Protokolle für den Zugriff
Für den Fernzugriff stehen drei Protokolle zur Verfügung: RDP, VNC und SSH.
RDP (Remote Desktop Protocol)
RDP ermöglicht den grafischen Fernzugriff auf Windows-Desktops und -Anwendungen. Es lässt sich auch von Nicht-Windows-Systemen wie macOS oder Linux aus verwenden, sofern ein kompatibler RDP-Client installiert ist. Für macOS stellt Microsoft die Windows App bereit; unter Linux sind Third-Party-Clients wie Remmina oder FreeRDP verbreitet. Folgende Verschlüsselungsmethoden lassen sich konfigurieren:
- Any – Verhandelt automatisch die höchste unterstützte Verschlüsselungsmethode zwischen Client und Server. Empfohlen für maximale Kompatibilität.
- NLA (Network Level Authentication) – Authentifiziert den Benutzer, bevor die RDP-Sitzung aufgebaut wird, unter Verwendung von TLS über CredSSP. Da der Anmeldebildschirm nicht ohne vorherige Authentifizierung erreichbar ist, bietet NLA die höchste Sicherheit und ist die empfohlene Option.
- TLS – Verschlüsselt die Verbindung auf der Transportschicht. Die Authentifizierung erfolgt nach dem Verbindungsaufbau, wodurch der Anmeldebildschirm vor der Überprüfung der Anmeldedaten sichtbar bleibt.
- RDP – Verwendet die protokolleigene Verschlüsselung. Vorgesehen für Legacy-Umgebungen, in denen NLA oder TLS nicht unterstützt werden.
NLA vs. TLS im Vergleich
| NLA | TLS | |
|---|---|---|
| Fokus | Authentifizierung vor Sitzung | Verschlüsselung der Verbindung |
| Zeitpunkt der Authentifizierung | Vor der RDP-Sitzung | Während/nach dem Verbindungsaufbau |
| Schutz vor Angriffen | Hoch (reduziert Angriffsfläche) | Mittel (nur Transportschutz) |
| Nutzung von TLS | Ja (intern über CredSSP) | Ja (direkt) |
VNC (Virtual Network Computing)
VNC ermöglicht plattformunabhängigen grafischen Fernzugriff durch die Übertragung von Bildschirminhalten und Eingabeereignissen über das Netzwerk. Wird in der Regel für Nicht-Windows-Systeme eingesetzt.
SSH (Secure Shell)
SSH bietet verschlüsselten, textbasierten Fernzugriff auf Server. Die gesamte Kommunikation ist standardmäßig verschlüsselt – SSH ist damit das Standardprotokoll für die Befehlszeilenverwaltung.