem Internet-PC einschränken, wo er Admin-Rechte hat. Das ergibt schlicht keinen Sinn.
 
Naja nur weil man sich nicht die Netzlaufwerken Mappen kann und somit Daten von dem Internet PC ins LAN holen kann, heißt das ja nicht das die User auf dem PC eingeschränkt werden! Im Gegenteil. So können User auf dem Internet PC uneingeschränkt surfen / WebEx Komponente installieren, ohne das in das schützenswerte Netz eine Verbindung in Sachen Netzlaufwerke Mappen o.ä. besteht. Wieso ergibt genau das kein Sinn?

Was macht ihr bei euren Usern wenn diese unterschiedliche Websessions nutzen müssen und sich dafür PlugIns installieren müssen oder gar Files durch so Websessions ins LAN übertragen werden können. Legt ihr da keinen Wert auf Sicherheit? Downloads sind aus Sicherheitsgründen unterbunden (Ausführbare Dateien - PDF sind erlaubt) und die 900 User haben natürlich keine Adminrechte. Erlaubt man z.B. WebEx, dann kann darüber ausführbare Dateien transferiert werden (hier spreche ich vom schützenswerte LAN) und nicht vom dem Internet PC in der DMZ(VM)
 
Zuletzt bearbeitet:
User installieren bei uns grundsätzlich keine software selbst und haben erst recht keine adminrechte auf PCs die am internet hängen. Wenn webex gebraucht wird, wird es bereitgestellt. Jedenfalls ist es prinzipiell so wie gesagt wurde, du kannst es serverseitig unterbinden, wenn du hier benutzern aber adminrechte einräumst können sie diese Einschränkung natürlich aufheben.

Ich weiß nicht warum du deine dmz kiste für die Verbindung zu kunden als weniger schützenswert erachtest....die kunden sind euer/dein kapital! Was ich mich auch frage, ihr traut euren Mitarbeitern zu die lokalen sicherheitskonfigurationen zu manipulieren aber gebt ihnen adminrechte? Euer Konzept ist einfach schrott

Seis drum, Möglichkeiten die mir einfallen würden:
- du machst eine dmz Domäne und regelst dadurch die Richtlinie aber auch hier kann ein lokaler admin (mit etwas mehr aufwand als mit der lokalen Richtlinie) diese Richtlinie aushebeln
- du lässt nur noch zugriffe über remoteapps (weiß grad gar nicht ob das ohne Domäne machbar ist?) zu und definierst dort dass kein Laufwerks redirect stattfinden darf...auf den lan clients erlaubst du nur signierte rdp verbindungsdateien. Aber auch hier, innerhalb der remoteapps haben die leute adminrechte und mit etwas geschick kann dieser admin dann die Konfiguration aushebeln
- ihr blacklisted so die üblichen Anwendungen welche zur manipulation der konfig genutzt werden kann (reg, regedit, taskmgr, cmd, mmc usw.). Eine blacklist ist aber eben eine blacklist und nie vollständig.

Naja in summe wird der weg egal wie mans macht mit adminrechten immer nur erschwert und nicht gänzlich verhindert
 
Ich glaube ihr sollte mal dringend euer Konzept überdenken wenn ihr WebEx und co zulasst. Den so können Daten übertragen werden selbst wenn das in den Firewall unterbunden ist. Das ist einfach eine Sicherheitslücke und zeigt das manche sich hier keine Gedanken machen. Nicht umsonst ist das Ergebnis unseres Pentestes überdurchschnittlich gut.

Und nochmal damit du es vielleicht besser verstehst:

WebEx und Co erlaubt in dem aufgebauten Tunnel ein Dateitransfer. Egal ob Exe oder Sonstwas kannst du dir in dein LAN übertragen. Um genau diese Lücke zu schließen kommen wir nochmal auf folgende Konstelation zurück.

1. LAN PC an dem der Anwender arbeitet
2. PC in DMZ welcher über die PaloAlto über unseren DSL Anschluss raus geht (und nicht über die Company Anbindung - wird in der Palo geroutet) welcher Aber in unserer DMZ als VM läuft)

Und genau hier soll der Anwender auf die VD in der DMZ gehen können und an Websessions (SAP, Fastviewer, Adobe) eigenständig teilnehmen können. Ohne das dieser immer sich an die IT wenden muss. Und ohne das hier Daten ins LAN übertragen werden können.

