Remote Desktops absichern

Ende der 1990er-Jahre haben Citrix und Microsoft eine Kooperation zur Verbesserung des Remotezugangs auf Windows-Computer geschlossen. Diese sorgte dafür, dass die Microsoft-Terminaldienste, auch bei hoher Latenz und niedriger Bandbreite, seit mehr als 20 Jahren halbwegs benutzbar sind. Der Remotedesktop hat sich seitdem zu dem Werkzeug der Wahl für Administratoren entwickelt, um auf Server und Workstations zuzugreifen.

Obwohl das Protokoll grundsätzlich verschlüsselt kommuniziert, verwenden viele Administratoren den Dienst nur innerhalb des Unternehmensnetzwerks oder zumindest getunnelt über VPN. Und doch finden sich einige RDP-Server ungefiltert im Internet. Die Verwundbarkeitsdatenbank Shodan listet für Deutschland etwa 150.000 RDP-Zugänge [1] auf.

In vielen Unternehmen wird der Remotedesktop auch für Thin Clients genutzt. Die Benutzer arbeiten dann nicht auf dem Computer, an dem sie sitzen, sondern über eine RDP-Sitzung auf einem gemeinsamen Server, der alle notwendigen Ressourcen bereitstellt. Sicherheitsforscher haben in den letzten Jahren immer wieder das zugrundeliegende Protokoll auf mögliche Sicherheitslücken oder Seitenkanäle untersucht.

Sitzungen entführen

Ein bekanntes Feature des Terminalservers ist, dass Sitzungen auch dann weiterlaufen, wenn der Benutzer nicht mehr mit dem Server verbunden ist. So können Sie die Arbeit unterbrechen und von einem anderen Ort oder zu einem späteren Zeitpunkt die Sitzung einfach fortsetzen.

Sind Sie als Administrator mit einem Terminal-Server verbunden, können Sie die wartende Sitzung eines anderen Benutzers übernehmen, solange Sie das Passwort des Benutzers kennen. Finden Sie zunächst mit dem Query-Kommando wie in Bild 1 die ID der Sitzung, die Sie übernehmen möchten, und benutzen Sie anschließend das Werkzeug "C:\Windows\ System32\tscon.exe".

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.