Was ist das Remote-Desktop-Protokoll?
- IAM-Glossar
- Was ist das Remote-Desktop-Protokoll?
Das Remote-Desktop-Protokoll (RDP) ist ein Netzwerkkommunikationsprotokoll, mit dem Benutzer aus der Ferne eine gesicherte Verbindung zu einem anderen Computer herstellen können. So ist es IT-Administratoren und DevOps-Personal nicht nur möglich, aus der Ferne Systemwartungsarbeiten und Reparaturen durchzuführen. Auch normale Benutzer können mit RDP aus der Ferne auf ihre Arbeitscomputer zugreifen.
RDP wurde ursprünglich von Microsoft entwickelt und ist auf fast allen Windows-Computern vorinstalliert. Zudem sind RDP-Clientprogramme (einschließlich quelloffene Varianten) verfügbar für Mac OS, Apple iOS, Android und Linux/Unix-Systeme. Das Java-Remote-Desktop-Protokoll ist zum Beispiel ein quelloffener RDP-Client für Windows Terminal Server, während Apple Remote Desktop (ARD) eine proprietäre Lösung für Mac-Computer ist.
Wie funktioniert das remote-desktop-protokoll?
RDP wird häufig mit Cloud-Computing verwechselt, weil beide Technologien die Arbeit aus der Ferne ermöglichen. Tatsächlich ist der Fernzugriff auf Computer die einzige Ähnlichkeit RDP und der Cloud.
In Cloud-Umgebungen greifen Benutzer auf Dateien und Anwendungen zu, die auf einem Clous-Server und nicht auf der Festplatte ihres Desktop-Computers gespeichert sind. Bei RDP stellen Benutzer hingegen eine Verbindung mit ihrem Desktop-Computer her und bekommen so Zugriff auf Dateien darauf und können Anwendungen darauf ausführen, als würden sie direkt vor dem Computer sitzen. Die Verbindung mit einem Computer und die so ermöglichte Fernarbeit lässt sich mit der Fernsteuerung einer Drohne vergleichen. Nur werden hier Daten über das Internet und nicht per Radiowellen übertragen.
Für RDP müssen Benutzer auf dem Computer, von dem aus sie eine Verbindung herstellen wollen, ein Client-Programm installieren, und auf dem Computer, mit dem sie sich verbinden wollen, eine Server-Software. Nach Herstellung der Verbindung mit dem Remote-Computer sehen Remote-Benutzer dieselbe grafische Desktopoberfläche und können auf Dateien und Anwendungen zugreifen, als würden sie den Computer ganz normal nutzen.
RDP-Client- und -Server-Software kommunizieren über den Netzwerk-Port 3389 und verwenden das TCP/IP-Protokoll, um Mausbewegungen, Tastatureingaben und andere Daten zu übertragen. RDP verschlüsselt alle Daten bei der Übertragung, um zu verhindern, dass böswillige Akteure sie abfangen können. Aufgrund der grafischen Benutzeroberfläche ist die Kommunikation zwischen Server und Client höchst asymmetrisch. Der Client überträgt nur Maus- und Tastatureingaben, was relativ kleine Datenmengen sind, aber der Server übermittelt datenintensive Benutzeroberflächenveränderungen.
Wofür wird RDP eingesetzt?
Selbst in einer immer mehr von Cloud-Anwendungen geprägten Welt eignet sich RDP hervorragend für viele Anwendungsszenarien. Hier finden Sie einige der populärsten Anwendungsfälle:
- Weil Benutzer mit RDP direkt auf einen bestimmten Computer zugreifen können, wird es häufig von Administratoren und technischem Hilfestellungspersonal eingesetzt, um Desktop-Computer und Server einzurichten, zu warten, Probleme zu beheben und zu reparieren.
- RDP bietet eine vorgefertigte grafische Benutzeroberfläche für die Verbindung mit Servern, damit Administratoren ihre Arbeit über die Oberfläche anstatt über das Kommandozeilenwerkzeug durchführen können.
- RDP erlaubt es Benutzern, von Mobilgeräten oder leistungsschwachen Computern eine Fernverbindung zu einem Rechner herzustellen, der über sehr viel mehr Rechenleistung verfügt.
- Vertriebs- und Werbemitarbeitende können mit RDP Prozesse oder Softwareanwendungen demonstrieren, auf die normalerweise nur auf lokal gebundenen Computern zugegriffen werden kann.
- RDP und Cloud-Computing können zusammen verwendet werden. Microsoft Entra ID (Azure)-Kunden nutzen RDP, um virtuelle Maschinen in ihren Entra ID (Azure)-Cloudinstanzen einzurichten. Einige Organisationen setzen auf RDP, um Mitarbeitenden außerhalb ihres Arbeitsplatzes den Zugriff auf Cloud-Umgebungen mittels einer virtuellen Desktop-Oberfläche zu ermöglichen, was die Arbeit für nicht technisch versierte Benutzer sehr vereinfacht.
Welche vorteile und nachteile hat RDP?
