none
RDP nur von Windows 10 erlauben RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Guten Tag Zusammen,

    gibt es bei Windows Server 2012 (Terminalserver) und höher die Möglichkeit festzulegen, dass man eine RDP-Verbindung nur von Windows 10-Clients aufbauen darf?

    Eventuell über Gruppenrichtlinien oder weiteres?

    Vielen Dank schon mal für eure Unterstützung.
    LG AlpinIT

    Montag, 16. Dezember 2019 14:52
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Ja das geht, wenn du die GPO für das zulassen von RDP Verbindungen baust, kannst du bei der Zuweisung eine Einschränkung auf Betriebssysteme definieren.

    Gruß
    Montag, 16. Dezember 2019 15:44
    |
  • Question
    Anmelden
    0
    Anmelden
    wenn du die GPO für das zulassen von RDP Verbindungen baust, kannst du bei der Zuweisung eine Einschränkung auf Betriebssysteme definieren.

    Das verstehe ich jetzt nicht. Es geht ja nicht darum, dass nur Windows 10-Betriebssysteme per RDP antworten, sondern darum, dass nur solche per RDP zu einer bestimmten Farm Verbindungen aufbauen dürfen.

    Nach meinem Verständnis lässt sich das nur auf zwei Wegen erreichen:

    1. Firewall - sofern alle betreffenden Clients in der Domäne sind, kannst Du auf allen anderen den ausgehenden Traffic auf 3389/tcp zu den Adressen der RDS-Farm sperren. Alternativ: Du kennst die Adressen der Windows 10-Maschinen und verbietest auf den Servern eingehende Verbindungen von allen anderen.
    2. Client Build. Ich finde gerade keinen der Links, aber früher war es der heiße Sch..., eine eigene MSTSC zu erzeugen mit eigener Build-Nummer, und nur Verbindungen mit dieser Build-Nummer zu erlauben. Google hilft hier vielleicht.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 16. Dezember 2019 16:57
    |
  • Question
    Anmelden
    0
    Anmelden

    3. IPSec mit Zertifikaten - stelle diese für Win10 passend aus und fertig is'

    4. (Edit: Steht ja schon oben... ok, gestrichen) Client Outbound Firewall Regeln per GPO, die 3389 zu dieser Farm blocken auf allem, was kein Win10 ist (WMI-Filter)

    [to be continued]

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq


    Dienstag, 17. Dezember 2019 09:00
    |
    Beantworter

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Ja das geht, wenn du die GPO für das zulassen von RDP Verbindungen baust, kannst du bei der Zuweisung eine Einschränkung auf Betriebssysteme definieren.

    Gruß
    Montag, 16. Dezember 2019 15:44
    |
  • Question
    Anmelden
    0
    Anmelden
    wenn du die GPO für das zulassen von RDP Verbindungen baust, kannst du bei der Zuweisung eine Einschränkung auf Betriebssysteme definieren.

    Das verstehe ich jetzt nicht. Es geht ja nicht darum, dass nur Windows 10-Betriebssysteme per RDP antworten, sondern darum, dass nur solche per RDP zu einer bestimmten Farm Verbindungen aufbauen dürfen.

    Nach meinem Verständnis lässt sich das nur auf zwei Wegen erreichen:

    1. Firewall - sofern alle betreffenden Clients in der Domäne sind, kannst Du auf allen anderen den ausgehenden Traffic auf 3389/tcp zu den Adressen der RDS-Farm sperren. Alternativ: Du kennst die Adressen der Windows 10-Maschinen und verbietest auf den Servern eingehende Verbindungen von allen anderen.
    2. Client Build. Ich finde gerade keinen der Links, aber früher war es der heiße Sch..., eine eigene MSTSC zu erzeugen mit eigener Build-Nummer, und nur Verbindungen mit dieser Build-Nummer zu erlauben. Google hilft hier vielleicht.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Montag, 16. Dezember 2019 16:57
    |
  • Question
    Anmelden
    0
    Anmelden

    3. IPSec mit Zertifikaten - stelle diese für Win10 passend aus und fertig is'

    4. (Edit: Steht ja schon oben... ok, gestrichen) Client Outbound Firewall Regeln per GPO, die 3389 zu dieser Farm blocken auf allem, was kein Win10 ist (WMI-Filter)

    [to be continued]

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq


    Dienstag, 17. Dezember 2019 09:00
    |
    Beantworter