RDP-Zugriff-auf-Work-Station-innerhalb-MWN

Kurzfassung

Um Arbeit auf der Workstation auch aus dem Home Office zu ermöglichen, ist diese innerhalb des MWN (insbesondere also nach Verbindung mit dem TUM-VPN) über Microsoft Remote Desktop unter der IP 10.162.111.159 erreichbar, solange sie eingeschaltet ist.

Benutzerkonten

Für Login auf Workstation aus dem MWN

PC name	Benutzer	Wer hat das Passwort?	Bemerkung
10.162.111.159	DigiLLab	Bert, Joachim, Arne	Administrator
10.162.111.159	Joachim	Joachim	Administrator

Beides sind lokale Konten auf der Workstation (tbc: die Workstation ist gar nicht mit dem Active Directory verbunden).

Für Login auf der SLF-VM von der Workstation aus

Falls mit Benutzer DigiLLab eingeloggt: HyperV-Manager öffnen und Doppelklick auf die VM. Falls mit Benutzer Amelie eingeloggt: Remote Desktop Anwendung öffnen und dann

PC name	Benutzer	Wer hat das Passwort?	Bemerkung
SLF-LAB-SERVER	Amelie	Joachim, Amelie	gleiches Passwort wie oben

Benutzer Amelie ist als lokaler Benutzer innerhalb der VM angelegt und dort der Gruppe der Benutzer hinzugefügt, die Remote-Zugriff auf die VM haben (heißt in dem Fall: rdp-Zugriff auf die VM von der Workstation aus). Dieser Benutzer ist logisch unabhängig von Amelie auf Ebene der Workstation (=> etwaige Passwortänderungen auf beiden Ebenen vornehmen!)

Konfiguration

Die Workstation hängt aktuell an der Fritz Box, die als Internet-Router (und nicht IP-Client) eingestellt ist, wodurch sie einen eigenen IP-Adressbereich erstellt der nicht direkt aus dem MWN erreichbar ist. Um einen Zugriff mit Microsoft Remote Desktop zu ermöglichen, ist daher auf der Fritz Box der Port 3389 (Standard-Port für remote desktop protocol) der Work Station freigegeben. Die beteiligten IP-Adressen 10.162.111.159 der Fritz Box im MWN und 192.168.188.41 der Work Station im Netz der Fritz Box sind nicht fest, werden aber auch bei Neuanmeldung im jeweiligen Netzwerk normalerweise wieder so zugewiesen (vgl. System -> Ereignisse auf der Fritz Box).

Sicherheit

Den Empfehlungen einer Mini-Serie auf heise.de folgend (insb. Teil 3 RDP: Testen und angreifen und Teil 4 RDP: Best Practices), ist der Zugriff nur aus dem MWN und nicht aus dem Internet möglich. Zusätzlich liefert der in Teil 3 beschriebene Test

nmap -P0 -p 3389 --script rdp-enum-encryption 10.162.111.159

das gewünschte Ergebnis:

Starting Nmap 7.80 ( https://nmap.org ) at 2022-03-02 20:36 CET
Nmap scan report for 10.162.111.159
Host is up (0.0020s latency).

PORT     STATE SERVICE
3389/tcp open  ms-wbt-server
| rdp-enum-encryption: 
|   Security layer
|     CredSSP (NLA): SUCCESS
|     CredSSP with Early User Auth: SUCCESS
|_    RDSTLS: SUCCESS

d. h. ein Downgrade auf unsichere RDP-Verbindungen kann dank der aktuellen Version auf der Work Station nicht erzwungen werden.