Gespeicherte Credentials für RDP verbieten

Die Zugangsdaten einer Remote-Desktop Verbindung zu speichern, ist eine willkommene Erleichterung der täglichen Arbeit. Erlaubt sie doch schnellen Wechsel zwischen Serversystemen, ohne jedesmal das Passwort erneut einzugeben.

Genau hierin besteht jedoch das Problem. Erhält ein Angreifer Zugriff auf ein Endgerät mit gespeicherten Verbindungsdaten, so hat er damit auch Zugriff auf die dort hinterlegten RDP Verbindungen.

Dazu braucht er nicht unbedingt Zugang zum Firmengelände. Das Büro ist heute überall. Jeder kann sein Notebook, sein Tablet, oder sein Smartphone mit nach Hause nehmen. Endgeräte können entweder durch einen Exploit übernommen, oder physisch gestohlen werden.

Wie so oft stehen Sicherheit und Komfort an diametral verschiedenen Enden des Spektrums.

Passworteingabe erzwingen

Man kann aber mit einer Gruppenrichtlinie weiteren Schaden minimieren, indem man vor jeder RDP Verbindung ein Passwort abfragt. Gespeicherte Passworte werden nicht akzeptiert.

Dazu wird eine GPO Richtlinie im ADS erzeugt und die Einstellung „Always prompt for password upon connection“ (en) bzw. „Bei der Verbindungsherstellung immer zur Kennworteingabe auffordern“ (de) aktiviert.  Der Server wird danach Verbindungsversuche mi gespeicherten Credentials verweigern und immer ein Passwort erfragen.

Englisches UI

Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Security

„Always prompt for password upon connection“ auf „Enabled“ setzen.

Deutsches UI

Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponeneten\Remotedesktopdienste\Remotedesktopsitzungs-Host\Sicherheit

„Bei der Verbindungsherstellung immer zur Kennworteingabe auffordern“ auf „Aktiviert“ setzen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Solve : *
19 − 3 =