Unbefugte aus dem Homeoffice aussperren

Unbefugte aus dem Homeoffice aussperren
Naja, nicht wirklich. Aber die Zweifaktorauthentifizierung hilft, Unbefugte abzuwehren!

Remotedesktop fürs Homeoffice

Die Microsoft-Remotedesktopverbindung wird in kleinen und mittelständischen Unternehmen häufig als Lösung für Homeoffice genutzt, um aus der Ferne auf den Arbeitsplatz im Büro zuzugreifen. Eine kostengünstige und ausreichend flexible Lösung für viele Unternehmen.

Allerdings bereitet mir immer die Tatsache Bauschmerzen, dass Mitarbeiter im Remotedesktopclient ihre Anmeldedaten speichern können, wenn sie das entsprechende Häkchen setzen. Das ist zwar komfortabel, stellt aber ein Sicherheitsrisiko dar, denn ich weiß ja nicht, wer alles Zugriff auf den Rechner im Homeoffice hat? Insbesondere bei einer BYOD-Umgebung. Ein Laptop beispielsweise wird auch gerne mal gestohlen.

💡
BYOD bedeutet "Bring Your Own Device". Ein häufig gewünschter Ansatz, um private Endgeräte für den Zugriff auf Unternehmensressourcen zu verwenden.
Ein Doppelklick reicht für die Verbindung zur Unternehmens-IT

Damit ist ein direkter Zugriff auf die Unternehmens-IT durch einen einfachen Doppelklick möglich.

Ein kleiner Exkurs: Remotedesktop über das Internet nur mit VPN

Ein fremdes System gefunden auf shodan.io mit der Suche: "city:munich port:3389 has_screenshot:true"

Macht man Windows über Remotedesktop aus dem Internet direkt erreichbar, ist es gut möglich, dass man auf der Suchmaschine für Geräte und Systeme Shodan gelistet wird.

Ähnlich wie Google Webseiten durchsucht, durchsucht Shodan das Internet nach erreichbaren Gegenstellen und stellt die Treffer übersichtlich zur Verfügung. Wenn möglich, sogar mit einem Screenshot. Auf dem Bild ist ein Windows 10 oder Windows Server 2016 zu sehen, vermutlich aus München und an einem Telekom-Anschluss. Das System ist für Anmeldeversuche von jedermann aus dem Internet erreichbar und zeigt sogar noch Benutzernamen aus den letzten Sitzungen an. Auf solchen Systemen findet man nicht selten unzählige Anmeldeversuche von böswilligen Akteuren im Log.

Deshalb – und wegen sicherheitskritischer Schwachstellen im Remotedesktopprotokoll in der Vergangenheit – herrscht unter IT-Spezialisten seit langem weitgehend Einigkeit darüber, dass Computer mit aktiviertem Remotedesktopzugriff nicht direkt aus dem Internet zugänglich gemacht werden sollten. Diese Herausforderung lässt sich mit einem beliebigen VPN lösen, das man davorschaltet. Ich persönlich bin in diesem Zusammenhang ein Fan von Tailscale, einem modernen Cloud-VPN auf Basis von WireGuard.

2FA mit Cisco Duo für Remotedesktop

Der Duo-Anmeldedialog nach dem Verbindungsaufbau

Zurück zur Ausgangsproblematik. Mit Duo von Cisco kann die Sicherheit bei der Nutzung von Remotedesktopverbindungen zusätzlich verbessert werden, weil Duo nach dem Aufbau der (hoffentlich vorhandenen) VPN-Verbindung eine zusätzliche Schutzebene bereitstellt. Duo ist ein cloudbasierter Anbieter von integrierbaren Zweifaktorauthentifizierungen, der 2018 vollständig von Cisco übernommen wurde.

💡
2FA ist die Abkürzung für Zweifaktorauthentifizierung.

Zusammengefasst funktioniert Duo bei Remotedesktop so:

  • Der Nutzer installiert oder erhält die kostenlose Duo Mobile-App auf sein Smartphone.
  • Stellt er nun eine Verbindung über Remotedesktop zu seinem in Duo integrierten Büro-Computer her und meldet sich an (oder wird automatisch über gespeicherte Anmeldeinformationen angemeldet), wird der Windows-Anmeldevorgang angehalten und der Duo-Anmeldedialog erscheint.
  • Er erhält in Echtzeit eine Push-Nachricht auf seine Duo Mobile-App (alternativ z.B. eine SMS), in der er gefragt wird, ob er die Anmeldung autorisieren möchte.
  • Nach der Bestätigung wird der Windows-Anmeldeprozess fortgesetzt.

Das Verfahren entspricht im Wesentlichen dem, was man zum Beispiel von Banken kennt. Ohne Smartphone (oder Tablet) ist eine Anmeldung nicht möglich – das Smartphone fungiert neben dem Passwort (etwas, das man weiß) als zweiter Authentifizierungsfaktor (etwas, das man besitzt).

Damit wird die Situation mit den gespeicherten Anmeldedaten im Remotedesktopclient, von der ich zu Beginn gesprochen habe, wirksam entschärft.

Eine Duo Push-Anfrage auf dem Smartphone

Man kann Duo unter anderem auch so konfigurieren, dass lokale Anmeldungen direkt am Computer (also vor Ort) mit 2FA abgesichert werden. Ob das sinnvoll ist, hängt vom Schutzbedarf in der jeweiligen Situation ab.

Die Kosten für Duo 2FA

Hört man „Cisco“, hat man gleich die Dollarzeichen vor Augen. Doch tatsächlich ist Cisco Duo eine preislich attraktive Möglichkeit, Remotedesktopverbindungen weiter abzusichern. Für Organisationen mit weniger als 10 Mitarbeitern bietet Duo einen eingeschränkten Funktionsumfang kostenlos an. Der Essentials-Tarif, welcher sinnvolle Vorteile wie z.B. SSO bietet, kostet (zum Zeitpunkt dieses Artikels) 3$ pro Nutzer und Monat. Das Absichern von Remotedesktop ist dabei nur einer von vielen unterstützten Anwendungsbereichen. So lässt sich Duo beispielsweise auch mit Microsoft 365 integrieren und ermöglicht für viele weitere Applikationen 2FA. Alle Preise findet man auf der Duo-Webseite.

💡
SSO = Single Sign On = Mehrere Anwendungen nutzen die selbe Authentifizierungssession = Reduzierung der Passworteingaben

Die Komplexität und der Aufwand für die Einrichtung von Duo bei Microsoft-Remotedesktopverbindungen hält sich aufgrund der guten Dokumentation in Grenzen. Ein wesentlicher Zeitfaktor ist dabei das Erstellen oder die Synchronisation der Benutzerkonten, das Ausrollen der Duo Mobile-App, sowie die Schulung der Nutzer.

Falls bei Ihnen Interesse an einer solchen 2FA-Lösung besteht, oder Sie Ihre Remotedesktopverbindungen mit einem modernen und einfach zu verwendenden VPN absichern möchten, dann melden Sie sich bei mir.