Gespeicherte Credentials für RDP verbieten

Die Zugangsdaten einer Remote-Desktop Verbindung zu speichern, ist eine willkommene Erleichterung der täglichen Arbeit. Erlaubt sie doch schnellen Wechsel zwischen Serversystemen, ohne jedesmal das Passwort erneut einzugeben.

Genau hierin besteht jedoch das Problem. Erhält ein Angreifer Zugriff auf ein Endgerät mit gespeicherten Verbindungsdaten, so hat er damit auch Zugriff auf die dort hinterlegten RDP Verbindungen.

Dazu braucht er nicht unbedingt Zugang zum Firmengelände. Das Büro ist heute überall. Jeder kann sein Notebook, sein Tablet, oder sein Smartphone mit nach Hause nehmen. Endgeräte können entweder durch einen Exploit übernommen, oder physisch gestohlen werden.

Wie so oft stehen Sicherheit und Komfort an diametral verschiedenen Enden des Spektrums. „Gespeicherte Credentials für RDP verbieten“ weiterlesen

RDP Session wechselt Keyboard Layout

In RDP Sessions erlebe ich es immer wieder, dass das Tastaturlayout von Deutsch auf Englisch umgestellt wird. Man kann das Layout zwar umstellen, aber das Gastsystem merkt sich diese Einstellung nicht. Bei der nächsten Verbindung ist es wieder auf Englisch eingestellt. Ich kann nicht sagen, wie oft ich dadurch schon falsche Login-Namen oder Passwörter eingegeben habe.

It’s not a bug – it’s a feature

Es passiert nicht immer. Nur unter bestimmten Konstellationen.

  • Das Remote System ist ein Windows Server 2008 R2
  • Das lokale System ist mein Büro-PC

Darin liegt der Hund begraben. Microsoft hat seinem Server-OS ein nettes Feature spendiert: Die automatische remote Keyboard-Layout Erkennung. Mein PC hat in der Tat eine Deutsch-Englische Hybrid-Tastatur. Das erleichtert die Arbeiten an englischen Systemen, da beide Layouts aufgedruckt sind. Bei der RDP Session wird diese jedoch als englische Tastatur gemeldet und das Remotesystem schaltet auf das EN Layout um.

Man kann das Feature abschalten, indem man auf dem Server OS folgenden Registry Eintrag hinzufügt.

HKLM\SYSTEM\CurrentControlSet\Control\Keyboard Layout

Neu > DWORD

Name: IgnoreRemoteKeyboardLayout

Wert: 1

Remote Desktop Default Port ändern

Der Standardport für Windows Remote Desktop Dienste (TCP 3389) ist leider ein beliebtes Ziel für Angriffe geworden. Ein kleiner Schritt in Richtung mehr Sicherheit ist daher die Änderung des Diensted auf einen dafür unüblichen Port. Hier im Beispiel: TCP 12345.

Firewall anpassen

Ein ganz wichtiger Punkt, den man nicht vergessen darf. Ansonsten kann man sich leicht aussperren. Daher erwähne ich das VOR der eigentlichen Änderung. 😉

Anpassung auf Serverseite

  • Auf dem Windows Server regedit starten
  • HKLM\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
  • Den Key “PortNumber” suchen und ändern (Kontextmenü)

RDPPort01

  • Im Dialog zunächst die Basis auf Dezimal umstellen und dann den gewünschten Port unter “Wert”  eingeben. Mit OK bestätigen.

RDPPort02

  • Reboot Server

Client öffnen

  • Terminal Service Client öffnen > Ausführen mstsc
  • Hier muss man dem Client mitteilen, daß jetzt nicht der Standard Port 3389 verwendet werden soll, sondern ein davon abweichender 12345. Dies erreicht man durch Übergabe der Portnummer mit :12345 an den Servernamen.

RDPPort03

Wenn der Zugang gelingt, kann man im Anschluss TCP 3389 auf der Firewall sperren.

Links

RDP zu Windows XP mit mehr als 16 Bit Farbtiefe

Es gibt Anwendungen, die benötigen mindestens 24 Bit Farbtiefe. Für heutige VGA Karten kein Problem. Verbindet man sich aber beispielsweise via RDP auf ein Windows XP System, so ist die Farbtiefe auf 16 Bit (65.536 Farben) begrenzt. Dies ist die Standard Einstellung. Mit einem Trick lässt sich dies jedoch ändern.

Mehr Farbe!

  • Auf dem XP System startet man die Microsoft Management Console (MMC) indem man in die Ausführen-Leiste “mmc” eintippt.
  • Datei > Snap-In hinzufügen
  • Snap-In Gruppenrichtlinienobjekt (Group Policy Object) hinzufügen.
  • Lokaler Computer auswählen und Beenden
  • Computer Konfiguration > Administrative Vorlagen > Terminal Services
  • Limit Maximum Color Depth wählen und den Wert auf die gewünschte Auflösung setzen.

Damit ist das XP System in der Lage RDP Sessions mit mehr als 65.536 Farben anzubieten. Zusätzlich muß im RDP Client des Quellsystems ebenfalls die gewünschte Farbtiefe eingestellt werden.

Links

Microsoft KB Q278502: HOW TO: Connect to Terminal Services with Color Resolution That Is Greater Than 256 in Windows XP