Microsoft Remote Desktop and Terminal Services (RDP) bieten Benutzern eine einfache Möglichkeit, Unternehmenssysteme zu verbinden und gemeinsam genutzte Anwendungen von Remotestandorten aus zu verwenden. 

„Aber die benutzername-/passwortbasierte Authentifizierung reicht jetzt in einigen Unternehmen und im Allgemeinen nicht aus, um sicherheitskonform zu sein.“

Dieser Artikel zeigt, was RDP ist, wie es geschützt wird und welche Hauptfunktionen Sie beachten sollten, bevor Sie sich für einen Dienst entscheiden.

Wo kann ich einsetzen? 

• Auf dem Gelände 
• Microsoft Azure
• Amazon AWS
• Google Cloud

Was ist RDP?

Das Microsoft Windows Remote Desktop Protocol (RDP) wird häufig und sicher in privaten Netzwerken verwendet, um Benutzern die Anmeldung bei Remotecomputern zu ermöglichen. Nach der Anmeldung über RDP wird der Bildschirm des Remote-Systems auf dem lokalen System angezeigt und gibt dem lokalen Benutzer die Kontrolle. RDP wird häufig in Unternehmensumgebungen verwendet, um Systemadministratoren zu ermöglichen, Server und Workstations an Remote-Standorten oder von den Mitarbeitern außerhalb ihrer Büros und Schreibtische zu verwalten. RDP wird zunehmend für den Zugriff auf virtuelle Desktops verwendet. Benutzer können sich mit Single Sign-On anmelden, beispielsweise Windows Kerberos innerhalb einer Domäne, oder mit Benutzeranmeldeinformationen, normalerweise einem Domänenbenutzernamen und -kennwort, um auf ein Konto auf dem Remotesystem zuzugreifen.

Eine Microsoft-Studie warnt vor Gefahren

Hacker beginnen mit Brute-Force-Angriffen, sobald ein offener RDP-Port im Internet identifiziert wird. Sie verwenden automatisierte Tools, die eine Permutation und Kombination von Benutzername und Passwort durchführen, um die Anmeldeinformationen des Zielcomputers zu knacken. Angriffe werden gemessen und dauern oft tagelang, um eine Erkennung durch Firewall/IDS (Intrusion Detection Systems) zu verhindern, die zu einer Blockierung der Quell-IP-Adresse führen könnte. 

Nach einer monatelanges Studium In Bezug auf die Auswirkungen von RDP-Brute-Force-Angriffen auf das Unternehmen berichtete Microsoft, dass Angriffe im Durchschnitt zwei bis drei Tage dauern, wobei etwa 901 TP1T der Fälle eine Woche oder weniger andauern und weniger als 51 TP1T zwei Wochen oder länger dauern. 

Gemäß Microsofts Forschung, ist die einzige einfache Maßnahme, die Sie ergreifen können, um 99,9% der Angriffe auf Ihre Konten zu verhindern, die Verwendung von Multi-Faktor-Authentifizierung (MFA).

Bevor Sie sich für eine Lösung entscheiden, überprüfen Sie immer, ob es Two-Factor mit allen OpenOTP One-Time Password-Methoden und FIDO wie:

• Software-Token (OpenOTP-Token, die Push-Logins unterstützen, Google Authenticator)
• Hardware-Token (alle OATH-kompatiblen Token werden unterstützt)
• Mobiles SMS-OTP (veraltet in einigen Szenarien, z. B. für Banken)
• Sprachbiometrie (Neue Authentifizierungsmethode) 
• Briefkasten
• Yubikey-Token 

Einige der wichtigsten Funktionen, die Sie sich ansehen sollten, sind:

1. Unterstützt Anmeldenamen im NT-Domain-Stil wie 'Domain\Username'
2. Unterstützt implizite und explizite User Principal Names (UPN).
3. Unterstützt die Anmeldemodi LDAP und LDAP+OTP.
4. Unterstützung von Benutzer-, Gruppen- und Clientrichtlinien, die es Ihnen ermöglichen, Ihren Authentifizierungsworkflow basierend auf vielen Eingaben zu gestalten. 
5. Unternehmensbereitstellung mit AD-Tools zur automatisierten Softwarebereitstellung
6. Unterstützt Normal (3 Felder werden dem Benutzer auf dem Anmeldebildschirm angezeigt) und Einfache Anmeldung (2 Felder werden auf dem Anmeldebildschirm angezeigt und wenn ein OTP erforderlich ist, wird das dritte Feld auf einer anderen Seite angezeigt)

Einfache Anmeldung: 

Normale Anmeldung: 

RCDevs

RCDevs bietet einen Windows Credential Provider (CP) für Windows-Integrationen. Es gibt 2 Szenarien, um Ihr RDP zu sichern.

1) OpenOTP CP von RCDevs ist Ihre zusätzliche Schutzebene für die Windows-Anmeldung und den Fernzugriff mit Remote Desktop (RDP) und Terminaldiensten. Dies ist eines der unterstützten Szenarien für RDP-Anmeldungen. Es ist das gebräuchlichste und beinhaltet den Schutz und die Installation des OpenOTP CP für jeden Sitzungshost (Windows-Computer).

2) Schutz eines zentralen Punkts (mit dem Namen RDGateway), an dem jede Verbindung zu einem Sitzungshost über die RDGateway-Server läuft. Dann müssen Sie nicht jeden Host schützen, da die MFA-Anmeldung auf dem RDGateway abgespielt wird. In diesem Szenario wird nur die Push-Anmeldung unterstützt.    

Verstehen wie Sie MS Remote Desktop Services und das RDWeb-Portal mit OpenOTP konfigurieren.