RDP-Sitzung via VPN auf unregelmäßig gewartetem Rechner sicherheitskritisch?

[sinkpäd]

Bin absolut kein Security-Experte, daher entschuldigt bitte die Frage.

Bei uns arbeiten zwei Personen sporadisch im Homeoffice. Realisiert wird das über einen auf OVPN basierenden Client der Fa. Watchguard (Hersteller unserer HW-Firewall) und einer RDP-Sitzung zu unserem Windows Server 2016 (Terminalserver). Die Rechner werden zwar von uns gestellt, aber meines Wissens wird da von Seiten unseres Systemhauses nicht sichergestellt, ob die Rechner regelmäßig aktualisiert und überprüft werden.

Klar, Windows 10 aktualisiert sich ja ohnehin weitestgehend selbst und den Windows Defender gibt es ja auch noch, aber wie schätzt Ihr generell das Risiko ein, dass etwaige Schadsoftware auf den Rechnern evtl. entweder via VPN oder die RDP-Sitzung selbst den Server kompromittieren könnte?

 

[Rego]

Ist das VPN direkt in euer internes Netz geroutet oder lässt ihr die VPN-Clients in einem speziellen Netz, welches nur zu eurem RD-Server verbindet?

 

[Kyze]

Dass das selber was draufkommt halte ich für relativ gering.
Sollte da was passieren, ist zu 95% der User das Problem gewesen.

Trotzdem solltet ihr mit eurem Systemhaus aushandeln, dass die Systeme gewartet werden. Oder ihr macht es halt selbst. Alle 14 Tage mal Windows-Update und Reboot sind ja nun kein Aufwand.

 

[h00bi]

Da ein RDP-User i.d.R. eigentlich nur extrem kastrierte Rechte hat (er darf ja nichts machen was die anderen User auf dem Host beeinflusst) ist das eigentlich kein Problem.
Ggf. sollte man den Usern noch verbieten lokale Laufwerke in der RDP Sitzung zu mappen.

Das betrifft ja aber nur den Server bzw. die RDP Sitzung selbst. Der "Fremd-PC" verbindet sich ja per VPN auch mit dem Netz.

 

[Masamune2]

Theoretisch besteht die Gefahr das ein Schädling auf den Home Office Rechnern eine Sicherheitslücke im RDP Server ausnutzt und sich darüber ins Firmennetz weiterhangelt. Solche Lücken gab es immer wieder und ebenso Schädlinge die diese Ausnutzen.
Absolut gesehen ist die Gefahr aber zugegebenermaßen sehr gering.
Am einfachsten wäre es die Server einfach zu patchen, das ist nicht mehr als ein Neustart Nachts, das sollte in den meisten Fällen kein großes Problem sein.

 

[sinkpäd]

Danke für die Antworten! Der Server selbst wird natürlich ständig überwacht und aktualisiert, nur die Clients bei den Mitarbeitern daheim eben nicht.

Ist das VPN direkt in euer internes Netz geroutet oder lässt ihr die VPN-Clients in einem speziellen Netz, welches nur zu eurem RD-Server verbindet?

Das müsste ich mal nachfragen. Wollte da bisher kein Fass aka "da kommt wieder der nicht-ITler ums Eck und stellt unsere Arbeit in Frage" aufmachen

Dass das selber was draufkommt halte ich für relativ gering.
Sollte da was passieren, ist zu 95% der User das Problem gewesen.

Genau darum geht es mir, da man nicht überwachen kann, was die Mitarbeiter sonst so mit den Rechnern machen. Auch ein privates Nutzungsverbot hilft außer einem etwaigen Schadenersatzanspruch nicht viel, wenn ein Schaden entstanden ist.

 

[Masamune2]

Der Server selbst wird natürlich ständig überwacht und aktualisiert, nur die Clients bei den Mitarbeitern daheim eben nicht.

Dann ist alles gut. Solange die Lücken auf Serverseite regelmäßig geschlossen werden kann der Client ja verseucht sein, der Server ist immun.

Das müsste ich mal nachfragen.

Kannst du dir sparen, spielt nämlich keine Rolle.

 

[Wilhelm14]

Viele Hochschulen lassen sich ja auch per VPN erreichen. Denen ist es "egal", was mit dem Client ist. Es kommt darauf an, was der Client darf, welche Rechte man ihm einräumt.

 

[Luki1992]

Ich würde dir auch empfehlen die VPN Verbindung in ein eigens dafür angelegtes Netzwerk zu machen.
Dann machst du von dem Netzwerk nur den RDP Port auf und sonst gar nichts. Ausserdem solltest du auf der Watchguard die Sicherheitsfunktionen wie Antivirus aktivieren. Wenn die Leistung nicht ausreicht eventuell nur auf der Verbindung zu den VPN Clients.

Es sollte dem Nutzer nicht möglich sein Daten über RDP zu kopieren, kann man aber einfach einschränken.

Für das Management der "Remote" Clients gibt es viele Lösungen. Da müsst ihr euch nur etwas aussuchen und schon habt ihr wieder Kontrolle über die Clients.
Ich persönlich habe schon Solarwinds MSP Remote Monitoring & Management genutzt.

 

[FooFighter]

Wollte da bisher kein Fass aka "da kommt wieder der nicht-ITler ums Eck und stellt unsere Arbeit in Frage" aufmachen

Dann wende Dich doch an den IT-Sicherheitsbeauftragten in Eurem Unternehmen. Entsprechende VPN Konzepte zu bewerten und analysieren ist seine Aufgabe.

Und jeder IT´ler der seinen Job gerne macht, sollte zugänglich für derartige Rückfragen sein. Ich wäre froh, wenn mich jemand auf Schwachstellen aufmerksam macht, für die ich ggf. verantworlich bin. Und am besten dann, wenn noch kein Schaden entstanden ist.

 

[snaxilian]

Wenn die PCs der Mitarbeiter vom Unternehmen gestellt werden dann gehören die auch von euch gemanaged. So etwas kann man wunderbar mit Microsoft Intune managen und nennt sich conditional access. Da kannst du Bedingungen festlegen und nur wenn die erfüllt sind, wird z.B. die VPN- oder RDP-Verbindung erlaubt oder nicht.

Das könnte z.B. sein:

• Benutzeraccount der laufenden Session ist nur ein unprivilegierter Benutzer
• Letzte Installation von Updates ist maximal X Wochen her wobei X die maximale Zeit zwischen zwei Windows Patchdays zzgl. einer Woche oder so sein kann.

Sind beide Bedingungen erfüllt dann erlaube eine Verbindung. Zusätzlich kann man mit den jeweiligen Mitarbeitern eine Betriebsvereinbarung treffen die eben besagt dass er nur mit dem eingerichteten (unprivilegierten) Benutzer arbeiten dürfen und selbst binnen Zeitraum Y Updates einspielen müssen. Die Intune Regeln dienen dann nur dazu dies sicher zu stellen.

 

[Rego]

Man könnte zudem auf Clientseite mit Verschlüsselung der HDD und dem Kioskmode, in dem nur die Remotedesktopanwendung gestartet werden darf, arbeiten.