Azure Virtual Desktop: Performance ohne RDP-Attacken [Update: 2022]

Flexible Arbeitskonzepte sind inzwischen die Norm.

Mit der zunehmenden Digitalisierung der Arbeitswelt steigen jedoch auch die Cyber-Risiken.

Das ist vor allem dann der Fall, wenn Organisationen auf Digital-Workplace-Lösungen setzen.

Cyberkriminelle haben sich nämlich genau auf diese spezialisiert. 

Ransomware Angriffsvektoren

In diesem Kontext steht besonders das Remote Desktop Protocol (RDP) im Fokus.

Organisationen nutzen es, um ihren Mitarbeitern virtuelle Desktops von Microsoft über ein lokales Setup (VDI / Terminal Server) zur Verfügung zu stellen.

RDP ist jedoch seit Jahren der beliebteste Angriffsvektor für Cyberkriminelle und die Quelle der meisten Ransomware-Vorfälle.

Allein zwischen Q1 und Q4 2020 verzeichnete ESET einen Anstieg der RDP-Angriffsversuche um 768 %.

In diesem Beitrag zeigen wir auf, wie RDP funktioniert und warum Cyberkriminelle es im Visier haben.

Zudem geben wir Ihnen Best Practices, wie Sie RDP in einem lokalen Setup absichern können.

Zuallerletzt gehen wir auf den Azure Virtual Desktop (AVD) ein und veranschaulichen, wie er es ermöglicht, Ransomware-Attacken über RDP gänzlich zu umgehen.

Shortcuts

Was ist ein Digital Workplace?

Der Digital Workplace – oder digitale Arbeitsplatz – ist ein weit gefasster Begriff.

Grundsätzlich beschreibt er alle digitalen Plattformen, die Mitarbeiter für die Ausführung ihrer Aufgaben nutzen (hier entlang für mehr zum Thema Digital Workplace).

Konkret stellt ein Digital Workplace Anwendern alle relevanten Daten, Anwendungen und Dienste auf jedem Gerät, zu jeder Zeit und an jedem Ort über ein sicheres Netzwerk zur Verfügung.

Digital Workplace Trends Ausblick 2021

Digital-Workplace-Lösungen gibt es viele, aber besonders die Virtual Desktop Infrastructure (VDI) und der Desktop as a Service (DaaS) werden immer beliebter.

VDI vs. DaaS

VDI und DaaS sind sich sehr ähnlich.

Dennoch gibt es einige Unterschiede.

Ein VDI-Setup bietet Organisationen die vollständige Kontrolle über die Konfiguration und Verteilung von Ressourcen.

Andererseits dauert die Konfiguration in der Regel sehr lange und kann später nur sehr schwer abgeändert werden.

Zudem ist ein VDI-Setup meistens mit erheblichen Investitionskosten (CapEx) verbunden und erfordert, dass Organisationen sich selbständig um die Installation, Verwaltung und Wartung kümmern.

Im Gegensatz dazu werden die meisten DaaS-Lösungen über ein kosteneffizientes Pay-As-You-Go-Modell (PAYG) abgerechnet, und Organisationen müssen sich nicht um die Verwaltung und Wartung kümmern.

Außerdem können DaaS-Lösungen meistens in kürzester Zeit in Betrieb genommen werden und ihre Skalierung erfordert nur wenige Klicks.

Dennoch gilt zu beachten, dass die Cloud Service Provider die volle Kontrolle über die DaaS-Infrastruktur haben und nicht die Organisationen, die die DaaS-Lösungen beziehen.

Es ist also unschwer zu erkennen, dass VDI und DaaS sowohl Vorteile als auch Nachteile mit sich bringen.

Welche Lösung für Sie geeignet ist kommt letztendlich auf die Strategie an, die Ihre Organisation verfolgt.

Genau deshalb bietet Microsoft VDI und DaaS gleichzeitig an.

Wenn Organisationen sich für ein lokales Setup von Microsoft entscheiden (VDI / Terminal Server), benötigen sie das Remote Desktop Protocol (RDP).

Dieses erlaubt Anwendern, über eine Netzwerkverbindung auf ihre virtuellen Desktops zuzugreifen.

Allerdings kann dieser direkte Zugriff Organisationen vor Cyber-Security-Herausforderungen stellen, wie beispielsweise Ransomware-Angriffe (hier entlang für mehr zum Thema Cyber Security).

Ransomware: RDP als Angriffsvektor

Wie erfolgt eine Ransomware-Attacke über RDP?

Endgeräte haben Hardware- und Software-Anschlüsse, die es ihnen ermöglichen, auf Dienste und Anwendungen in einem privaten Netzwerk zuzugreifen.

Diese Anschlüsse nennt man Ports.

Damit ein Anwender seinen virtuellen Desktop nutzen kann, kommuniziert sein Endgerät über den RDP-Port mit dem Session Host (RDP-Server).

Die Standardnummer des RDP-Ports ist 3389.

Das wissen auch Cyberkriminelle.

Deshalb scannen sie das Internet nach Endgeräten, die mit dem Internet verbunden sind und einen aktiven RDP-Port 3389 aufzeigen.

Wenn sie ein Endgerät mit einem aktiven RDP-Port 3389 ausgemacht haben, versuchen sie, Zugang zu diesem zu erlangen.

Das gelingt ihnen beispielsweise über Credential Stuffing, Malware, Phishing oder Social Engineering.

Sind sie einmal im Endgerät, können sie über den RDP-Port und die RDP-Verbindung in das private Netzwerk einer Organisation eindringen und Ransomware einsetzen.

Eine weitere Alternative, die Cyberkriminelle zunehmend nutzten, sind Bruce-Force-Angriffe auf den Session Host (RDP-Server).

Hierzu verwenden sie oft Open-Source-Port-Scanning-Tools und scannen nach Session Hosts (RDP-Server) mit einem aktiven RDP-Port 3389.

Einmal gefunden, versuchen sie sich Zugang zu dem System einer Organisation über den Session Host (RDP-Server) zu verschaffen.

RDP: Best Practices

Das RDP in einem lokalen Setup (VDI / Terminal Server) als Angriffsvektor für Ransomware genutzt werden kann ist auch Microsoft bewusst.

Deshalb stellt Ihnen Redmond einige Best Practices zur Verfügung:

  1. Nummeränderung: Ändern Sie die Standardnummer des RDP-Ports auf eine Zahl über 10,000.
  2. Portschließung: Wenn Sie den RDP-Port 3389 weiterhin verwenden möchten, stellen Sie sicher, dass er nach jeder RDP-Sitzung geschlossen wird.
  3. VPN-Verbindung: Verwenden Sie für den Zugriff auf Ihre virtuellen Desktops eine sichere VPN-Verbindung anstelle von RDP.
  4. Loginversuche: Legen Sie einen Schwellenwert für Loginversuche fest – bspw. sollte Ihr System Accounts nach drei fehlgeschlagenen Anmeldeversuchen sperren.
  5. Passwort-Standards: Erzwingen Sie die Verwendung von sicheren Passwörtern und einen Passwortwechsel alle 60 – 90 Tage.
  6. Multi-Faktor-Authentifizierung (MFA): Führen Sie MFA ein, damit Anwender beim Zugriff auf ihre virtuellen Desktops mindestens zwei Authentisierungsarten verwenden müssen.
  7. IP-Blocking: Um Brute-Force-Angriffe zu unterbinden, sollten Sie festlegen, wie viele Anmeldeversuche eine IP-Adresse für einen virtuellen Desktop haben darf.
  8. Zugriffsbeschränkung: Mit einer Firewall können Sie Zugriffe auf virtuelle Desktops auf eine bestimmte IP-Adresse oder einen Bereich von IP-Adressen beschränken.
  9. RD-Gateways: Mit einem RD-Gatewayserver lassen sich die Bereitstellung von virtuellen Desktops und das Sicherheitsmanagement vereinfachen.
  10. Fernzugriffe: Verwenden Sie das Prinzip der geringsten Berechtigungen und beschränken den Zugriff auf virtuelle Desktops auf die Mitarbeiter, die ihn wirklich benötigen.
  11. Endpoint-Security: Führen Sie eine Endpoint-Security-Lösung ein, die die verschiedenen Endgeräte in Ihrem privaten Netzwerk vor Ransomware-Attacken über RDP schützt.
  12. Administratorkonto: Ändern Sie den Standardnamen Ihres Administratorkontos.
  13. Gruppenrichtlinien: Überprüfen Sie Ihre Gruppenrichtlinien häufig und passen Sie sie gegebenenfalls an.
  14. Backups: Erstellen und sichern Sie Backups Ihrer Systeme auf separaten Servern, die standardmäßig nicht mit dem Internet verbunden sind. 
  15. Patching: Installieren Sie alle Server-Patches und achten Sie auf die Ankündigungen und Hinweise des Microsoft Patch bzw. Update Tuesday.
RDP Best Practices

Obwohl es viele Best Practices gibt, um das RDP abzusichern und somit die Nutzung von virtuellen Desktops in einem lokalen Setup (VDI / Terminal Server) sicher zu gestalten, setzen viele Organisationen diese nicht um.

Mehr Sicherheit: Reverse Connect

Wie bereits erwähnt, bietet Microsoft auch eine DaaS-Lösung an: Azure Virtual Desktop (AVD).

Einer der Vorteile von Azure Virtual Desktop: Reverse Connect.

In diesem Szenario teilen sich Microsoft und eine Organisation die Verantwortung für die Azure Virtual Desktops.

Es gibt nämlich zwei Verantwortungsgebiete: Azure-Dienste, die von Microsoft verwaltet werden, und Azure-Dienste, die von der Organisation verwaltet werden.

Die Azure-Dienste, die Microsoft verwaltet, sind u. a. RD Web, RD Gateway und RD Broker.

Diese Dienste zusammen ergeben die Azure Virtual Desktop Verwaltungsebene.

Die Organisation wiederum verwaltet u. a. den Session Host (RDP-Server) mit den Azure Virtual Desktops, Anwendungen, Active Directory und FSLogix.

Durch dieses Setup ist es möglich, den Session Host (RDP-Server) vom Internet und anderen Diensten abzukoppeln und zu isolieren.

Konkret heißt das, dass ein direkter Zugriff auf den Session Host (RDP-Server), und somit die Azure Virtual Desktops, nicht mehr möglich ist.

Zudem müssen keine eingehenden Ports geöffnet sein – auch nicht der Standard-RDP-Port 3389.

Wenn ein Anwender auf einen Azure Virtual Desktop zugreifen möchte, wird er durch die Azure Virtual Desktop Verwaltungsebene zuerst eindeutig identifiziert und authentifiziert.

Ist das geschehen, wird eine Verbindung über TCP/443 hergestellt, die den Session Host (RDP-Server) inkl. Azure Virtual Desktop mit der Azure Virtual Desktop Verwaltungsebene verbindet.

Nur dann wird dem Anwender sein Azure Virtual Desktop zur Verfügung gestellt.

Durch diesen indirekten Zugriff, also Reverse Connect, kann die Sicherheit von Azure Virtual Desktops signifikant gesteigert werden.

Das liegt daran, dass das Problem der offenen RDP-Ports 3389 umgangen werden kann.

Ransomware-Attacken über diesen Angriffsvektor können somit erfolgreich unterbunden werden.

Azure Virtual-Desktop Reverse Connect

Abgesehen von Reverse Connect, bieten Azure Virtual Desktops noch weitere Sicherheitsaspekte.

Wenn Endgeräte Ihrer Mitarbeiter beispielsweise mit Malware befallen werden, hält sich der Schaden in Grenzen, weil Malware nicht von einem Endgerät auf einen Azure Virtual Desktop überspringen kann.

Zudem können Sie die Sicherheit Ihrer Azure Virtual Desktops mit RDP Properties noch weiter steigern.

Unter anderem lassen sich damit beispielsweise Schnittstellen härten oder freischalten.

Mehr Performance: ShortPath

Um die Performance von Azure Virtual Desktops noch weiter zu steigern, hat Microsoft kürzlich ShortPath vorgestellt.

ShortPath ist ein Mechanismus, der eine direkte UDP-Verbindung zwischen einem Endgerät und einem Session Host (RDP-Server), und somit einem Azure Virtual Desktop, herstellt.

Dadurch ist es möglich, die Verbindungszuverlässigkeit zu steigern und gleichzeitig die Verbindungsdauer zu reduzieren.