Aber wir brauchen ja hier nicht streiten oder sonstwas. :-)
 
Zuletzt bearbeitet:
Du hast gefragt wie das andere handhaben...ob nun dmz oder lan, bei uns wird software bereitgestellt und niemand surft mit adminrechten ob lan oder dmz. Letztlich weiß man doch welche software genutzt wird und da muss auch nicht ständig irgendwer mit der it in kontakt treten - bzw ihr wisst es vermutlich nicht weil die Anwender in eurer dmz scheinbar machen was sie wollen.

Ansonsten wie gesagt, eine lösung für dein problem gibt es nicht weil euer Konzept das nicht zulässt...ihr versucht ein system vor jemandem abzusichern dem ihr vollständige kontrolle über genau jenes system gebt -> nicht möglich.
 
Zuletzt bearbeitet:
na klar surft niemand mit Admin rechten. Und Software wird auch per Softwareverteilung verteilt. Du stellst aber WebEx bereit und ermöglichst so den Transfer jegliche Dateien in euer LAN zu übertragen. Das ist mehr als unsicher.

Und genau deswegen bekommt der Anwender die Möglichkeit über eine Vd in der DMZ WebEx selbst einzuleiten. Von seinem PC im LAN aus. Ohne Dateitransfer. Die vd wird über ein separates DSL Netz (0815 DSL Anschluss) geroutet. Ohne Anbindung an unser LAN. Und genau von dem PC im LAN aus sollte per Rdp auf die VD zugegriffen werden. Nur hier ist das Mappen der Laufwerke nicht zu unterbinden wenn der Anwender Admin auf der DSL VD ist. Auf der kann er machen was er will. Die hat nix mit dem LAN intern zu tun.

Wie macht ihr das? Erlaubt ihr WebEx im LAN? Unser Konzept unterbindet das weil der Dateitransfer hier möglich ist.

Ergo - ein hop im 0815 DSL Netz. - nur per rdp ist das Laufwerk mappen möglich. Ich glaub wir müssen mal telefonieren? Austausch von Informationen?
 
Remotelösungen sind bei uns generell nicht dauerhaft erlaubt, wenn es bedarf gibt wird es nach Genehmigung für einen fest definierten Zeitraum für den entsprechenden Benutzer freigegeben allerdings ist das bei uns ein eher seltener fall. Trotzdem sind alle rechner mit denen gearbeitet wird, egal ob dmz oder lan immer managed und nicht unmanaged und das ist eben was bei euch in der dmz offenbar fehlt, das ist kein verwaltetes system.

Surfen die Leute auf eurer DMZ Kiste nicht? Woher kommt denn das zeug das die user installieren? Warum stellt ihr da nicht die entsprechenden Lösungen bereit welche die Leute brauchen damit ihr ihnen auf der dmz kiste keine adminrechte geben müsst (was sowieso sicherer wäre)? Dann hättet ihr auch kein Problem damit das durchreichen der Laufwerke zu unterbinden bzw müsstet euch nicht darüber sorgen dass eure Anwender die entsprechenden Richtlinien wieder ihren wünschen entsprechend manipulieren.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

HighDev
RDP: Copy/Paste auf Remoterechner (Remote -> Remote) nicht mehr möglich
Antworten
7
Aufrufe
1.062
HighDev
HighDev
M
PC als NAS
Antworten
13
Aufrufe
1.344
Manfred.W
M
retho
Firefox 98.0 und *.rdp
2
Antworten
32
Aufrufe
5.870
kim88
kim88
F
RDP einschränken
Antworten
3
Aufrufe
2.655
snaxilian
S
Dr. Klenk
  • Artikel
Anleitung: Windows-Apps "nativ" auf dem Mac nutzen (Lösung per RDP)
Antworten
18
Aufrufe
3.711
Dr. Klenk
Dr. Klenk
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz