Was ist die RDP-Dienstanzeige über das Internet und wie kann man sie beheben?

Wie lässt sich die Exposition des RDP-Dienstes über das Internet lösen?
Schutz des RDP-Dienstes

Das RDP-Protokoll (Remote Desktop Protocol) ist ein proprietäres Protokoll von Microsoft, das es ermöglicht, sich aus der Ferne mit einem anderen Computer zu verbinden – in der Regel über den TCP-Port 3389 – zu Administrationszwecken.

Da es einen kritischen Einstiegspunkt für ein Unternehmen darstellt, wird es sehr häufig von Angreifern genutzt, um in das Informationssystem (IS) einzudringen und dort seitliche Bewegungen auszuführen. Es genügt beispielsweise, dass ein exponierter RDP-Dienst von einer bekannten Schwachstelle (wie BlueKeep) betroffen ist oder dass Zugangsdaten nicht ausreichend robust sind, um eine vom Angreifer ausnutzbare Lücke zu schaffen.

Daher sollte dieser Dienst ausschließlich aus dem internen Netzwerk des IS erreichbar sein und niemals direkt aus dem Internet zugänglich gemacht werden.

Lösungen
Die meisten beobachteten RDP-Dienste werden aus zwei Gründen genutzt:

• Remote-Administration

• Zugriff auf Dokumente

Hinsichtlich der Remote-Administration können folgende Optionen (in absteigender Präferenz) in Betracht gezogen werden:

• Mise en place d'une passerelle RDP, nommée RDG (Remote Desktop Gateway) ;
• Déploiement d'un VPN (Virtual Private Network) ;
• Durcissement du service RDP.

Einrichtung eines RDP-Gateways

Beschreibung
Das Remotedesktop-Gateway, auch RDG (Remote Desktop Gateway) genannt, dient dazu, eine sichere Verbindung zu Windows-Servern innerhalb eines internen Netzwerks bereitzustellen. Es fungiert als Vermittler zwischen einem Client und einem Server, um die direkte Exposition eines beliebigen RDP-Dienstes zu verhindern: Nur das Gateway selbst wird für die Clients sichtbar gemacht.
Dieses verwendet einen HTTP-SSL/TLS-Tunnel und exponiert somit ausschließlich den Port 443.

Das Gateway sollte innerhalb einer bestehenden DMZ platziert werden.

Einrichtung

Installation des Gateways:
Um mit der Installation des Gateways zu beginnen, muss eine Verbindung zu dem Windows-Server hergestellt werden, auf dem es bereitgestellt werden soll. Nach der Anmeldung kann die Verwaltungsanwendung des Servers, der „Server Manager“, geöffnet werden.

Hinzufügen der Gateway-Rolle:
Nach dem Start ist es notwendig, über den Reiter „Manage“ in der Anwendung Server Manager die Funktion „Add Roles and Features“ aufzurufen.

Anschließend können Sie die Installation mit der Schaltfläche „Weiter“ fortsetzen:

Der Installationstyp „Role-based or feature-based installation” muss ausgewählt werden, bevor Sie über die Schaltfläche „Next” zum nächsten Abschnitt gelangen:


In diesem Schritt können Sie den Server auswählen, auf dem das Gateway installiert werden soll. Sobald Sie diesen ausgewählt haben, klicken Sie auf die Schaltfläche „Weiter“, um fortzufahren:


Auf dieser Registerkarte können Sie die Rollen auswählen, die auf dem Server hinzugefügt werden sollen. Wählen Sie „Remote Desktop Services“ aus, bevor Sie auf „Next“ klicken, um fortzufahren:

Bestimmte Funktionen können über diese Registerkarte auf dem Server implementiert werden. Es ist möglich, die standardmäßig ausgewählten Funktionen beizubehalten und weitere Einstellungen vorzunehmen:

 

Dies ist eine Informationsregisterkarte zu Remote-Desktop-Diensten, die übersprungen werden kann:

  

Auf dieser Registerkarte muss der Remote-Desktop-Gateway-Dienst, d. h. „Remote Desktop Gateway“, ausgewählt werden. Das folgende Fenster wird dem Benutzer angezeigt:

 

Es handelt sich um alle Funktionen, die implementiert werden müssen, um das Remote-Desktop-Gateway einzurichten. Sie können auf die Schaltfläche „Add Features” (Funktionen hinzufügen) klicken und fortfahren:

 

Einige Registerkarten, die mit den zuvor ausgewählten Funktionen zusammenhängen, wurden automatisch hinzugefügt. Klicken Sie auf „Weiter“, um darauf zuzugreifen:

 

Diese neue Registerkarte enthält Informationen zur Netzwerkrichtlinien- und Zugriffsfunktion. Klicken Sie auf „Weiter“, um zum nächsten Abschnitt zu gelangen:

 

Diese neue Registerkarte enthält Informationen zur Webserver-Funktionalität. Klicken Sie auf „Weiter“, um zum nächsten Abschnitt zu gelangen:

 

Es wird eine Liste aller Dienste im Zusammenhang mit dem Webserver (IIS) angezeigt. Diese Standardkonfiguration muss beibehalten werden, bevor Sie fortfahren können:

Es erscheint ein Fenster mit einer Übersicht aller Dienste und Tools, die installiert werden sollen. Klicken Sie auf die Schaltfläche „Installieren“, um die Installation zu bestätigen (Sie können den automatischen Neustart des Servers zulassen, indem Sie das Kontrollkästchen „Restart the destination server automatically“ (Zielserver automatisch neu starten) aktivieren):

 

Die Installation ist abgeschlossen:

Konfiguration des Gateways:
Nach Abschluss der Installation muss das Remote-Desktop-Gateway konfiguriert werden, indem das Verwaltungstool über die Anwendung „Server Manager” und die Registerkarte „Tools” gestartet wird, wie in der folgenden Abbildung dargestellt:

Nach dem Start des Tools wird dem Benutzer das untenstehende Fenster angezeigt, nachdem er den Servernamen auf der linken Seite ausgewählt hat. Das neu installierte Remote-Desktop-Gateway muss konfiguriert werden. Dazu kann zunächst ein Zertifikat importiert werden, indem man auf die Funktion"View or modify certificate properties" :

 Auf dem Gateway ist kein Zertifikat installiert. Es gibt zwei Möglichkeiten: Sie können ein selbstsigniertes Zertifikat erstellen oder ein Zertifikat importieren, das dem Server entspricht und von einer anerkannten Zertifizierungsstelle ausgestellt wurde.
Die beste Wahl ist die zweite Möglichkeit. Um dies zu tun, wählen Sie einfach die Option „Import a certificate into the RD Gateway <nameServer> Certificates (Local Computer)/Personal store” und importieren Sie es dann über die Schaltfläche "Browse and Import Certificate" : 

  

Wenn ein selbstsigniertes Zertifikat erstellt und anschließend verwendet werden soll, wählen Sie einfach die Option „Create a self-signed certificate” (Selbstsigniertes Zertifikat erstellen) und klicken Sie auf die Schaltfläche „Create and Import Certificate” (Zertifikat erstellen und importieren). Daraufhin wird das folgende Fenster angezeigt:

 

Der vollständige Name des Servers muss in das erste Feld „Certificate name“ eingegeben werden. Anschließend muss dieses Zertifikat vom Server abgerufen und auf alle zukünftigen Rechner importiert werden, die dieses Gateway verwenden. Nach Abschluss dieses Schritts wird das untenstehende Fenster angezeigt. Die Informationen des importierten Zertifikats werden aktualisiert und zeigen an, dass der Import erfolgreich war. Klicken Sie auf „OK”, um die Konfiguration des Gateways abzuschließen:

 

Es müssen Zugriffsregeln hinzugefügt werden, damit dieses Gateway ordnungsgemäß verwendet werden kann. Dazu klicken Sie auf das Dropdown-Menü des Servers auf der linken Seite der Anwendung „RD Gateway Manager“, dann auf „Policies“ und schließlich auf „Create New Authorization Policies“, wie in der folgenden Abbildung dargestellt:

 

Das folgende Fenster wird dem Benutzer angezeigt. Es müssen zwei Zugriffsregeln erstellt werden: eine Zugriffsregel für das Gateway (mit dem Namen RD CAP) und eine Zugriffsregel für interne Ressourcen vom Gateway aus (mit dem Namen RD RAP). Dazu müssen Sie „Create a RDP CAP and a RD RAP (recommanded)” auswählen und dann auf „Next” klicken:

 

Bevor Sie über die Schaltfläche „Weiter“ fortfahren, müssen Sie einen geeigneten Namen für die CAP-Regel auswählen:

 

Als Authentifizierungsmethode wird das Passwort verwendet (aktivieren Sie das Kontrollkästchen „Password“). Im Feld „User group membership (required)“ müssen über die Schaltfläche „Add Group...“ nur die Gruppe(n) ausgewählt werden, die die berechtigten Benutzer des Gateways enthalten. Idealerweise sollte im Active Directory eine spezielle Benutzergruppe für diesen Zugriff erstellt werden, um deren Legitimität sicherzustellen. Idealerweise sollte im Active Directory eine spezielle Benutzergruppe für diesen Zugriff erstellt werden, um deren Legitimität sicherzustellen. Anschließend kann mit der Schaltfläche „Next” fortgefahren werden:

  

• In diesem Schritt können Sie die Umleitungseigenschaften der CAP-Regel festlegen. Je nach den Anforderungen des Unternehmens (und aus Gründen der Einfachheit) können bestimmte Umleitungen wichtig und notwendig sein, wie beispielsweise das Kopieren und Einfügen („Clipboard“):
  Falls bestimmte Umleitungen nicht erforderlich sind, wird empfohlen, die Option „Disable device redirection for the following client device types” (Geräteumleitung für die folgenden Client-Gerätetypen deaktivieren) auszuwählen und diese dann auszuwählen, um die Konfiguration des Gateways zu verschärfen.
  Falls alle Umleitungen erforderlich sind, wählen Sie die Option „Enable device redirection for all client devices” (Geräteumleitung für alle Client-Geräte aktivieren) und dann „Next” (Weiter).

In diesem Fenster können Sie die Abmeldung und das Ablaufen von Benutzersitzungen konfigurieren. Es wird empfohlen, diese Optionen zu aktivieren, um die Konfiguration des Gateways zu sichern, bevor Sie mit der Schaltfläche „Weiter” fortfahren:

 

Eine Zusammenfassung der Konfiguration der CAP-Regel wird angezeigt. Nun muss die RAP-Regel über die Schaltfläche „Weiter“ konfiguriert werden:

Genau wie bei der CAP-Regel muss auch bei der RAP-Regel ein passender Name gewählt werden, bevor Sie über die Schaltfläche „Weiter“ fortfahren können:

 

Genau wie bei der CAP-Regel müssen nur die Gruppe(n) mit den berechtigten Benutzern, die das Gateway für den Zugriff auf interne Ressourcen verwenden dürfen, im Feld „User group membership (required)“ über die Schaltfläche „Add Group...“ ausgewählt werden. Idealerweise sollte im Active Directory eine spezielle Benutzergruppe für diesen Zugriff erstellt werden, um deren Legitimität sicherzustellen. Anschließend kann mit der Schaltfläche „Next” fortgefahren werden:

 

In diesem Fenster können Sie alle internen Ressourcen angeben, auf die über das Gateway zugegriffen wird. Es wird empfohlen, eine Domänengruppe zu erstellen, die alle legitimen Server umfasst, auf die über dieses Gateway zugegriffen werden kann, und diese über die Option „Select and Active Directory Domain Services network resource group” anzugeben. Anschließend müssen Sie diese Regel vervollständigen, indem Sie auf die Schaltfläche „Next” klicken:

 

Die verwendeten Zugangsports müssen angegeben werden, d. h. entweder standardmäßig Port 3389 des RDP-Dienstes oder gegebenenfalls ein oder mehrere andere Ports:

 

 Genau wie bei der CAP-Regel erscheint eine Zusammenfassung der RAP-Regelkonfiguration, die Sie mit der Schaltfläche „Weiter“ bestätigen müssen:Es wird ein Fenster angezeigt, das die Bestätigung der CAP- und RAP-Regeln anzeigt:

 

 

Start des Gateway-Dienstes:
Schließlich ist der mit dem Gateway verbundene Dienst möglicherweise angehalten. Sie können seinen Status überprüfen und ihn aktivieren, falls dies noch nicht geschehen ist, wie in der folgenden Abbildung dargestellt. Auf der Registerkarte „Remote Desktop Services” der Anwendung „Server Manager”, auf der Registerkarte „Servers” und im Abschnitt „Services” wird der Gateway-Dienst unter dem Namen „Remote Desktop Gateway” angezeigt. Dieser kann bei Bedarf durch einen Rechtsklick auf diesen Dienst und anschließendes Klicken auf „Start Services” gestartet werden:

 

 
Filterung der Datenströme:
Wenn interne Server nur über das Gateway zugänglich sein sollen, muss deren interne Firewall konfiguriert werden.
Dazu müssen Sie lediglich die Konfiguration der Windows-Firewall aufrufen und die eingehenden Datenströme („Inbound Rules” oder „Regeln für eingehenden Datenverkehr”) auflisten, wie in der folgenden Abbildung dargestellt. Darunter befindet sich die Regel „Remote Desktop – User Mode (TCP-In)”, die den eingehenden RDP-Datenverkehr des Windows-Systems entspricht. Sie können deren Eigenschaften analysieren, indem Sie mit der rechten Maustaste darauf klicken und dann „Eigenschaften” auswählen:

 

Anschließend müssen Sie auf die Registerkarte „Scope“ zugreifen, um die Filterung des eingehenden RDP-Datenstroms zu konfigurieren:

 

Im Abschnitt „Remote IP Address“ müssen alle IP-Adressen angegeben werden, von denen aus eingehende RDP-Datenströme zugelassen sind: 

• Wenn alle diese Datenströme über das Gateway laufen sollen, muss die IP-Adresse des Gateways angegeben werden.
• Wenn das Gateway auf dem Server installiert ist, auf dem eine RDP-Verbindung hergestellt wird, muss die IP-Adresse „127.0.0.1” angegeben werden.

 

Starten einer RDP-Verbindung: 
Die RDP-Verbindung von einem legitimen Rechner und Benutzer zu einem internen Server über das Gateway muss konfiguriert werden. Nach dem Start der Anwendung „Remotedesktopverbindung” muss das Gateway auf der Registerkarte „Erweitert” und dann „Einstellungen” konfiguriert werden, wie in der folgenden Abbildung gezeigt:

 

 

Das folgende Fenster wird angezeigt. Wählen Sie die Option „Use these RD Gateway server settings“ (Diese RD-Gateway-Servereinstellungen verwenden), geben Sie den vollständigen Namen des zuvor konfigurierten RDP-Gateways ein und aktivieren Sie das Kontrollkästchen „Use my RD Gateway credentials for the remote computer“ (Meine RD-Gateway-Anmeldedaten für den Remotecomputer verwenden), bevor Sie die Konfiguration mit der Schaltfläche „OK“ bestätigen:

 

Anschließend kehren Sie einfach zur Registerkarte „Allgemein“ der Anwendung zurück, geben den Namen oder die IP-Adresse des internen Servers, mit dem sich der Kunde verbinden möchte, sowie seinen Benutzernamen ein und klicken dann auf die Schaltfläche „Verbinden“, wie in der folgenden Abbildung gezeigt:

 

Ein Fenster wird an den Benutzer zurückgesendet, damit dieser den Namen oder die IP-Adresse des RDP-Gateways überprüfen und das Passwort des zuvor eingegebenen Benutzerkontos eingeben kann:

 Anschließend wird entweder die Verbindung erfolgreich hergestellt oder das Zertifikat des Gateways wird vom Client-Rechner nicht erkannt (was in der Regel bei selbstsignierten oder von einer internen Zertifizierungsstelle signierten Zertifikaten der Fall ist), und folgende Meldung wird zurückgesendet:

 

 

Härtung des RDP-Protokolls
Falls es erforderlich ist, das RDP-Protokoll im Internet verfügbar zu machen, finden Sie hier mehrere Härtungsmaßnahmen, mit denen Sie das Protokoll sichern können.
 