Da RDP eine direkte Verbindung zu einem örtlich gebunden Server oder Computer herstellt, erlaubt es die Arbeit aus der Ferne für Organisationen mit alter Infrastruktur. Dazu zählen auch hybride Cloud-Umgebungen. RDP ist auch eine exzellente Option, wenn Benutzer aus der Ferne auf Daten zugreifen müssen, die aus rechtlichen Gründen nur auf Computern direkt im Unternehmen gespeichert und genutzt werden dürfen. IT- und Sicherheitsadministratoren können RDP-Verbindungen auf bestimmte Rechner beschränken, damit nur eine begrenzte Anzahl von Benutzern (oder auch nur ein einziger Benutzer) darauf zugreifen können.
Trotz all dieser Vorteile hat RDP aber auch einige Nachteile:
- Da die Tastatur- und Mauseingaben verschlüsselt werden und erst danach über das Internet auf die Remote-Computer übertragen werden, können RDP-Verbindungen Latenzprobleme haben. Das ist insbesondere dann der Fall, wenn eine wenig leistungsfähige Internetverbindung genutzt werden muss.
- RDP erfordert den Einsatz bestimmter Software auf Client- und Server-Computern. Die Software ist auf den meisten Windows-Computern schon vorinstalliert, muss aber trotzdem eingerichtet und gewartet werden. Wenn RDP nicht ordnungsgemäß eingerichtet wurde und Softwareaktualisierungen nicht zeitnah installiert werden, kann das zu erheblichen Sicherheitsrisiken führen.
- RDP ist anfällig für ganze Reihe von Sicherheitsproblemen, auf die wir im folgenden Abschnitt näher eingehen.
Rdp-sicherheitsschwachstellen
Die beiden größten Sicherheitsschwachstellen bei RDP sind unsichere Zugangsdaten und die Exponierung des Ports 3389 zum Internet.
Ohne entsprechende Anweisungen nutzen Mitarbeitende zu oft schwache Passwörter, speichern sie auf unsichere Weise und verwenden dieselben Passwörter für mehrere Konten. Dazu zählen auch Passwörter für RDP-Verbindungen. Kompromittierte RDP-Zugangsdaten bieten eine enorme Angriffsfläche für Ransomware-Angriffe. Das Problem ist so weit verbreitet, dass es sogar ein berüchtigtes Meme in den sozialen Medien hat. RDP steht demnach für "Ransomware Deployment Protokoll" (also Ransomware-Verbreitungs-Protokoll).
Da RDP-Verbindungen standardmäßig den Port 3389 verwenden, können Angreifer gezielt diesen Port für On-Path-Angriffe, auch bekannt als Man-in-the-Middle-Angriffe, anvisieren. Bei so einem Angriff positionieren sich die Angreifer zwischen dem Client und dem Server-Rechner. So können sie den Datenaustausch abfangen, lesen und verändern.
Wie kann man RDP-verbindungen sichern?
Zuerst sollten Sie entscheiden, ob Ihre Organisation wirklich RDP verwenden muss oder ob Alternativen wie Virtual Network Computing (VNC) (ein plattformunabhängiges, grafisches Desktopübertragungssystem), besser geeignet sein könnten. Ist RDP wirklich Ihre beste Option, sollten Sie den Zugriff auf die Benutzer beschränken, die den RDP wirklich nutzen müssen. Zudem sollten Sie die Nutzung von Port 3389 beschränken. Möglichkeiten zum Schutz von Port 3389 sind unter anderem:
- Konfiguration der Firewall, sodass nur erlaubte IP-Adressen den Port 3389 nutzen dürfen.
- Die Verbindung zu einem virtuellen privaten Netzwerk (VPN) vor der Verbindung zum RDP erforderlich machen.
- Als Alternative zu einem VPN können Sie von Benutzern verlangen, dass sie sich über einen Remote-Desktop-Gateway wie Keeper Connection Manager mit RDP verbinden. Remote-Desktop-Gateways sind nicht nur benutzerfreundlicher und schneller als ein VPN, sondern bieten auch Funktionen zur Sitzungsaufzeichnung und befähigen Administratoren, die Multi-Faktor-Authentifizierung (MFA) zur Pflicht zu machen.
Umfassende Passwortsicherheitsvorkehrungen sind ebenso wichtig wie der Schutz gegen Port-spezifische Angriffe:
- Machen Sie es erforderlich, dass Mitarbeitende starke, einzigartige Passwörter für jedes Konto verwenden und machen Sie die Nutzung von MFA verbindlich. Nutzen Sie einen Enterprise-Passwortmanager (EPM) wie Keeper, um die Einhaltung dieser Regeln durchzusetzen.
- Ziehen Sie die "Maskierung" von RDP-Passwörtern in Betracht. Diese Funktion eines Passwortmanagers wie dem von Keeper erlaubt es Benutzern, Passwörter automatisch in Anmeldeformularen ausfüllen zu lassen, ohne dass die Benutzer das Passwort selbst zu Gesicht bekommen.
- Verwenden Sie keine Benutzernamen wie "Administrator", "Admin" oder ähnliche. Viele automatisierte Passwort-Cracker versuchen vorrangig, die Passwörter für administrative Konten zu knacken, da diese über die höchsten Berechtigungen verfügen.
- Schränken Sie die Anmeldeversuche ein, um Brute-Force-Angriffe zu erschweren. Mit der Beschränkung von Anmeldeversuchen verhindern Sie, dass Passwort-Cracker-Bots binnen kürzester Zeit Hunderte oder Tausende Passwortrateversuche durchführen können, da Benutzer nach einer geringen Anzahl von Fehlversuchen gesperrt werden.