Remote Desktop absichern
Zur Absicherung des Remote Desktop Protokolls gehört die Aktivierung der Network Level Authentication, die High-Level-Encryption sowie der Security Layer SSL zum Standard. Weitere Härtungsmaßnahmen für Standalone Server findet ihr in diesem Beitrag. Das Auditing ist ebenfalls ein wichtiges Thema, dazu mehr in diesem Beitrag. Wem das alles zu viel ist, kann sich diese Checkliste mal ansehen.
RDP NLA Encryption Level Security Layer
Mithilfe der Powershell lässt sich das auf Standalone-Servern wie folg umsetzen.
Die Einträge finden wir in der Registry an dieser Stelle:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Powershell - RDP NLA Encryption Level Security Layer
# Network Level Authentication abfragen und aktivieren
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).UserAuthenticationRequired
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).SetUserAuthenticationRequired(1)
# Verschlüsselungsstufe abfragen und 128-Bit aktivieren. Wert 4 ist FIPS
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).MinEncryptionLevel
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).SetMinEncryptionLevel(3)
# RDP Sicherheitsebene abfragen und auf SSL/TLS einstellen
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).SecurityLayer
(Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).SetSecurityLayer(2)