carnivore 10 Geschrieben 25. Juni 2016 Melden Teilen Geschrieben 25. Juni 2016 Hallo, Ich versuche seit einiger Zeit das RDP-Protokoll bzw. die Umsetzung bei Microsoft etwas besser zu verstehen Kann ich irgendwie, egal ob z.B. in einem Eventlog am RDP-Client/ RDP-Server oder im Netzwerktrace, auslesen, welches Protokoll (TLS 1.0, TLS 1.1 oder TLS 1.2) ggf. sogar welcher Cipher bei einer RDP-Verbindung verwendet wird? Ich habe SSL, TLS 1.0 und TLS1.1 in der Registry disabled, nur würde ich den Erfolg auch gerne monitoren. Aus den Eventlogs bzw. mit Wireshark kann ich leider nichts rauslesen, da der Traffic über TPKT verschlüsselt ist. Laut. der Microsoft RDP Specifikation [MS-RDPBCGR] gibt es die "Client Security Exchange PDU" mit dieser Information im Protokoll. Ich weiß leider nicht, wie ich da ran komme, da diese im TPKT-Protokoll verschlüsselt ist. Mein Versuchsaufbau sind zwei virtuelle Win10 Maschinen + Wireshark. Letztlich muss ich aber irgendwie herausfinden, wenn RDP-Verbindungen zu weltweit verteilten Maschinen nicht auf dem geforderten Level verschlüsselt sind. Danke für mögliche Ideen Carnivore Zitieren Link zu diesem Kommentar
Beste Lösung testperson 1.677 Geschrieben 26. Juni 2016 Beste Lösung Melden Teilen Geschrieben 26. Juni 2016 (bearbeitet) Hi, auf Win7 / 2008 R2 System muss KB3080079 installiert sein. Des Weiteren solltest du dann SSL (http://gpsearch.azurewebsites.net/#2472) per GPO erzwingen (und RDP Sicherheit deaktivieren). Ggfs. noch mit IISCrypto alles ausser TLS1.1 und TLS1.2 deaktivieren. Zur Überprüfung müsstest du dann das Schannel Logging erhöhen. Dazu unter "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL" einen DWORD "EventLogging" mit dem Wert "0x0007". (https://support.microsoft.com/en-us/kb/260729) Gruß Jan P.S.: Falls du dich wunderst, dass überall in der GUI zur Konfiguration nur TLS1.0 angezeigt wird: https://support.microsoft.com/en-us/kb/3097192 bearbeitet 26. Juni 2016 von testperson 1 Zitieren Link zu diesem Kommentar
carnivore 10 Geschrieben 26. Juni 2016 Autor Melden Teilen Geschrieben 26. Juni 2016 (bearbeitet) .. DWORD "EventLogging" mit dem Wert "0x0007". (https://support.microsoft.com/en-us/kb/260729) Danke, genau dieses Logging hat mir gefehlt. Das Log zeigt sogar genau den verwendeten Cipher an! Mehr und viel einfacher als ich erwartet hatte! Gruß Carnivore bearbeitet 26. Juni 2016 von carnivore Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.