Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 25 subscribers
  • Views 5597 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Terminalserver über WAF & OTP veröffentlichen

VolkerZier
Hallo NG,

ich habe die Anforderung einen Windows 2012R2 Terminalserver über HTTPS mit zwei Faktor Authentifizierung zu veröffentlichen.
Hat das hier schon mal jemand gemacht, gibt es dazu evtl. ein WhitePaper?
Ich werde ja wohl nicht der Erste sein, oder?

Schöne Grüße.


This thread was automatically locked due to age.
  • 0
    Kommt drauf an was du genau meinst [;)]

    Es gibt ja einmal die Webseite mit den RemoteAPP Anwendungen bzw. den Desktops und den Remotedesktop Gateway an sich. Auch wenn du die Webseite mit der WAF freigibst erfolgt die Verbindung an sich über 3389 und 3391 mit dem Remotedesktop Gateway. Wenn du also die Webseite mit dem WAF und OTP absicherst musst du dich noch immer um die Verbindung an sich kümmern. Wenn jemand den Remotedesktop Gateway weiß, kann er sich auch ohne Webseite verbinden und die automatische RemoteAPP Konfiguration ab Windows 7 funktioniert auch nur mit statischen Zugangsdaten ohne OTP.

    Bestimmter Grund wieso du es so bauen willst?
  • 0
    Hi,

    ich kann dir nur empfehlen das vernünftig zu machen mit einem TS Gateway. RDP direkt würde ich nicht veröffentlichen. Wenn du das mit dem TS GW machst funktioniert das ganze über "rpc over https". Ausnahme ist die Webseite, die solltest du über HTTPS publishen und entsprechend über die WAF absichern.

    Ich hab das vor langer Zeit mal mit RSA gemacht. Du kannst dich an der Website mit zwei Faktoren authentifizieren. In den RDP Eigenschaften auf Server Seite muss du dann entsprechend einen Verweis eintragen. Dadurch kann sich nicht jeder direkt auf das Gateway verbinden.

    Hier ist mal ein Artikel von damals. Das ist zwar noch 2008 und ISA aber man kann das sicher ableiten.

    TS Gateway 2008 & RSA

    Achte besonders auf die "Common & Custom RDP Settings". Damit stellst du sicher das nicht jeder zugreifen kann.

    vg
    mod

    €dit
    Das Onboard OTP auf der UTM kannst du nur verwenden wenn du nichts anderes veröffentlichst. Leider lässt sich das nicht auf einen virtuellen Webserver anwenden. Ich habe dazu einen Feature Request erstellt. Leider scheint das niemanden zu interessieren [:(]
    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/6359585-make-onboard-otp-usable-for-special-virtuell-webse

    Die Lösung funktioniert aber wahrscheinlich sowieso nur mit einer externen OTP Lösung.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?