Remotedesktop - Verschlüsselung?

[m43stro 10]

Hi

 

ich bastel gerade an einer WinPE Version und frage mich, wie ist das eingentlich mit der Sicherheit bei der Authentifizierung über Remotedesktop.

 

In meinem Projekt startet der User den Rechner und bekommt nach dem Boot kein vollständiges Windows, sondern nur eine Remotesession zu einem Terminal Server.

 

Mit WinPE ist ja Windows sehr abgespeckt.

 

Remotdesktop arbeitet mit zwei Dateien: mstsc.exe und mstscax.dll

 

Welche Verschlüsselung wird benutzt?

Ich habe über google etwas über RDP Verschlüsselung gefunden mit RC4 Algorithmus.

Wird das auch bei Win XP bzw. PE verwendet?

 

Hat das abspecken von WinPE auf die Verschlüsselung eine Auswirkung?

 

Kann ich andere Verschlüsselung einsetzen? Kerberos IPsec

 

 

Wäre über Antworten sehr Dankbar!

[weg5st0 10]

Also grundsätzlich kannst du mit TLS arbeiten, das wird hier beschrieben:

How to configure a Windows Server 2003 terminal server to use TLS for server authentication

 

Ob und wie das allerdings bei PE läuft weiß ich nicht.

 

Mit IPSec wird natürlich alles verschlüsselt. Das will aber gut geplant sein und ob das mit PE geht weiss ich auch nicht.

Zum Einstieg IPSec mal diese Links hier:

IPSec support for client-to-domain controller traffic and domain controller-to-domain controller traffic

Guide to Internet Protocol Security (IPSec)

[m43stro 10]

Danke für die schnelle Reaktion.

 

Ob und wie das allerdings bei PE läuft weiß ich nicht.

 

Wie läuft es den mit WinXP ab?

Ich gebe mein Benutzername und PW ein und weiter? Wie werden diese Informationen verschlüsselt? Sind da vielleicht Dienste für Zuständig oder nur die mstsc.exe?

[weg5st0 10]

Da sind Zertifikate zuständig. Schau dir mal die Links an.

[m43stro 10]

Da sind Zertifikate zuständig. Schau dir mal die Links an.

 

The client computer must trust the root Certification Authority of your terminal server's certificate. Therefore, the client computer must have the certificate of the Certification Authority in the Trusted Root Certificate Certification Authorities folder of the client computer. You can view this folder by using the Certificates snap-in.

 

So langsam verstehe ich die Funktionsweise.

Habe mal ein Snapin hinzugefügt.

Zertifikate - Aktueller Benutzer

Zertifikate - Lokaler Computer

Zertifikate - Computer Konto

 

Welches nur dafür verantwortlich würde mich echt wahnsinnig interessieren.

Wo die auf der Festplatte liegen konnte ich auch noch nicht finden.

 

Wird es bereits bei der Verbindung zum Server verschlüsselt oder erst bei der Eingabe von PW?

 

Danke

[m43stro 10]

Habe mich jetzt intensiv mit dem Thma auseinandergesetzt und habe jetzt eine ganz andere Frage.

 

Wie realisiert man RDP in Verbindung mit IPsec?

 

Ich finde dazu keine ansetze.

 

Hast das jemand schon mal ausprobiert?

[weg5st0 10]

Das hat miteinander auch eigentlich nichts zu tun.

 

Bei Ipsec wird jeglicher Verkehr zwischen zwei (oder mehr) Hosts verschlüsselt. Dazu zählt u.a. rdp, aber halt auch alles andere, was IP macht.

[m43stro 10]

Das hat miteinander auch eigentlich nichts zu tun.

 

Bei Ipsec wird jeglicher Verkehr zwischen zwei (oder mehr) Hosts verschlüsselt. Dazu zählt u.a. rdp, aber halt auch alles andere, was IP macht.

 

heisst es, dass bei IPsec es sich einfach um irgendein Zertifikat handelt, der z.B. für RDP konfiguriert werden muss?

[weg5st0 10]

Nein!

 

Entweder IPSEC: Dann wird alles verschlüsselt.

Oder: Kein IPSEC: Alles wie bisher.

 

Hat nichts mit rdp zu tun!

[sysiphos 10]

Hi,

was du meinst ist eine VPN-Verbindung über die du dann eine Remote Session herstellen kannst, ist hier bestens beschrieben.

 

Gruß

Enzo

[m43stro 10]

nein nein, nicht VPN

 

also was ich meine ist eine Remotedesktopverbindung mit IPsec.

 

IPsec ist ein eigenständiges Protokoll und RDP auch.

 

Kann man nun eine Remotedesktopverbindung mit IPsec gewährleisten oder ist die Windows Remotedesktopverbindung nur mit RDP möglich?

[weg5st0 10]

Immernoch falsch verstanden.

 

rdp ist eine Applikation die auf das IP-Protokoll aufbaut. Damit ist das rdp Protokoll auf Schicht 4 oder höher angesiedelt.

 

IPSec ist das "Transportprotokoll" für rdp Pakete auf Schicht 3.

 

Stell dir das so vor:

 

IP-Protokoll wird im ganz normalen Postweg mit Postkarten transportiert. Dabei kann der Inhalt der Karte rdp sein, also sowas wie das Bild des Desktop. Da kann aber auch DNS draufstehen und ein Name in eine IP-Adresse übersetzt sein, oder eine Datei ist darauf abgebildet, oder oder oder.

 

Mit IP-Sec änderst du das Transportverfahren (du lässt den Brief im verschlossenen Umschlag mit einem Geldtransporter direkt beim Empfänger abliefern). Der Inhalt des Briefes kann wie bei der Postkarte auch alles mögliche sein.

[m43stro 10]

sorry, jetzt habe ich es verstanden.

 

quasi mit vpn vergleichbar wo auch dieverse andere protokolle getunnelt werden.

 

Gut, nun dann eine weitere Frage.

Ist den nicht IPsec standardmässig in XP integriert?

Wie kann man das nachprüfen ob RDP im IPsec getunnelt wird?

 

Danke

[weg5st0 10]

Ipsec ist als "Feature" integriert. Muss aber natürlich konfiguriert und aktiviert werden.

Ob Embed das kann weiss ich leider nicht.

 

Entweder alles geht über ipsec oder nichts! Du kannst den Server so konfigurieren, dass er nur IPSec Pakete akzeptiert.

Das geht über eine Gruppenrichtlinie.

 

ABER: Wie gesagt: Vorher miuss das konfiguriert werden. Einfach richtlinie einschalten geht nicht.

 

Stöbere mal im Forum, bei MS und bei Freund Google, da findest du haufenweise Tutorials zur Einrichtung von IPSec unter Windows. Vielleicht ist da auch was zu Thinclients dabei.

[m43stro 10]

Danke

 

nein einrichten möchte ich es nicht, nur verstehen.

Vor und Nachteile von RDP und Citrix sind gerade mein Thema.

 

Passend dazu eine Frage.

Wie ist es mit RSA RC4, wenn man Remoteverbindng von XP damit betreibt.

 

Muss von der Clientseite etwas konfiguriert werden oder ist es nur für die Serverseite notwendig?