GELÖST Zugriffsbeschränkung auf Server 2003

Diskutiere Zugriffsbeschränkung auf Server 2003 im Windows Server 2003 Forum im Bereich Server Systeme; Hallo miteinander, mich beschäftigt als Admin seit einiger Zeit folgendes Problem: In meinem Unternehmen stehen ca. 25 Server die jeweils nach...
E

Einstein72

Threadstarter
Mitglied seit
30.08.2006
Beiträge
174
Alter
47
Hallo miteinander,

mich beschäftigt als Admin seit einiger Zeit folgendes Problem:

In meinem Unternehmen stehen ca. 25 Server die jeweils nach Aufgabenverteilung in unterschiedlichen VLANs untergebracht sind.

Hauptsächlich findet die Administration dieser Server (alle Win2003) bequem per RDP statt. Natürlich sind die Zugriffsrechte über RDP so vergeben, dass nur für Administratorenkonten eine entsprechende Verbindung zum gewünschten Server hergestellt wird. Soweit ist also alles in Ordnung.

Im Rahmen der bereits laufenden Vorbereitung für die Zertifizierung nach BSI-Grundschutz bzw. ISO 27001 ergibt sich allerdings eine neue Anforderung zur IT-Sicherheit. Und diese sieht folgendermaßen aus:

Es ist sicherzustellen, dass eine Verbindung per RDP nur von vorher definierten Rechnern (also Server oder PC) zu den Servern aufgebaut werden können; unabhängig von der Benutzerregelung. Mit anderen Worten: ich muß irgendwie sicherstellen, dass nur die für die Administration vorgesehenen PCs in der Lage sind (7 von insgesamt 250) per RDP auf die Server zuzugreifen.

Um diese Anforderung nun aber zu realisieren, fallen mir auf Anhieb 2 Möglichkeiten ein, die aber mit zusätzlichen Investitionen in nicht unerheblicher Höhe verbunden sind und ebenso hohen administrativen Aufwand erfordern.

Meine Frage also: gibt es eigene Windows-Server Funktionalitäten um dies zu realisieren (z.B. über Richtlinien)? Oder gibt es entsprechende Softwarelösungen dazu? Meine Recherchen dazu haben bisher nichts brauchbares ergeben. Aber vielleicht plagt ja dem einen oder anderen Admin hier ein ähnliches oder sogar das gleiche Problem.

Gruß Einstein72.
 
morpheus36

morpheus36

WB Wiki - Team
Mitglied seit
10.01.2008
Beiträge
700
Alter
48
Standort
Köln
Hi Einstein72,

womit werden die VLAN´s bei euch realisiert? Vielleicht gibt es an entsprechender Schnittstelle eine Konfigurationsmöglichkeit.

Ansonsten könnte es funktionieren, wenn vor den 25 Servern managebare Switchts hängen, die dementsprechend RDP 3389 ausschliesslich an bestimmte MACs/IPs zulassen. Im Falle der Beschränkung auf IP, könnte man den DHCP-Server mit statischem Adress-Pool an MAC-Adressen der 7 Clients binden.

Ist natürlich alles nur theoretisch und schwierig nachzuvollziehen, wenn die physikalische Konfiguration nicht bekannt ist.
 
S

seppjo

Gast
zustimm^^ per FW
 
E

Einstein72

Threadstarter
Mitglied seit
30.08.2006
Beiträge
174
Alter
47
Hallo morpheus36 und seppjo,

danke erstmal für die Antwort.

Die VLANS werden hier mit 2 redundant laufenden Cisco Routern ASA5520 realisiert. Weiterhin sind insgesamt 10 HP Switches installiert wovon allerdings nur eine voll managebar ist und entsprechendes Routing als auch Portfiltering beherrscht. Es gibt ein VLAN für PCs, 3 VLAN für Server sowie 2 VLAN für die Anbindung von Aussenstellen per VPN und 1 VLAN für die VoIP-Anlage.

Die Konfiguration der einzelnen VLANs übernehmen also meine Cisco-Router. Eine Switch übernimmt das Routing zwischen den einzelnen Etagen-Switchen.

Da ich 2 Terminalserver im Betrieb hab (Zugriff für freigegebene Nutzer per RDP), von denen aus der Zugriff auf unternehmenskritische Anwendungen erfolgt, die dummerweise in einem der Server-VLANs untergebracht sind, konnte ich bisher den Zugriff per RDP nur auf Benutzerebene regeln und nicht über Hardware.

Mir ist aber auf dem Heimweg glaub ich eine Lösung eingefallen, wie ich mein Problem zu einer akzeptablen Lösung verhelfen kann:

Die 2 Terminalserver bekommen ein eigenes VLAN. Und die Administrator-PC stecke ich ebenfalls in ein eigenes VLAN. Dann kann ich auf dem Cisco-Router entsprechende Regeln hinterlegen, dass nur das VLAN der Admin-PCs RDP-Zugang zu sämtlichen Server-VLANs haben und die berechtigten Benutzer eben weiterhin über Benutzergruppen den Zugriff auf die Terminalserver erhalten. Damit müsste ich dann eigentlich auf der sicheren Seite sein.

Sollte sich hier noch ein Denkfehler eingeschlichen haben, dann teilt mir dies bitte mit.

Gruß Einstein72.

PS: Manchmal kommen einem die rettenden Ideen erst, wenn man dieses an einen weiteren Personenkreis herangetragen hat. ;-)
 
Zuletzt bearbeitet:
Thema:

Zugriffsbeschränkung auf Server 2003

Zugriffsbeschränkung auf Server 2003 - Ähnliche Themen

  • Windows Update Fehler 8024200D (Server 2008R2)

    Windows Update Fehler 8024200D (Server 2008R2): Seit Oktober kann ich keine Updates installieren angefangen hat es mit folgendem Update: 2019-10 – Monatliches Sicherheitsqualitätsrollup für...
  • NAS Server wird nicht im Netzwerk erkannt,

    NAS Server wird nicht im Netzwerk erkannt,: NAS Server wird nicht im Netzwerk erkannt, sämtliche Schutzprogramme sind nicht deaktiviert und Firewall deaktiviert. Es kommt die Fehlermeldung...
  • Synchronisation zwischen MS SQL Server und MySQL Datenbank(inkrementell)

    Synchronisation zwischen MS SQL Server und MySQL Datenbank(inkrementell): Hallo, wie kann ich alle 3 Stunden einen lokalen MS SQL Server auf Veränderungen prüfen und ggf. die Veränderungen auch in einer MySQL Datenbank...
  • Windows Server 2016 Systemsprache zeigt nur Symbole

    Windows Server 2016 Systemsprache zeigt nur Symbole: Hallo Leute, ein Kollege hat einem Server gearbeitet. Danach haben wir dieses Bild gesehen. Kann jemand sagen wie das zustandekommt? Und wie man...
  • GELÖST Zugriffsbeschränkung für HP LJ 4550 Drucker

    GELÖST Zugriffsbeschränkung für HP LJ 4550 Drucker: Hallo Winboarder, in einem kleinen Netzwerk ohne Server welches über einen Level One FBR-1418TX Router verbunden ist, existiert ein HP LJ 4550...
  • Ähnliche Themen

    Oben