Benutzerzugriff einschränken:
Der erste Schritt zur Härtung besteht darin, eine Active Directory-Benutzergruppe zu erstellen, die für die Remote-Verbindung autorisiert ist. Dies können Sie über die Verwaltungskonsole von Group tun.(Group Policy Management Console).

• Wählen Sie in der Konsole „Konfiguration“ > „Windows-Einstellungen“, „Sicherheitseinstellungen“ > „Gruppenbeschränkungen“ aus.
• Klicken Sie mit der rechten Maustaste auf „Gruppenbeschränkung“ und dann auf „Gruppe hinzufügen“.
• Klicken Sie auf „Suchen“ > „Remotezugriff“ > „Namen“ und wählen Sie dann „Remotedesktopbenutzer“ aus.

 

 

Wählen Sie die Benutzer aus, die diesen RDP-Zugriff benötigen, und klicken Sie dann auf „OK“:

 

 

Gastkonto deaktivieren:
Das Betriebssystem Windows Server 2012 R2 verfügt standardmäßig über ein Gastkonto. 
Dieses muss deaktiviert werden, um zu verhindern, dass ein Angreifer versucht, seine Berechtigungen auf dem Server zu erweitern.
Geben Sie dazu den Befehl compmgmt.msc in eine Eingabeaufforderung ein, um die Computerverwaltung zu öffnen.
Klicken Sie auf Lokale Benutzer und Gruppen > Benutzer > Gast , klicken Sie mit der rechten Maustaste und wählen Sie Konto ist deaktiviert.

Ein Konto bei einem Brute-Force-Angriff vorübergehend sperren:
Anmeldeversuche bei einem Benutzerkonto sollten das System alarmieren, um zu verhindern, dass ein Angreifer Brute-Force-Angriffe startet, bis er ein gültiges Passwort identifiziert hat.
Geben Sie dazu den Befehl gpedit.msc ein, um den lokalen Gruppenrichtlinien-Editor zu öffnen.
Klicken Sie auf „Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Verbindungen > Anzahl der Verbindungen begrenzen“.
Wir empfehlen, das Konto nach 5 fehlgeschlagenen Anmeldeversuchen zu sperren.

 

 

Verwenden Sie eine strenge Passwortrichtlinie:
Um das Risiko eines erfolgreichen Brute-Force- oder Wörterbuchangriffs zu verringern, sollten Sie zunächst einmal sichere Passwörter mit allen Arten von Zeichen verwenden: Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen.
Um dies zu konfigurieren, geben Sie den Befehl gpedit.msc in eine Eingabeaufforderung ein, um den lokalen Gruppenrichtlinien-Editor zu öffnen.
Klicken Sie auf „Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien > Kennwortrichtlinie“.
 
Ändern Sie den Listening-Port des RDP-Protokolls: 
Eine zusätzliche Sicherheitsmaßnahme kann darin bestehen, den Basisport des RDP-Protokolls zu ändern.
Geben Sie dazu den Befehl regedit in eine Eingabeaufforderung ein, um die Registrierungsdatenbank zu öffnen.
Navigieren Sie im Registrierungseditor zur folgenden Baumstruktur: 
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

 

 Doppelklicken Sie auf „PortNumber“, wählen Sie „Dezimal“, geben Sie den gewünschten Port ein, z. B. 2222, und klicken Sie dann zur Bestätigung auf „OK“.
Sie haben Ihren neuen RDP-Port erfolgreich konfiguriert.
Damit die Konfiguration funktionsfähig ist, muss der RDP-Dienst neu gestartet werden:
Öffnen Sie den Dienst-Manager (Strg + Umschalt + Entf > Task-Manager > Dienste, Rechtsklick auf Remotedesktopdienst > Neustart).