ComputerBase Menü
Aktuelles

RDP & VNC Viewer

M

MagnusMagNuss

Cadet 4th Year
Registriert
Apr. 2019
Beiträge
88
Grüßt euch,


kurze Frage zum RDP von Windows & VNC Viewer.

Wie kann ich mich schützen, wenn ich mich über RDP auf VPS verbinde? Sollte ich etwas beachten? Ich bin generell vorsichtig bei solchen Sachen.

Und ist VNC Viewer von RealVNC sicher? Sollte man da vorher auch irgendwelche Einstellungen vornehmen? Möchte nicht, dass ein Datenaustausch erfolgt. Ich will einfach nur über VNC auf den Windows Server zugreifen, mehr nicht.

Wie merke ich, dass mein PC angreifbar ist und sich jemand drauf connecten kann? Habe ganz wilde Storys gelesen, dass manche VNC Viewer verwendet haben und dann später gehackt worden sind, weil die Verbindung nicht sicher war etc. etc. Ist aber von 2007 xD

Was ich jetzt soweit gemacht habe:
Port 3389 ist nicht an, habe ich über cmd -> netstat gecheckt
Remotedestktopeinstellungen --> deaktiviert
bei RDP habe ich Laufwerk etc. alles rausgenommen ,damit kein Datentransfer stattfinden kann bzw meine Laufwerke nicht offen sind.

Was kann ich bei VNC Viewer unternehmen?
 
Fahr den Server herunter und verkauf ihn wieder bzw. kündige den Vertrag. Erst etwas installieren und sich danach(!) Gedanken machen ist so.... ach komm Autovergleich: Du kaufst dir doch auch nicht erst nen Auto und merkst danach, dass du eigentlich nen Führerschein brauchst.

1. RealVNC ist nur eins von gefühlt hunderten Programmen, die das Protokoll VNC verwenden.
2. Welche Version von RealVNC verwendest du? Manche der älteren noch kostenlos nutzbaren Varianten sind gänzlich unverschlüsselt.
3. Man kann auch RDP (halbwegs) sicher konfigurieren indem man RDP over TLS verwendet und v.a. TLS korrekt und zeitgemäß konfiguriert. Besser wäre noch ein RDS Gateway aber ich bezweifel, dass du für die dafür notwendigen Voraussetzungen das Kleingeld hast.
4. Es ist maximal kontraproduktiv wenn du sagst du verwendest Windows Server. Welchen denn? 2003? 2008? 2008 R2? 2012? 2012 R2? 2016? 2019? Standard bzw. Desktop Edition, Nano oder Core?
5. Was willst du mit dem Server erreichen/anstellen und warum muss der im Internet erreichbar sein?
6. Jedwede administrativen Zugänge sollten eigentlich nie aus dem Internet erreichbar sein.. Dafür hat der Mensch Lösungen wie VPNs erfunden. Bei nur einem Server müsstest also ein VPN-Serverdienst da installieren, VPN Nutzung nur für einen dedizierten unprivilegierten Benutzer und RDP ist nur auf dem VPN Interface erlaubt. So würde ich das aktuell lösen wenn man zu geizig ist, es besser zu machen.
7. https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines Baselines sind die Grundlage also das absolute Minimum was eigentlich mindestens umgesetzt sein sollte bevor(!) ein System auch nur ans Internet denken sollte. Ich sage explizit Minimum weil es damit nicht getan ist, damit hast du lediglich eine Grundlage.

Hast du das alles verinnerlicht, gelesen, verstanden und umgesetzt können wir weiter diskutieren wie wir dir helfen können.
 
  • Gefällt mir
Reaktionen: ChristianSL
snaxilian schrieb:
Fahr den Server herunter und verkauf ihn wieder bzw. kündige den Vertrag. Erst etwas installieren und sich danach(!) Gedanken machen ist so.... ach komm Autovergleich: Du kaufst dir doch auch nicht erst nen Auto und merkst danach, dass du eigentlich nen Führerschein brauchst.

