none
GPO - VPN Verbindung - kein Zugriff auf clipboard und lokale Peripheriegerät RRS feed

  • Frage

  • Hallo,

    erstmal muss ich sagen, danke für die ganzen hilfreichen Nachrichten die ich bereits in diesem Forum finden konnte.
    Dieses mal muss ich aber selbst tätig werden um hoffentlich eine Lösung für mein Anliegen zu finden.

    Es besteht der Wunsch nach eine Regulierung, wenn

    1. sich Person-A über VPN-A auf TER-A verbindet.
    Dort sollen die lokalen Peripherien und die Zwischenablage in der RDP-Verbindung unterbunden werden.

    2. sich Person-A oder B über VPN-B auf TER-A verbindet.
    Alles erlaubt wird.

    Für die Beschränkung des clipboards habe ich natürlich schon einiges gefunden.
    User Configuration>Administrative Templates>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Do not allow Clipboard redirection

    Auch die Ressource Redirection wird kein Problem darstellen.
    Computer Configuration>Administrative Templates>Windows Components>Remote Desktop Services>Remote Desktop Session Host>Device and Resource Redirection


    Mein Problem bei der Sache ist, diese Computer Configuration nur wirken zu lassen, wenn sich Person-A über VPN-A auf TER-A verbindet.

    Und nicht wirken soll, wenn sich Person-A oder B über VPN-A auf TER-A verbindet.

    LG
    Donnerstag, 10. September 2020 12:46

Alle Antworten

  • Ich vermute das ist ein Schreibfehler?

    "Mein Problem bei der Sache ist, diese Computer Configuration nur wirken zu lassen,
    wenn sich Person-A über VPN-A auf TER-A verbindet.

    Und nicht wirken soll, wenn sich Person-A oder B über VPN-A auf TER-A verbindet."

    Was soll sie nun, wirken oder nicht wirken? Beides gleichzeitig geht ja nicht.
    Aber ich denke, du meinst:
    - erlauben wenn nicht über VPN
    - nicht erlauben wenn über VPN

    Finden kann ich da nichts, da die Erkennung des Clients via VPN wohl nicht so einfach ist.
    Eine generelle Einstellung per GPO scheidet da aus.
    Auch eine Erkennung via Anmeldung scheidet aus, da ich den Desktop ja stehen lassen kann und mich dann per VPN wieder auf die laufende Sitzung aufschalten kann.

    Vielleicht gibts ja auch einen Wächter für Reconnect RDP.

    Mit Microsoft-Mitteln wird es ggf. nicht gehen. Aber mit Fremdwekzeugen á la Citrix erhält man dann eine Sitzung via Web. Also lokal RDP, remote Citrix.

    Donnerstag, 10. September 2020 13:08
  • Ich hab mit GPOs schon viel gemacht - auch Sachen, von denen andere sagten das geht nicht. Was DU hier willst, geht tatsächlich nicht. Zumindest nicht mit Bordmitteln. Vielleicht gibt's Drittanbieter, weiß ich nicht. Vielleicht könnte man was skripten, das mit der aktuellen Client-IP was anfängt. Aber alles eher #grütze :-)

    Und wie Du schon richtig erkannt hast: Die Ressourcenumleitung ist eine Computereinstellung - und dem Computer ist es völlig egal, wann oder woher der RDP-Connect kommt, das ist zu dem Zeitpunkt entweder an oder aus.

    Der Sinn des ganzen ist ohnehin extrem fragwürdig. Klingt sehr nach "Security by Obscurity"...


    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Donnerstag, 10. September 2020 14:49
    Beantworter
  • Wie Martin richtig schreibt, das wir sehr wackelig, bestenfalls.

    Citrix hätte es gekonnt, aber das hilft Dir jetzt vermutlich nicht weiter ;-)

    Alternativvorschlag aus der Microsoft-Trickkiste: RD Gateway. Da kannst Du in den CAP vorgeben, dass die Redirection unterdrückt wird:

    Ich persönlich würde das dann *statt* VPN nutzen anstatt dahinter, aber das kannst Du regeln wie Du möchtest.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 10. September 2020 17:00
  • Interessanter Ansatz. Wenn man allerdings diesen Betrag liest:
    https://www.computerweekly.com/de/tipp/Windows-RDS-mit-dem-Remote-Desktop-Gateway-absichern
    wäre die Kombination VPN + RDG (Variante 1) die sicherste und einfachste Lösung.
    Allerdings ist die Verwendung des Ports 443 dann duch eine Subdomain vom Exchange oder Web-Host zu trennen.

    Donnerstag, 10. September 2020 17:29
  • Erstmal muss ich mich für die späte Reaktion meinerseits entschuldigen. Man kann sich vorstellen warum ;).
    Zweitens, danke vielmals für die Antworten von euch!

    @Herrn Binder
    Danke vielmals für Ihren Input. Security by Obscurity, das können Sie garantiert besser einschätzen als ich.

    @Der Suchernde + Evgenij Smirnov
    Leider steht in dem Fall die Citrix Umgebung nicht zur Verfügung.

    Nochmals danke für den alternativen Vorschlag, sobald sich ein Zeitfenster öffnet werde ich mich nochmals daran versuchen.

    Die WMI Filterung wäre aber ein falscher Ansatz oder?

    *Markierungen der besten Antwort werden natürlich im Laufe des Prozesses noch vergeben*

    Dienstag, 15. September 2020 10:12