Sicherheitslücke in Remote Desktop Services

Fragen zum Bereich Netzwerk
Antworten
StephanAausB
Foren-Einsteiger
Beiträge: 8
Registriert: 4. Okt 2013, 10:02

Sicherheitslücke in Remote Desktop Services

Beitrag von StephanAausB » 19. Jul 2019, 08:35

Hallo,

ich habe von meinem Provider ein Schreiben erhalten, dass es eine Sicherheitslücke bei meinem Internetzugang gibt.
Hier heißt es, dass der aus dem Internet erreichbare RDP-Dienst mit der Bluekeep-Schwachstelle identifiziert wurde.
Es wird empfohlen den Router / Endgeräte / Netzwerkgeräte so zu konfigurieren, dass nicht relevante Ports oder Dienste geschlossen sind.
Außerdem soll man prüfen, ob eine neuere Firmwareversion vorhanden ist. Nur für WHS2011 werden keine Updates mehr angeboten.

Es wird auf ein Schreiben des BSI verwiesen:
https://ww.bsi.bund.de/DE/Presse/Presse ... 50519.html
Leider wird WHS20111 nicht bei den Updates aufgeführt.
Ich habe bereits versucht, das Update für den Windows Server 2013 auszuführen, aber da bekomme ich eine Fehlermeldung, Der Speicher würde nicht ausreichen.

Kann mir jemand helfen?

JoachimL
WHS-Experte
Beiträge: 1173
Registriert: 21. Sep 2009, 22:48

Re: Sicherheitslücke in Remote Desktop Services

Beitrag von JoachimL » 19. Jul 2019, 18:16

Es war noch nie eine gute Idee RDP ins Internet zu exponieren. Das Protokoll ist so komplex dass immer wieder Schwachstellen gefunden wurden. RDP macht man nur im lokalen Netz und ggfs. über ein VPN oder über ein Html-RDP-Gateway wie Guacamole.
Gruß Joachim
WHS 2011 r.i.p. - Software die nicht mehr gewartet wird sollte man nicht mehr einsetzen.
Bei mir laufen drei Dell T20, teils mit Hyper-V-2016 (noch, 2019 in Planung), teils mit Windows 10 Pro. Einer läuft 7*24 und stellt u.a. Mailcow-Dockerized und einen Samba-Domain-Controller bereit. Klingt vielleicht seltsam, aber so ist das System mit Bitlocker verschlüsselt und kann vollständig und konsistent gesichert werden - beides sonst unter Linux schwierig bis unmöglich.
Die anderen dienen der Softwareentwicklung und als Backup-Server - eigene Software.
Fragen bitte nicht per PN sondern im Forum - dann haben andere auch was davon. Ich poste hier in meiner Freizeit, Ungeduld ist meiner Meinung nach fehl am Platz...

Benutzeravatar
larry
Moderator
Beiträge: 9900
Registriert: 22. Dez 2007, 16:13

Re: Sicherheitslücke in Remote Desktop Services

Beitrag von larry » 20. Jul 2019, 10:23

Wie Joachim schon schrieb, sollte man RDP generell nur im eigenen Netz verwenden. Somit solltest du den Portweiterleitung des Ports 3389 im Router löschen.

Grundsätzlich würde ich aber beim WHS 2011 mangels Updates alle Portweiterleitung löschen. Ein abgekündigtes Betriebssystem hat immer ein gewisses Risiko, durch eine Verfügbarkeit von Außen wird dies aber nochmals deutlich erhöht. Da würde ich bei einem notwenigen Zugriff eher auf andere Lösungen wie z.B. Teamviewer setzen.

Wenn du aber dennoch den Server von außen verfügbar haben möchtest und nicht auf ein aktuelles OS wechseln möchtest, solltest du versuchen alle fehlenden Updates zu installieren.
Hierzu müsstes du schauen, welche Updates für den Server 2008 R2 seit ca. Mai 2018 verfügbar sind und diese versuchen manuell zu installieren. Über den Updateverlauf kannst du prüfen, welche Updates bereits installiert sind.

Gruß
Larry

StephanAausB
Foren-Einsteiger
Beiträge: 8
Registriert: 4. Okt 2013, 10:02

Re: Sicherheitslücke in Remote Desktop Services

Beitrag von StephanAausB » 1. Aug 2019, 10:30

Hallo,

danke für die Antworten.
Ich bin schon länger am Überlegen, den Server auszutauschen. Das Problem dabei ist, dass ich einfach keine Zeit finde, dies in Angriff zu nehmen.
Ich bin sehr viel unterwegs, und die RDP Verbindung ist eine einfache Möglichkeit, von überall auf den Server zuzugreifen. Ich habe nun aber die Freigabe für den RDP Port deaktiviert und werden erst einmal über AnyDesk auf den Server zugreifen.
Leider ist sowohl über AnyDesk als auch über Teamviewer die Bildschirmauflösung nicht so gut, wie sie über RDP ist.

Der WHS hat mir so viele gute Dienste geleistet, aber der Umstieg auf Windows 2016 oder 2019 Essentials ist beschlossene Sache.

Viele Grüße
Stephan

Antworten