Windows Server 2019 RDP sicher einrichten und lizensieren

[[LAVA]ONE]

Hallo,
ich bin gerade dabei einen Remotearbeitsplatz einzurichten...

Hierzu habe ich bei Hetzner einen Server gemietet und diesen via kvm Konsole mit Windows Server 2019 installiert.
Ziel ist es für 2 User Accounts und 1 Admin Account Remote Arbeitsplätze bereitzustellen. Zeitgleich werden maximal 2 Accounts genutzt.
Ich bin was Server angeht eigentlich eher in der Linuxwelt zuhause...
Und von Serverrollen, Domänencontroller und allem was der Server Manager anbietet etwas überfordert...

Jetzt lese ich dass das einfache Zulassen von Remoteverbindungen über den Standard port mit dem Server als unsicher zu bezeichnen ist.
Aber wie stelle ich denn einfach möglichst sichere Remotearbeitsplätze zur Verfügung?

Klar könnte ich jetzt um die RDP Verbindungen Abzusichern ein VPN einrichten und die RDP Verbindungen nur durch das VPN zulassen. Aber ist es denn nicht möglich in Windows Server 2019 mittels Bordmitteln 2 Remotearbeitsplätze mit Office und einfacher Anwendersoftware sicher bereitzustellen?

Ich habe gelesen dass bei Windows Server 2019 2 Administrator RDP Sitzungen ohne zusätzliche Lizenzen möglich sind, aber gilt das auch für normale User? Brauche ich User CAL's und wenn ja, wie muss ich das alles einrichten?

MfG
[LAVA]ONE

 

[FranzvonAssisi]

Ob du CALs brauchst, hängt davon ab, welche Version von Windows Server 2019 du installiert hast. (Essentials, Standard, Datacenter, Hyper-V)

Zum Thema Sicherheit: Ein Setup nach diesen Schritten ist definitiv ausreichend gesichert: https://superuser.com/a/1344231

Lg

 

[[LAVA]ONE]

Es wurde eine Windows Server 2019 Datacenter Lizenz angeschafft....

Also brauche ich CALs auch bei nur 2 gleichzeitigen Sitzungen?

 

[McClane]

Von ausreichend gesichert kann da keine Rede sein. Der Server bleibt ja weiterhin direkt angreifbar von jedem Gerät auf dem Planeten. Ohne wenigstens ein VPN davor würd ich das nicht betreiben.
Die 2 Admin Sitzungen sind genau das, Sitzungen für den Admin. Also zur Verwaltung und Pflege des Servers. Nicht zum Arbeiten für die Benutzer. So steht es in der EULA.
Geht es überhaupt noch einen Terminal Server auf einer einzelnen Maschine ohne Domäne zu betreiben? Ich meine die RDS Rolle erfordert seit 2012 eine Domäne. Ist schon lange her das ich so ein kleines Setup mal betrieben habe.

Es gibt keine Concurrent CALs bei RDS. Für 2 User brauchst du 2 Lizenzen. Also RDS Lizenzen entweder als User oder Device Cals. Und du brauchst auch noch User CALs für den Zugriff auf Windows Dienst, wenn bei 2019 nicht noch 5 enthalten sind.

 

[timetraxx]

Vielleicht ist TSplus ein Alternative zum Bsp. 5 User für kleines Geld. Läuft sehr stabil und sichert die RDP Sitzung ab.

 

[0x8100]

Zum Thema Sicherheit: Ein Setup nach diesen Schritten ist definitiv ausreichend gesichert: https://superuser.com/a/1344231

Lg

wir hatten gerade erst eine pre-auth lücke in rdp. betraf dieses mal nicht win10, aber beim nächsten mal hat der TE dann nicht soviel glück. rdp gehört nicht direkt ans netz.

 

[[LAVA]ONE]

@McClane
So habe ich das auch gelesen, aber auch einem Admin muss es ja gestatttet sein Anwendungssoftware zu verwenden... Sonst führt das ja die ganze Server lizenz in meinen Augen ad absurdum wenn ein Server zwar gewartet und gepflegt werden darf aber einfache Anwendungen nicht darauf ausgeführt werden dürften.....
und was RDS angeht ja es erfordert eine Domäne, das ist ja auch genau der Grund weshalb ich frage....
Ich will ja eigentlich nur 2 einfache Arbeitsplätze Remote bedienen und kein ganzes Firmennetzwerk mit etlichen Richtlinien aufsetzen....
Einfach nur simple Dateirechte verwalten und Anwendungen bereitstellen.
Insgesamt möglichst einfach ohne mich wochenlang in Microsoft Server Systematik einzulesen....

