Gigabernie 1 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 (bearbeitet) Hallo Pros, Wegen zunehmenden Hackversuchen speziell über Nacht wollte ich RDP-Verbindungen zeitgesteuert abends abschalten und morgens wieder zulassen. Auf einem WORKGROUP PC funktioniert dieser Befehl problemlos: netsh advfirewall firewall set rule group="remotedesktop" new enable=no Die veränderten Einstellungen sind in der Firwewall sichtbar. Auf einem DOMAIN PC bekomme ich zwar auch (als DomainAdmin) mit dem gleichen Befehl: 3 Regel(n) wurde(n) aktualisiert. Allerdings ist das nicht zutreffend, wenn ich in die Firewall schaue. FYI: DomainAdmins dürfen per GPO Anmelden als Stapelverarbeitungsauftrag. Ich müsste das per AutoTask pro PC individuell einstellen können, da die Leute zu unterschiedlichen Zeiten vom HomeOffice arbeiten. Wäre nett, wenn ihr Vorschläge hättet. Schon mal vielen Dank im Voraus Bernie bearbeitet 22. März 2021 von Gigabernie
Sunny61 816 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 vor 20 Minuten schrieb Gigabernie: Wegen zunehmenden Hackversuchen speziell über Nacht wollte ich RDP-Verbindungen zeitgesteuert abends abschalten und morgens wieder zulassen. D.h. der/die Server/Clients sind vom Internet aus, ohne VPN, über RDP zu erreichen? Schlechte Idee, ganz schlechte Idee. 1
testperson 1.758 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 Hi, sind die PCs alle aus dem Internet per RDP erreichbar? Dann solltest du das (evtl.) einfach abschalten. Ansonsten ganz schönes Klischeedenken, dass Hacker nur nachts on Tour sind und tagsüber schlafen. Gruß Jan 1
NorbertFe 2.155 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 😬 aber die kommen doch alle aus China und da is früher hell als bei uns ;) 2
mwiederkehr 388 Geschrieben 22. März 2021 Melden Geschrieben 22. März 2021 RDP von aussen ist unschön. Falls es darum geht, die Büro-Rechner für Benutzer von zuhause erreichbar zu machen, nimm VPN. Kann man auf jeder Firewall einrichten und Windows 10 unterstützt IPSec, so dass man nicht mal einen speziellen Client braucht. Habe das bei Kunden seit letztem März im grösseren Umfang im Einsatz und es läuft problemlos. Eine zeitliche Zugriffsbeschränkung bringt aus meiner Sicht nichts. Das ist wie den RDP-Port zu ändern: es dauert nur etwas länger, bis die Angriffe starten. Wenn es wirklich nicht anders geht, hättest Du noch folgende Varianten: - Zugriff auf Firewall auf IP-Ranges aus Deutschland beschränken (wobei aber auch in Deutschland Botnet-Teilnehmer stehen...) - Im Security-Event-Log nach der ID 4648 suchen. Dort stehen die erfolgreichen Anmeldungen drin. So kommst Du an die IP-Adressen der Benutzer. Diese kannst Du dann erlauben und alles andere verbieten. (Wobei ich nicht weiss, wie fix die IPs in Deutschland sind. In der Schweiz sind auch die dynamischen recht fix, ändern also so gut wie nicht.) Das ist aber nur in ganz kleinen Umgebungen praktikabel. - Mittels Script nach der ID 4625 (Fehlerversuche) suchen und die IPs blocken. Bringt nach meiner Erfahrung nicht mehr viel, da die Versuche von riesigen Botnetzen kommen und jede IP nur ein paar Mal probiert. 1
Gigabernie 1 Geschrieben 23. März 2021 Autor Melden Geschrieben 23. März 2021 (bearbeitet) Vielen Dank schon mal. Wir haben bereits 56 Site2Site VPNs und 13 Roadwarrior. Von 4,3 Mrd. IP-Adressen werden bereits über 4 Mrd. auf der Securepoint UTM (Router) blockiert. Dort sehe ich logischerweise auch die aktuellen Aktivitäten -> 99.9% aller Scans und Angriffe fangen nachts und übers Wochenende an! Bei den 3 betroffenen Computern/VMs wäre VPN zwar technisch machbar, aber nicht praktikabel, da Dutzende unterschiedliche, häufig wechselnde Leute kurzzeitig darauf zugreifen müssen. Vielleicht hat ja doch noch jemand eine Lösung für das angefragte Problem, anstatt "guten Ratschlägen" VG Bernie bearbeitet 23. März 2021 von Gigabernie
testperson 1.758 Geschrieben 23. März 2021 Melden Geschrieben 23. März 2021 vor einer Stunde schrieb Gigabernie: Dort sehe ich logischerweise auch die aktuellen Aktivitäten -> 99.9% aller Scans und Angriffe fangen nachts und übers Wochenende an! Dann sind das die guterzogenen, die sich an "den Kodex" halten. Die Tragen i.d.R. auch schwarze Kapuzenpullis und nutzen ein "Matrix Wallpaper". :) vor einer Stunde schrieb Gigabernie: Vielleicht hat ja doch noch jemand eine Lösung für das angefragte Problem, anstatt "guten Ratschlägen" Du bist auf dem Holzweg und zwar auf dem ziemlichen morschen. Häng ein SSL / clientless VPN oder ggfs. Remote Web und Remotedesktop Gateway davor bzw. irgendwas, was anhand zweiter Faktoren eine Authentifizierung macht und dann RDP "tunnelt".
