Wie sicher ist die Remotedesktopverbindung?

8

Werden bei Verwendung der Remotedesktopverbindung die Informationen wie bei SSL sicher hin und her gesendet? Sind Benutzernamen und Passwörter sicher? Muss der Server bei der Verbindung zu einem Remoteserver über eine Remotedesktopverbindung mindestens ein selbstsigniertes SSL-Zertifikat verwenden, um die hin und her gesendeten Daten zu sichern? Ich möchte nur wissen, ob meine Informationen über die Remotedesktopverbindung sicher sind oder nicht. Ich verbinde mich von einem Win7-PC mit einem Windows 2008 R2-Webserver. Danke für Ihre Hilfe!

security windows-7 windows-server-2008-r2 remote-desktop Chris Carpenter
quelle

Antworten:

3

Standardmäßig ist die Verbindung SSL-verschlüsselt mit einem selbstsignierten Zertifikat. Sie sollten bei der ersten Verbindung oder optional bei jeder Verbindung eine Warnung dazu senden. Sie können ein signiertes Zertifikat verwenden, wenn es paranoid ist.

Ollybee
quelle
Diese spezielle Funktion ist nur unter Server 2003 x64, Vista und neuer verfügbar. Ich glaube auch, dass der XP RDC-Client nicht in der Lage ist, dies zu überprüfen, selbst wenn eine Verbindung zu neueren Computern hergestellt wird, sodass jede Verbindung gefährdet sein kann.
Pinguin359
1
In der ursprünglichen Frage wurde auf dem Poster erwähnt, dass er eine Verbindung von Win7 zu Server 2008 R2 herstellt, was in Ordnung sein sollte.
Ryan Bolger
Ja Chris, obwohl viele dieser historischen Informationen interessant sind, sind sie für Ihr Szenario nicht relevant. Wenn Sie nur daran interessiert sind, dass Win7 mit 2008R2 spricht, ist TLS 1.0 SSL die Standardeinstellung und ausreichend sicher, und die Antwort von ollybee ist richtig.
Bret Fisher
2

RDP kann RC4 128-Bit-Verschlüsselung verwenden. Soweit ich weiß, ist RC4 bei gleicher Schlüssellänge nicht so stark wie AES, aber ich bin kein Kryptograf. Diese Funktion ist seit XP vorhanden, wird jedoch nicht benötigt. Die Standardgruppenrichtlinie ermöglicht aus Kompatibilitätsgründen eine minimale oder keine Verschlüsselung. Leider gab es bis zur Verschlüsselung von Server 2003 SP1 keine Authentifizierung der Verbindung, da ein fest codierter privater Schlüssel verwendet wurde. (Ich beziehe mich nicht auf die Anmeldeaufforderung, sobald eine Verbindung hergestellt wurde, sondern während des Verbindungsversuchs.) Dies bedeutet, dass Sie nicht sicher sein können, ob Sie tatsächlich mit dem echten RDP-Server sprechen. Sie könnten einem Man-in-the-Middle-Angriff ausgesetzt sein, bei dem Sie gerade eine verschlüsselte Verbindung mit einem böswilligen Drittanbieter ausgehandelt haben, der alles entschlüsselt und dann erneut verschlüsselt, um es an den realen Server zu senden. Dies kann nur beim ersten Kontakt geschehen. Wenn Sie tatsächlich eine Verbindung hergestellt und die Verschlüsselung mit dem realen Server ausgehandelt haben, sind Sie sicher, zumindest bis Sie erneut versuchen, eine Verbindung herzustellen. Ab Server 2003 SP1 und Vista wurde TLS hinzugefügt und ein Zertifikat wird automatisch generiert, um den Verbindungs-Handshake zu signieren. Sie müssen noch lernen, was das Zertifikat ist, aber es kann gespeichert werden, um zukünftige Verbindungen zu überprüfen. Im Idealfall wird das Zertifikat von der internen Zertifizierungsstelle für Ihre Domain signiert. Wenn jedoch keine PKI vorhanden ist, können Sie bei der ersten Verbindung weiterhin einem Man-in-the-Middle-Zertifikat unterliegen, es sei denn, Sie überprüfen den Fingerabdruck.

Pinguin359
quelle
Um das hinzuzufügen; RC4 ist heutzutage nicht "sicher". Aufgrund der Verwendung in der WEP-WLAN-Verschlüsselung wurde viel Zeit und Energie in die Entwicklung besserer Angriffe gegen die mathematischen Fehler von RC4 gesteckt. Aus den gleichen Gründen, aus denen WEP heutzutage eine sehr schlechte Idee ist, gilt dies auch für RC4.
Shane Madden
2
@Shane WEP war auch eine schlechte Implementierung von RC4, es war nicht ganz RC4s Fehler, wenn man nur einen 40-Bit-Schlüssel und einen 24-Bit-Seed verwendete. Aber RC4 wird jetzt ein bisschen alt.
Pinguin359
Oh, ich sollte diesen Artikel hinzufügen: mobydisk.com/techres/securing_remote_desktop.html
penguin359