1. RealVNC ist nur eins von gefühlt hunderten Programmen, die das Protokoll VNC verwenden.
2. Welche Version von RealVNC verwendest du? Manche der älteren noch kostenlos nutzbaren Varianten sind gänzlich unverschlüsselt.
3. Man kann auch RDP (halbwegs) sicher konfigurieren indem man RDP over TLS verwendet und v.a. TLS korrekt und zeitgemäß konfiguriert. Besser wäre noch ein RDS Gateway aber ich bezweifel, dass du für die dafür notwendigen Voraussetzungen das Kleingeld hast.
4. Es ist maximal kontraproduktiv wenn du sagst du verwendest Windows Server. Welchen denn? 2003? 2008? 2008 R2? 2012? 2012 R2? 2016? 2019? Standard bzw. Desktop Edition, Nano oder Core?
5. Was willst du mit dem Server erreichen/anstellen und warum muss der im Internet erreichbar sein?
6. Jedwede administrativen Zugänge sollten eigentlich nie aus dem Internet erreichbar sein.. Dafür hat der Mensch Lösungen wie VPNs erfunden. Bei nur einem Server müsstest also ein VPN-Serverdienst da installieren, VPN Nutzung nur für einen dedizierten unprivilegierten Benutzer und RDP ist nur auf dem VPN Interface erlaubt. So würde ich das aktuell lösen wenn man zu geizig ist, es besser zu machen.
7. https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines Baselines sind die Grundlage also das absolute Minimum was eigentlich mindestens umgesetzt sein sollte bevor(!) ein System auch nur ans Internet denken sollte. Ich sage explizit Minimum weil es damit nicht getan ist, damit hast du lediglich eine Grundlage.

Hast du das alles verinnerlicht, gelesen, verstanden und umgesetzt können wir weiter diskutieren wie wir dir helfen können.
Zum Vergrößern anklicken....

Also, ob der VP Server sicher ist, oder nicht ist mir im Grunde scheißegal. Ich lasse da absolut unwichtige Sachen drüber laufen.
Ich möchte nur, dass mein Rechner daheim über den ich auf den VPS zugreife sicher ist und nicht angreifbar sein sollte.
Einen Server habe ich übrigens noch nicht gekauft, würde gar keinen Sinn ergeben. Darum informiere ich mich vorher logischerweise auch.
 
Zuletzt bearbeitet:
Du hast einen Server gemietet, mit deinem Namen und wenn du in die AGBs des Anbieters schaust wirst du fest stellen, dass du haftest. Wird dein Server von Dritten übernommen und für Spam, Bots, etc missbraucht dann haftest du mit deinem Geld oder schlimmerem.
Wenn du so ein boohoo um deinen PC zuhause machst: Setz dir ne VM auf, die du nur startest um den Server zu administrieren und gib dieser VM Internetzugriff aber keinen Zugriff auf andere Systeme in deinem Netzwerk. Erfordert aber ggf. bisschen Gebastel zuhause damit das klappt. Musst halt ausgehende Verbindungen ins LAN außer zum Router blocken, nicht als Admin arbeiten, etc)
 
snaxilian schrieb:
Du hast einen Server gemietet, mit deinem Namen und wenn du in die AGBs des Anbieters schaust wirst du fest stellen, dass du haftest. Wird dein Server von Dritten übernommen und für Spam, Bots, etc missbraucht dann haftest du mit deinem Geld oder schlimmerem.
Wenn du so ein boohoo um deinen PC zuhause machst: Setz dir ne VM auf, die du nur startest um den Server zu administrieren und gib dieser VM Internetzugriff aber keinen Zugriff auf andere Systeme in deinem Netzwerk. Erfordert aber ggf. bisschen Gebastel zuhause damit das klappt. Musst halt ausgehende Verbindungen ins LAN außer zum Router blocken, nicht als Admin arbeiten, etc)
Zum Vergrößern anklicken....

ok, nice das hat mir weiter geholfen. Auf die Idee mit der VM hätte ich auch kommen können :D

Und eine letzte Frage: wie bemerkt man, dass sein PC angegriffen wird oder irgendwie infiziert wurde über eine unsichere Verbindung mit RDP oder RealVNC? Zeigt das ein einfaches Antiviren-Programm wie Windows Defender an? Und wie könnte ich dann aktiv danach suchen, ob mein Pc betroffen ist.
Also, ob mein "Main Pc" irgendwas abbekommen hat während des Zugriffs auf den VPS .
 