Das wiederum kann die User Experience für AVD-Anwender deutlich steigern.

Wichtig in diesem Kontext ist, dass ShortPath Reverse Connect nicht ersetzt, sondern ergänzt.

Möchte ein Anwender auf seinen Azure Virtual Desktop zugreifen, wird der Zugriff gleichzeitig über Reverse Connect und ShortPath initiiert.

Ist ein sicherer AVD-Zugriff über ShortPath möglich, wird er über diesen Mechanismus abgewickelt.

Erscheint die Verbindung jedoch unsicher, erfolgt der AVD-Zugriff regelkonform über Reverse Connect.

Für Organisationen ist ShortPath somit eine Win-Win-Situation.

Die User Experience steht im Fokus, aber nur, wenn die Sicherheit der Azure Virtual Desktops auch zureichend gewährleistet werden kann.

Ist das nicht der Fall, wird die User Experience zwar etwas reduziert, die Sicherheit der Azure Virtual Desktops wird aber jederzeit aufrechterhalten.

Ransomware-Attacken über den RDP-Port 3389 sind auch in diesem Fall nicht möglich.

Azure Virtual Desktop ShortPath

Fazit

Der Digital Workplace stellt Anwendern alle relevanten Daten, Anwendungen und Dienste auf jedem Gerät, zu jeder Zeit und an jedem Ort über ein sicheres Netzwerk zur Verfügung.

Besonders die Virtual Desktop Infrastructure (VDI) und der Desktop as a Service (DaaS) werden unter den Digital-Workplace-Lösungen immer beliebter.

Microsoft bieten Organisationen beides: VDI und DaaS.

Wenn Organisationen sich für ein lokales Setup (VDI / Terminal Server) entscheiden, benötigen sie das Remote Desktop Protocol (RDP).

Es erlaubt Anwendern, über eine Netzwerkverbindung auf ihre virtuellen Desktops zuzugreifen.

Allerdings kann dieser direkte Zugriff Organisationen vor Cyber-Security-Herausforderungen stellen, wie beispielsweise Ransomware-Angriffe.

Dessen ist sich auch Microsoft bewusst.  

Deshalb stellt Redmond einige Best Practices für lokale Setups (VDI / Terminal Server) zur Verfügung.

Das ist aber nicht alles.

Denn mit Reverse Connect stellt Microsoft sicher, dass Ihr Digital Workplace vor Ransomware-Attacken über RDP geschützt ist.

Reverse Connect wird speziell in der DaaS-Lösung von Microsoft verwendet: Azure Virtual Desktop (AVD).

Durch ShortPath kann die Performance von Azure Virtual Desktops zudem stets aufrechterhalten werden, was der User Experience natürlich zugutekommt.

Wir haben Ihr Interesse geweckt?

Hier finden Sie weitere Technologie-Ratgeber!

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Jonathan Gurirab
Jonathan Gurirab
IT-Verantwortliche haben den schwersten Job der Welt. Als Chief Change Officers sind sie nämlich maßgeblich an der digitalen Transformation in ihren Organisationen beteiligt. Trotzdem werden sie täglich von Bugs in ihren IT-Landschaften, Besprechungen oder Marketing-E-Mails aufgehalten, obwohl sie sich mit neuen IT-Lösungen auseinandersetzen müssten. Die Beschreibungen dieser Lösungen sind jedoch oft schwer verständlich, technisch überladen oder gehen im Marketing-Jargon unter. Das macht es für IT-Verantwortliche extrem schwierig, die Vorteile und Nutzen dieser Lösungen nachzuvollziehen. Genau deshalb habe ich TECH/EDGE etabliert. TECH/EDGE ist eine Plattform, über die komplexe Technologien ausführlich und vor allem verständlich präsentiert werden. Das ermöglicht Ihnen einen schnellen Überblick und versetzt Sie in die Lage, stets die richtige Lösung für Ihre Organisation zu finden und einzusetzen.
Hat Ihnen der Beitrag gefallen?

Verpassen Sie nicht unseren nächsten!

Neue Beiträge
DAS KÖNNTE SIE AUCH INTERESSIEREN

© 2022 TechEdge. All rights reserved.

In München mit ♥ handgefertigt