@0x8100
Aber genau darin steckt ja meine Krucks ich will einfach von überall aus(Smartphones, Computern, Tablets am Besten auch auf Unbekannten Rechnern) an diesen Remotedesktops arbeiten können und zwar ohne aufwendige Einrichterei eines VPN's etc...
Einfach User&PW eingeben und fertig....
In der Linux welt ist ja eine SSH Verbindung mit Ausreichender Verschlüsselung und langen und sicheren PW's "relativ" sicher....

 

[.Sentinel.]

Schliesse mich an- RDP nicht ohne externes Firewalling/VPN Einwahl davor.

Wahlweise auch einfach Firewalling mit Endpoint Security, so dass nur Legitimierte Geräte auf den entsprechenden Port zugreifen dürfen. Dort über 08/15 Attacken ein Spoofing generieren zu wollen, grenzt an Unmöglichkeit und somit ist das auch als sicher zu erachten.

Damit kannst Du Dir eine gesonderte VPN Einwahl unter Umständen sparen, soll es komfortabel und unmerklich für die User bleiben.

LG
Zero

 

[valnar77]

Wenn der Server regemäßig gepatched wird, kann man da auch mit Leben. Eventuell noch einen anderen Port verwenden als den Standard-Port 3389 - Dies kann man im RDP-CLient auch relativ "einfach" durch IP-Adresse: Portnummer angeben.

 

[[LAVA]ONE]

Irgendwie sind die Meinungen hier genau wie meine selbst ergoogleten Ergebnisse....
In manchen Artikeln steht RDP direkt Total unsicher..... nur in abgesicherten Netzwerken betreiben etc...
In anderen wiederum einfach RDP Port ändern, sichere PW's keine default user und gut ist...
Worauf ich mich eigentlich am liebsten einlassen würde wäre ein einfacher HTTP/S Webserver der die Remotedesktops anbietet soll auch via RDS etc... funktionieren aber dann muss ich ja wieder Domäne und vieles mehr einrichten.....

@ZeroZerp
und was passiert wenn mein letztes legitimiertes Gerät durch Defekt oder Diebstahl abhanden kommt?
Dann kann ich nur noch via KVM auf den Server zugreifen?

 

[.Sentinel.]

@[LAVA]ONE

Naja- Kochen halt alle nur mit Wasser. Port ändern ist schonmal eine erste Maßnahme, damit verringerst Du natürlich beim "Lottospiel" die Chancen kompromitiert zu werden.

Es sind jedoch auch Bots unterwegs, die auf Protokoll auf der gesamten Portrange scannen. Und da wiederum wärst Du für Angriffe offen.

Ich rate Dir nur, dass wenn es sensible Daten sind oder es eine gewisse Wichtigkeit hat, dass das Ding online bleibt, in Sachen Sicherheit keine Kompromisse einzugehen.
Ich kenne zu viele Firmen, die es mit einem "offenen" oder "portverbogenen" RDS mit Verschlüsselungsviren erwischt hat. Es ist also weniger die Frage ob, sondern eher wann es Dich erwischt, wenn mal wieder hochaggressive Malware unterwegs ist.

Wenn ich Lese, dass es sich um Arbeitsplätze handeln soll, dann unterstelle ich mal, dass das ganze einen professionellen Einsatzzweck hat.
Und so ungern man das auch hören will (weil die IT ist ja immer zu teuer- Ich kenne das zu genüge), so tut man sich keinen Gefallen mit Bastellösungen. Sowas fällt in zigfacher Gewalt auf einen zurück, wenns dann mal brennt.

und was passiert wenn mein letztes legitimiertes Gerät durch Defekt oder Diebstahl abhanden kommt?
Dann kann ich nur noch via KVM auf den Server zugreifen?

Du kannst Dir ja einen zweiten Zugriffspunkt machen, indem Du z.B. noch eine feste IP Range legitimierst oder Dir einen Managemente Zugang/VPN direkt auf die Firewall einrichtest. Somit kannst Du Dich nicht vollkommen aussperren.

LG
Zero

 

[[LAVA]ONE]

Ja aber genau das ist doch der Punkt.
Wie kann es sein das ein großer Anbieter von meiner Meinung nach zumidest einigermaßen sicheren Softwarelösungen(Microsoft) keine für wenige User verträgliche sichere möglichkeit bietet Remotearbeitsplätze zu benutzen.
Das kann man in der Linuxwelt(eigentlich Bastelwelt) ja via SSH seit jahren eigentlich problemlos(klar gibts immer mal ne Sicherheitslücke aber das lässt sich wsl eh nie vermeiden)...
Dann ist man aber für user nicht so anwenderfreundlich unterwegs, die halt gerne in einer gewohnten Windows Umgebung mit einfachen Hausmitteln(Die ja gerade keine Bastellösungen sein sollen) arbeiten.

