Alternative für Team Viewer

[HighTech-Freak]

@HighTech-Freak
Punkte die in diesem Szenario hier zum Tragen kommen: Beendet die lokale Sitzung und ist langsamer über WAN-Strecken, da für lokale Netze konzipiert.

Sofern über das VPN ein entsprechend niedriger Ping zustande kommt ist RDP eigentlich recht snappy...

RDP ist bestenfalls zu vermeiden. Microsoft hat zuletzt Zahlen veröffentlicht wie oft Geräte gehackt werden wegen aktiviertem RDP Zugang, dies inkludiert auch lateral movements.

Insbesondere im privaten Segment ausserhalb einer Domain wird RDP nicht verschlüsselt und das bedeutet, dass jeder Tastenanschlag im Klartext übertragen wird.

Fernwartung sollte vor allen Dingen sicher sein und unbefugten Zugriff ausschließen.

Mit einer remote ausgeführten username / password Kombination wie bei RDP und dann noch über lokale Benutzer bzw NTLM ist das keine gute Wahl.

Anydesk und ähnlich sind bevorzugen.

RDP ist halt idR so gut wie der der es konfiguriert. Der Fairness wegen muss man dazu sagen, dass unter Windows 11 mit getickter NLA in einem privaten Netzwerk schon sehr schwierig wird zumal ohne aktiver MitM die Encryption ganz normal verhandelt wird, und dann idR TLS ist.
Wenn ein Hacker sich am Router eingenistet hat is aber eh schon Feuer am Dach. Mit einer MitM ist jedenfalls recht leicht eine Downgrade Attack möglich und selbst TLS aushebelbar wenn man das eingeschleustes Zertifikat einfach abnickt. Aber das liegt in der Natur von jeglicher asymmetrischen Kryptographie.

Anyway, TLS zu erzwingen macht aber in jedem Fall Sinn samt ein paar weiterer GPOs (inkl. eventuell RemoteFX Settings für h264 GPU Encoding!). Am besten gefolgt von IIS Crypto um dort den SCHANNEL Provider aufzuräumen...

Dass die Windows Firewall selbst von vielen Admins oft nicht richtigt konfiguriert wird (read: komplett ignoriert) kommt erschwerend hinzu, ist aber eigentlich ein anderes Thema. Dort einfach eine bestimmte IP(-Range) für bestimmte Dienste einzutragen dauert keine 3 Minuten. Nebenbei kann man dort idR inbound so ziemlich alles (excl. Core Networking & mDNS, eventuell Teams) abdrehen auf nem normalen PC.
Sollte man aus irgendeinem Grund Dateifreigaben nutzen, dort am besten auch gleich ein Set- SmbServerConfiguration –EncryptData $true in die Powershell klopfen. Damit ist auch SMB2 eliminiert.

War jetzt vlt. ein bisschen viel Text, aber in Summe ist das eine Sache von vlt. 10 Minuten einmalig zum Configen...

Die Frage ist jetzt halt inwiefern man seinen Desktop über 3rd party cloud provider route möchte. Sollte zwar idR auch E2E Encrypted aber prinzipiell hängt das Ding immer an der Cloud.
Wenn Ping auch noch eine Rolle spielt ist direktes VPN ala WireGuard idR schon per se performanter weil die Connection direkt ist. Braucht halt eine public IP(v4) samt DynDNS. Cloud Dienste müssen immer erst ein Loch durchs NAT schlagen -oder wenn das nicht gelingt den Traffic relayen.
(Wenn man "paranoid" ist nutzt man auch nicht den WireGuard am Router sondern installiert ihn am PC und setzt am Router entsprechend Port-Forwarding für WG. Damit hat man eine garantiert direkte Ende2Ende verschlüsselte Verbindung zum PC. Das wäre dann die "Security by Design" Lösung...)