In diesem Blog geht es um zwei sogenannte Best Practices im Bereich RDP. Um NoGos und Möglichkeiten, diese zu vermeiden.
Durch das Remote Desktop Protokoll überträgt ein Windows System den kompletten Desktop auf einen anderen PC. Kompatible Programme gibt es für alle Plattformen und erlauben den Fernzugriff auf Server oder Büro Client Desktops. Gleichzeitig werden alle Maus- und Tastatur Eingaben direkt an den „FernPC“ übertragen und auch lokale Ressourcen, wie etwa USB Geräte und Drucker können mit in die Sitzung genommen werden.
Seit Windows Vista arbeitet das RD Protokoll mit dem sogenannten RC4 Standard und von Microsoft generierten Standardschlüsseln, die weltweit bekannt sind. Hier setzen Angreifer an, um z.B. Man in the Middle Angriffe (MitM) durchzuführen. Sogar Microsoft empfiehlt, mit offizieller Anleitung, diese Standards nicht mehr zu verwenden.
VPN als erster Schutzwall
Eine VPN Verbindung bewirkt, dass sich Ihr Client im lokalen Netz der Firma anmelden kann, ohne wirklich vor Ort zu sein. Alleine durch die Einrichtung einer VPN Verbindung kann der nach außen offene RDP Port bereits geschlossen und die internen Systeme besser geschützt werden.
Zusätzlich sollten idealerweise die zugriffsberechtigten IPs, also die Netzwerkadressen, die sich an der Firewall und damit im VPN anmelden können, eingeschränkt werden. Ein Problem sind hier die ständig wechselnden privaten IPs der Heimnetzwerke. Statische IPs findet man dort nur selten.
Außerdem sollte man die Zahl der Benutzer mit RDP-Zugang so gering wie möglich halten. So sind etwa in vielen Installationen die lokalen Administratoren in der Gruppe der RDP Users, benötigen diesen Zugriff aber gar nicht.
Zweifaktor Authentifizierung wird immer dringender
Für alle Remotedesktopbenutzer sollte eine möglichst starke Authentifizierung verlangt werden. Zweite Wahl sind die langen und hochkomplexen Kennwörter. Ist das eigene Kennwort zu stark, landet es früher oder später auf einem Spickzettel unter der Tastatur oder schlimmer noch: Am Monitor. Man kennt sich ja im Büro.
Multifaktor Authentifizierung, etwa mit Token Apps (Google Authenticator und alle ähnlichen Produkte), Smartcards und USB Sticks mit fest gecodetem Zugangsschlüssel oder die gute alte Authentifizierung per Mail und SMS sind hier der Schlüssel zum sicheren Erfolg.
Zertifikatswarnungen nicht ignorieren
Beste Abhilfe wäre ein firmeninterner Zertifikatsserver (etwa über MS AD Certificate Services). Dies ist in kleineren Betrieben aber nicht immer möglich. Die Warnung, die bei der ersten Verbindung angezeigt wird, muss einmal geprüft und, wenn in Ordnung, bestätigt und gespeichert werden. Leider muss dies auf jedem Client erfolgen und bei neuem Zertifikat wiederholt werden. Mit neuer Prüfung. Warnungen zur „Vertrauenswürdigkeit der Gegenstelle“ sollten nicht einfach weggeklickt oder übersprungen werden. Sitzt hier ein Angreifer dazwischen (Man in the Middle) kann dieser hierdurch schlimmstenfalls Domänenadmin-Rechte bekommen und das Unglück ist perfekt.
Die gesamte Windowsdomäne ist kompromittiert und der Schaden nicht mehr absehbar.
Zum Schluss noch eine Selbstverständlichkeit: Benutzen Sie RDP nur auf Systemen, die erstens Support haben und zweitens auch noch mit Sicherheitsupdates versorgt werden. Ungepatchte Systeme, mit nach außen offenen RDP Ports sind heutzutage absolut fahrlässig und absolut nicht mehr zu tolerieren.
Sie suchen Beratung im Bereich Cybersecurity oder möchten Ihr Unternehmen zukunftssicher gegen Angreifer von Außen schützen? Sprechen Sie uns gerne an!
Man ist nie zu alt für neue Technik.
Kommentarbereich geschlossen.