 

[Testa2014]

Ich habe Jahrelang meinen Server via RDP mittels VPN (RRAS) erreicht. Nie Probleme gehabt. Schwer ist das in der Einrichtung nicht. VPN auf den Clients einzurichten ist ne Sache von paar Sekunden und was daran jetzt kompliziert ist verstehe ich auch nicht.

Damals war RDP wie ein offenes Buch, ob sich das mittlerweile geändert hat keine Ahnung. Riskieren würde ich es nicht.

RDP uses RSA Security's RC4 cipher, a stream cipher designed to efficiently encrypt small amounts of data. RC4 is designed for secure communications over networks. Administrators can choose to encrypt data by using a 56- or 128-bit key.

Steht auf der MS Seite ... anscheinend nicht ...

 

[[LAVA]ONE]

Das Problem am Einrichten von VPN's ist, dass unterschiedliche auch öfter mal wechselnde Endgeräte verwendet werden.
Ich gebe dir recht wenn die Endgeräte alle Windows PC's sind, ist die Einrichtung nicht das große Ding.
Aber wenn ein einfacher Enduser zusätzlich zur RDP Verbindung VPN Verbindungen auf MacOS, Linux, iOS, Windows etc.. einrichten soll, so ist das nie eine Sache von Sekunden...

 

[Testa2014]

Also iOS (OSX hätte ich noch nicht im Haus) und Android unterstützen die Protokolle genauso.

Vlt. ließe sich da auch was mit Profilen machen die der User nur installiert. Kenn mich da nicht aus, habe es nur schonmal gesehen.

Wenn ich deine Anforderungen so lese klingt das eher nach Citrix.

Edith: Anscheinend gibt es das mittlerweile auch als Webseite https://www.tenforums.com/windows-1...ent-public-preview-windows-server-2016-a.html

 

[[LAVA]ONE]

Wieso klingt das nach Citrix? Spielen wir jetzt Bullshit bingo? Citrix nutzt kein RDP sondern eine weitere proprietäre Lösung die unter Umständen sicher, aber auch unsicher sein kann...

Das ein Web Access auch unter Windows Server 2019 möglich ist, habe ich ja bereits festgestellt das Problem dabei ist, dass dann nach meiner Kenntnis am Server etliche andere Rollen noch installiert und eingerichtet werden müssen und sich in alle Serverrollen einzuarbeiten und zu vermeiden neue Sicherheitslücken zu schaffen(wegen Unwissenheit) ist dann alles andere als einfach... Außerdem ob eine gleichzeitige Einrichtung der Rollen auf einem einzelnen Server mit 2 Usern überhaupt möglich ist für mich jetzt so direkt nicht zu erkennen.

 

[konkretor]

RDP über eine HTML 5 Oberfläche sollte die Lösung sein. Du gibst nur den Port 443 nach außen frei.
https://www.cybelesoft.com/thinfinity/remote-desktop/server/?cn-reloaded=1

Damit brauchst du kein vpn. HTML 5 Oberflächen gibt es auch für Linux Guacamole nennt sich zum Beispiel eins.

Niemals den RDP Port nach außen so freigeben das ist grob fahrlässig.

Du brauchst nur die RDP Rolle und die Software direkt auf dem Server drauf werfen. Fertig.

 

[Testa2014]

Spielen wir jetzt Bullshit bingo? Citrix nutzt kein RDP sondern eine weitere proprietäre Lösung die unter Umständen sicher, aber auch unsicher sein kann...

Citrix kann auch Desktops via Browser übertragen und wäre verschlüsselt via HTTPS mit Möglichkeit einer 2FA. Sicherer wie RDP im Netz und es können Tokens ausgegeben werden.

Ich bin hier jetzt raus.

 

[konkretor]

Aber wegen zwei Leuten citrix zu verwenden ist extrem teuer. Von den Features her passt es

 

[snaxilian]

Bei Azure heißt es virtual desktop, bei AWS Workspaces und Google hat ggf. auch was passendes im Sortiment, sprich irgendwas mit Desktop as a Service oder so. Kann mir aber vorstellen, dafür braucht man bei egal welchem Anbieter noch zig Voraussetzungen wie ein AD o.ä.

Wenn du das alles nicht selbst verwalten willst musst dir ein Unternehmen suchen, dass dies anbietet, z.B. deskmate.de (einer der ersten Treffer bei "Desktop as a Service Deutschland" und ohne Erfahrung oder Wertung meinerseits), Cancom-Pironet hat da vermutlich auch was im Angebot oder irgendwelche Citrix Partner.