Gigabernie 1 Geschrieben 23. März 2021 Autor Melden Geschrieben 23. März 2021 Jetzt nochmal für alle - auch und speziell für testperson: Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer Domäne zeitgesteuert zu verändern. Danke nochmal. Bernie
Sunny61 816 Geschrieben 23. März 2021 Melden Geschrieben 23. März 2021 vor 49 Minuten schrieb Gigabernie: Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer Domäne zeitgesteuert zu verändern. Per GPO über den Taskmanager. Ein GPO für Zeitraum A, ein zweites für Zeitraum B. Und Jetzt musst Du das ganze nur noch gescriptet kriegen. Es gibt sehr viele Scripte für die GPMC: https://www.gruppenrichtlinien.de/artikel/die-scripte-der-gpmc-das-unbekannte-feature Das hier könnte in deine Richtung gehen: Setting Permissions for all GPOs Linked to a Scope of Management
testperson 1.758 Geschrieben 23. März 2021 Melden Geschrieben 23. März 2021 vor 45 Minuten schrieb Gigabernie: Jetzt nochmal für alle - auch und speziell für testperson: Ich suche die Möglichkeit, Firewalleinstellungen einzelner PCs in einer Domäne zeitgesteuert zu verändern. Jetzt hast du mich überzeugt. Ich hab das vorher scheinbar nicht richtig verstanden. Aufgabenplanung + PowerShell - Sind auch Tools der tagsüber schlafenden H4x0r!
Beste Lösung daabm 1.386 Geschrieben 24. März 2021 Beste Lösung Melden Geschrieben 24. März 2021 Sind auf den Domain CLients lokale FW-Ausnahmen zugelassen? Ich würde vermuten "nein" - dann kann man nämlich per netsh beliebig weitere lokale Regeln anlegen, nur interessiert das niemand . Dann wäre die Lösung von @Sunny61 wohl passend. Wenn ja, ginge es per scheduled Task.
Gigabernie 1 Geschrieben 25. März 2021 Autor Melden Geschrieben 25. März 2021 (bearbeitet) Hallo zusammen, Ich hab es jetzt so gelöst: Da man offensichtlich "voreingestellte Regeln" nicht mit netsh in der AutoTask deaktivieren kann (aber manuell schon ???) habe ich eine eigene Regel angelegt: "BlockRDP", die sich jetzt automatisch aktivieren u. deaktivieren lässt. Die Task lässt sich exportieren, dann editieren (wegen unterschiedlicher Zeiten) und auf einem anderen Computer importieren. Das ist ein übersehbarer Aufwand. @Sunny61 Da es nur um eine Handvoll PCs/VMs geht, die zu unterschiedlichen Zeiten erreichbar sein sollten, ist die Lösung zu aufwändig - aber gut zu wissen. @daabm Deine Lösung liegt meiner am nächsten. Vielen Dank an euch beide Man kann leider nur einen "belohnen" - Sorry Sunny VG Bernie bearbeitet 25. März 2021 von Gigabernie
Empfohlene Beiträge