Zuletzt bearbeitet:
Host Intrusion Detection bzw. Host Intrusion Prevention Systeme/Lösungen ist das Zauberwort. Aber wenn du es "bemerkst" ist es zu spät. Punkt. Auch ist ein IDS/IPS keine installieren-weiter-weiter-fertig klickibunti Lösung sondern erfordert Einarbeitung und Feintuning.
Denn das sind die Sahnehäubchen on top vieler anderer deutlich sinnvollerer Security Konzepte wie minimal rights prinzip, für jeden Dienst und Programm ein eigener unprivilegierter User, UAC aktiv und auf hoher/höchster Stufe, etc.
 
wie bemerkt man, dass sein PC angegriffen wird oder irgendwie infiziert wurde über eine unsichere Verbindung mit RDP oder RealVNC?
Zum Vergrößern anklicken....
Im schlimmsten Fall gar nicht. Im besten Fall, wenn sich die Maus bewegt :D
Du kannst die Ports blockieren. Ändert man den Standardport, ist das schon Käse.
Application-Control wäre dann noch möglich. Klassifizierte Applikationen. Beschränkt sich aber meist auch auf BEKANNTE Applikationen/Protokolle/Ports.... schreibt man sich selbst etwas, könnte man Daten über HTTP abgreifen. Also auch Käse. Whitelisting? Also Neuinstallation, Whitelist erstellen und JEDE systemseitige Änderung mitloggen? Unrealistisch, wenn auch machbar (Data Loss Prevention Lösungen)!

Jeder könnte sich ein Skript schreiben, das langsam und stetig Daten von A nach B verschiebt. Dann kommt sowas nur raus, wenn Du den Traffic analysierst. Sprich: Quelle/Ziel (wichtiger) in Kombination mit der Datenmenge.

Ich denke das Hauptproblem dürfte weniger deine VNC/RDP Panik sein (wenn die Standardports bereits nach EXTERN geblockt sind), sondern eher jegliche Software/Seitenaufrufe die so im Hintergrund passieren.
Wenn Windows hochfährt, hat man kurz ungeschützten Zugriff, bis dann mal die Dienste starten.
Du kannst ja mal mittracen, ohne Internetverbindung und wirst dich wundern welche Server bereits bei einem einfachen Hochfahren des Servers/Clients kontaktiert werden.
Achso... Prozesse lassen sich ganz gut mit dem processexplorer durchleuchten.
Hab ich schon einige male benutzt um querschießende Prozesse zu identifizieren, wo ich dachte dass sich vielleicht etwas eingenistet hat. Über den Taskmanager keine Chance...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Remote Desktop Verbindung auf eine Linux Mint VM auf Proxmox
Antworten
8
Aufrufe
2.121
omavoss
O
simp^ty
Von Windows auf Lubuntu Desktop zugreifen
Antworten
14
Aufrufe
862
simp^ty
simp^ty
F
RDP-Verbindung zum Hauptnutzer (MS-Konto) funktioniert nicht
Antworten
7
Aufrufe
548
Frieda3
F
D
FritzBox Wireguard Handshake nicht möglich
Antworten
17
Aufrufe
1.140
DonWulfo
D
HighDev
RDP: Copy/Paste auf Remoterechner (Remote -> Remote) nicht mehr möglich
Antworten
7
Aufrufe
972
HighDev
HighDev
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz