Problem
- Sie möchten Domänenbenutzern eine Verbindung zu Virtual Desktops Infrastructure Clients (virtuelle Maschinen) über RDP nur dann ermöglichen, wenn RDP über die Zwei-Faktor-Authentifizierung gesichert ist
Lösung
Um die RDP-Verbindung von Virtual Desktops Infrastructure (VDI) Clients mit 2FA zu schützen, so dass der Zugriff über RDP ohne ein One-Time Password (OTP) als zweiten Authentifizierungsfaktor nicht erlaubt ist, gibt es 2 wesentliche Änderungen, die durchgeführt werden sollen sobald die VDI-Vorlage nach Ihren Anforderungen installiert und konfiguriert ist.
Installieren und konfigurieren Sie eine VDI-Vorlage (d.h. Windows 7), passen Sie das System an, um Ihre oder Kundenanforderungen zu erfüllen und installieren Sie das Remote Desktop Plugin der ESET Secure Authentication (ESA) - siehe Installationsabschnitt des Produkthandbuchs.
Vor dem Ausführen von sysprep gibt es 2 wesentliche Schritte:
- Setzen Sie die Abhängigkeit zu Remote Desktop Service, um nur zu starten, wenn ESA Credential Proxy Services Service ausgeführt wird.
Um dies zu tun, drücken Sie die Windows-Taste + R und geben in den Ausführen-Dialog (oder kopieren und einfügen) den folgenden Befehl ein und drücken Sie die Eingabetaste:sc config TermService depend= EsaCpProxy/RpcSs
- Lassen Sie den ESA Credential Proxy Services-Dienst unter einem Domänenkonto (i.e Domain Admin Account) laufen, indem Sie den folgenden Befehl im Dialog Ausführen ausführen:
sc config EsaCpProxy obj= "domain\username" password= "password"
während domain\username durch den Domain-Namen Ihrer Active Directory-Domain und den Benutzernamen des gewünschten Domänenbenutzers ersetzt werden muss. Analog muss password durch das Passwort des jeweiligen Domänenbenutzers ersetzt werden.
In untenstehenden Beispiel wurde folgender Code ausgeführt:
sc config EsaCpProxy obj= "acswin2012\administrator" password= "demo1234"
Als Sicherheitsvorkehrung können Sie den ESA Credential Provider Proxy Services-Dienst (EsaCpProxy) so konfigurieren, dass er im Fehlerfall automatisch neu gestartet wird. Sie können dies erreichen, indem Sie den folgenden Befehl im Ausführen-Dialog ausführen:
sc failure EsaCpProxy actions= restart/60000/restart /60000// reset= 120Dieser Befehl würde sicherstellen, dass der EsaCpProxy-Dienst im Falle eines Fehlers nach 60 Sekunden neu gestartet wird.
Wenn die Änderungen in den Schritten 1 und 2 erfolgreich waren, können Sie die entsprechenden Dienste in der Liste der Dienste ansehen:
- Drücken Sie die Tastenkombination Strg + Umschalt + Esc, um den Windows Task-Manager zu öffnen
- Wechseln Sie auf die Registerkarte Dienste und klicken Sie auf die Schaltfläche Dienste ... in der rechten unteren Ecke, um das Fenster Dienste zu öffnen
- Suchen Sie den ESA Credential Provider Proxy Services-Dienst, doppelklicken Sie darauf und wechseln Sie zum Register "Anmelden" - dort sehen Sie die Option "Dieses Konto" und den Benutzernamen des Domänenbenutzers, den Sie im Skript in Schritt Nr. 2 oben genutzt haben
Abbildung 1-1
Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster
- Suchen Sie den Remote Desktop Services-Dienst, doppelklicken Sie darauf und wechseln Sie zur Registerkarte Abhängigkeiten - dort sehen Sie die ESA Credential Provider Proxy Services.
Abbildung 1-2
Klicken Sie in das Bild für eine vergrößerte Darstellung in einem neuen Fenster
