So stellen Sie Remotedesktopdienste bereit und sorgen für die nötige Überwachung

Remotedesktopdienste (RDS) ermöglichen Anwendern, sich per Netzwerk mit einem externen Computer oder einer virtuellen Maschine zu verbinden. Mit Remotedesktopdiensten können Anwender einen externen Computer ganz wie ihren eigenen Rechner bedienen. Aus einer anderen Perspektive: Remotedesktopdienste ermöglichen einem Server, mehrere Client-Sitzungen gleichzeitig zu hosten. In einer PC-Umgebung arbeitet gewöhnlich jeder Anwender mit unterschiedlichen Anwendungen. In einer auf Remotedesktopdiensten beruhenden Umgebung dagegen können Anwender mit „Thin Clients“ ausgestattet werden, die lediglich eine Terminalserververbindung herstellen. Der Terminalserver kann sich nun zum Datenabruf mit anderen Servern verbinden.

Der Einsatz von Remotedesktopdiensten verringert Kosten, steigert die Mobilität und sorgt für bedarfsgerechte Skalierbarkeit. Obendrein lassen sich Endanwender-Arbeitsstationen in den meisten Fällen deutlich schneller und einfacher einrichten. Die Kehrseite der Medaille besteht in einer gewaltigen Sicherheitsherausforderung: der Einsatz von Remotedesktopdiensten erhöht die Anzahl gefährdeter Endpunkte, bei Cyberangriffen stehen nun deutlich mehr Ansatzpunkte zur Verfügung. Daher müssen IT-Administratoren Remotedesktopsitzungen kontinuierlich überwachen und dafür sorgen, dass keine bösartigen Aktionen ausgeführt werden.

In diesem Artikel betrachten wir, wie Organisationen Remotedesktopdienste per PowerShell bereitstellen können. Anschließend schauen wir uns an, wie ADAudit Plus, eine umfangreiche Active-Directory-Überwachungslösung, einen gewaltigen Beitrag zur Absicherung von Remotedesktopverbindungen leisten kann.

Schritte zur Bereitstellung von Remotedesktopdiensten mit PowerShell

Zur Bereitstellung von Remotedesktopdiensten wird das PowerShell-CMDlet „New-SessionDeployment“ eingesetzt. Drei weitere Remotedesktopkomponenten müssen ebenfalls zum Zeitpunkt der Bereitstellung installiert werden: 1) Connection broker, 2) Session host und 3) Web access. Diese Komponenten definieren, wie Anwender die Remotedesktopdienste nutzen können.

So können Sie Remotedesktopdienste bereitstellen:

• Öffnen Sie PowerShell mit Administratorberechtigungen.
• Führen Sie dieses PowerShell-Skript aus:

Nach der Bereitstellung können Administratoren PowerShell zum Überwachen der Aktivitäten verwenden, die in Remotedesktopdiensten ausgeführt werden. Beispielsweise können Administratoren zum Abruf einer Liste mit Ereignissen zur erfolgreichen Remotedesktop-Authentifizierung (Ereignis-ID 4624) das folgende PowerShell-CMDlet einsetzen:

Allerdings lassen sich Remotedesktopaktivitäten mit ManageEngine ADAudit Plus deutlich einfacher überwachen.

Schritte zur Remotedesktopüberwachung mit ADAudit Plus

• Melden Sie sich an der ADAudit-Plus-Webkonsole an.
• Wechseln Sie zu Berichte > Lokale Anmeldung/Abmeldung > Remotedesktopdienstaktivitäten.
• Wählen Sie den Zeitraum, zu dem Sie Informationen abrufen möchten.
• Eine Grafik mit einer detaillierten Ereignisübersicht zählt sämtliche Auditinformationen zum ausgewählten Zeitraum auf.
• Der Bericht zeigt fein abgestimmte Angaben zu sämtlichen Remotedesktopaktivitäten.
  
• Beim Anklicken eines Ereignisses im Balkendiagramm wird das ausgewählte Ereignis im Bericht hervorgehoben.
• Praktische Optionen zur Schnell- und erweiterten Suche lassen sich zum präzisen Filtern einsetzen.