Sophos UTM: RDP Sicherheit umstellen

Sophos UTM: RDP Sicherheit umstellen

Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!

Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.

Möglichkeiten zur Sicherheit wären:

  • RDP deaktivieren
  • RDP Zugriff nur auf bestimmte Adressen erlauben
  • RDP erst nach VPN Einwahl erlauben

Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:

Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.

Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):

Weitere Informationen:


Server 2012 (R2): Terminalserver ohne AD verwenden

Einen Terminalserver ohne AD kann man wie folgt verwenden:

  • Terminallizenserver muss installiert sein (z.B. auf dem Terminalserver selber).
  • Gehen Sie auf einen der Terminalserver und starten Sie eine Powershell.
  • Geben Sie die folgenden Befehle ein:

$obj = gwmi -namespace „Root/CIMV2/TerminalServices“
$obj.ChangeMode(value)  <- Hinweis: Value = 2 für jedes Gerät; Value = 4 für jeden User
$obj.SetSpecifiedLicenseServerList(„Lizenzservername“)

Mit $obj.GetSpecifiedLicenseServerList() können Sie den Status prüfen.

 

Weitere Informationen


Terminalserver speichert Zugangsdaten nicht

Bei einem Windows 2008R2 Terminalserver kann es sein, das beim Kennwort speichern dies nicht gemerkt wird. Ein manuelles Anmelden funktioniert jedoch.

Diese Einstellung kann per GPO angepasst werden.

Dazu eine GPO erstellen mit der folgenden Einstellung:

Computer > Administrative Vorlagen > System > Delegierung von Anmeldeinformationen > Delegierung von gespeicherten Anmeldeinformationen mit reiner NTLM-Serverauthentifizierung zulassen > aktivieren und anzeigen Button klicken. Dort den Eintrag TERMSRV/* erstellen.

Bildschirmfoto 2015-04-07 um 17.38.50

Bildschirmfoto 2015-04-07 um 17.39.03

In der Ereignissanzeige wird die ID 5378 angezeigt.