Vor einer Woche habe ich Remote Desktop bei mir aktiviert und die Ports zum Internet am NAT Router freigegeben. Mein XP x64 SP2 ist updatemäßig auf dem neusten Stand und die Logins sollten eigentlich von den Passwörtern nicht durch Billigattacken über Rainbow Tables/Wörterbücher geknackt werden können, sind aber nicht sehr lang. Ich hatte 10 Jahre keine Malware aber mir nun in dieser Woche mal wieder was eingehandelt. Entfernen war anscheinend kein Problem, aber während dieser Woche wurde nix am System gemacht. Keine Software installiert und auch sonst nix, wo dies hergekommen sein könnte. Wie groß ist die Chance, daß dies irgendwie über RemoteDesktop gekommen ist?

Auch hatte ich mir überlegt, statt RemoteDesktop ins Internet freizugeben, mir in den Router stattdessen einen OpenVPN Account einzurichten und darüber auf RD zuzugreifen. Man hätte eine kleinere Angriffsschicht und könnte auch so lange Passwörter nehmen, wie es für etwas, daß im Internet hängt wohl sinnvoll wäre, ohne das dies zu sehr im Alltag nervt. Wäre dies die bessere Lösung?

Reicht es aus für RD den fraglichen weitergeleiteten Ports zu deaktivieren, oder kann man RD auch irgendwie so konfigurieren, daß nur Verbindungen aus dem privaten LAN akzeptiert werden?

danke

Eine Sicherheitslücke beim RD wäre mir neu, evtl. war der Schädling schon länger drauf und wurde erst später erkannt.
Btw, warum setzt Du nicht längere Kennwörter oder hast Du wenigsten ein Intruder-Lockout konfiguriert? Weiterhin solltest Du die Standardaccount umbenennen um Bruteforce-Attacken zu erschweren.
Reicht es aus für RD den fraglichen weitergeleiteten Ports zu deaktivieren, oder kann man RD auch irgendwie so konfigurieren, daß nur Verbindungen aus dem privaten LAN akzeptiert werden?
Wozu forwardest Du denn den Port wenn nur aus dem LAN auf RDP zugegriffen werden soll?

Hallo,

es gibt keine bekannte Atacke auf RDP.

Es ist zudem unwahrscheinlich das jemand eine Schädling für RDP programmiert, da muss ja einiges über die Leitung.

Aber die Frage ist warum hast du ein Portforwaring für RDP wenn du es nur im LAN nutzen willst.

Ansonsten sicheres Kennwort, Adminaccount umbenennen und Kontosperrungsrichtlinie aktivieren.

mfg

Ich will es ja nicht im LAN nutzen, ich will es draußen nutzen. Deswegen auch mein Wunsch mich über VPN ins Lan zu schalten und darüber auf RD zuzugreifen. Adminaccount heißt anders, was Kontosperrungsrichtlinie aktivieren oder Intruder-Lockout weiß ich allerdings nicht.

... was Kontosperrungsrichtlinie aktivieren oder Intruder-Lockout weiß ich allerdings nicht.
Über secpol.msc kannst Du die entspr. Einstellungen vornehmen/ändern.

Japp, unter secpol.msc die Kontosperrungsschwelle auf 10 Fehleingaben und 30 Minuten Sperre einstellen. Zusätzlich kannst du den 3389er Port von außen über einen anderen Port (hier 4711) ansprechen (das sollte eigentlich jeder gute Router können). Eine Verbindung kannst du dann so herstellen: mstsc /v:dein-dyndns.org:4711

Ich mache das seit Jahren so und habe keine Probleme damit :)