Remote Desktop Protocol (RDP): Netzwerk-Endpunkte richtig absichern

RDP ist ein wichtiges Werkzeug für den Support und andere Remote-Verbindungen. Wegen bekannter Lücken sollte es aber richtig abgesichert werden.

Remote Desktop Protocol: Was es ist und wie man es sichert

Im März 2012 bekannt gewordene Lücken im Remote Desktop Protocol (RDP) haben ein Schlaglicht auf dieses Protokoll geworden. Wie der bekannte Netzwerk-Sicherheitsexperte Dan Kaminsky damals sagte, ist RDP auf mehr als fünf Millionen Internet-Endpunkten im Gebrauch. Bei solchen Zahlen kann man sich leicht vorstellen: Wenn Unternehmen RDP nicht richtig schützen, kann die Sicherheit von Netzwerken und Endpunkten kompromittiert werden.

In diesem Artikel untersuchen wir kurz, was RDP ist, warum es gebraucht wird und wie es bei Endpunkten in Unternehmen üblicherweise zum Einsatz kommt. Anschließend geht es darum, wie Unternehmen RDP auf sichere Art und Weise verwenden oder – wenn das angemessen ist – deaktivieren können.

Was ist RDP?

Remote Desktop Protocol ist ein proprietäres Protokoll, das von Microsoft entwickelt wurde. Es gibt einem System-Nutzer die Möglichkeit, eine Verbindung zu einem Remote-System mit einer grafischen Benutzer-Oberfläche herzustellen. Der Agent für die Client-Seite ist dabei standardmäßig in das Microsoft-Betriebssystem integriert, lässt sich auch aber auch auf anderen Betriebsystemen wie Mac OS, verschiedenen Linux-Varianten und selbst mobilen wie Android installieren.

Der Server-Teil von RDP wird in einem Microsoft-Betriebssystem installiert und nimmt Anfragen von den Client-Agenten entgegen, eine verfügbare Anwendung in grafischer Form auszugeben oder Remote-Zugang zu dem System selbst zu gewähren. Als Voreinstellung lauscht Windows auf Port 3389 auf Anfragen von Clients für eine RDP-Verbindung.

Wie wird RDP in Unternehmen üblicherweise eingesetzt?

Meistens werden Sitzungen für RDP oder Terminal Service auf Servern konfiguriert, bei denen es möglich sein soll, dass verteilte Client-Rechner eine Verbindung mit ihnen herstellen. Der Sinn dahinter kann Management, Remote-Zugang oder die Bereitstellung einer Anwendung für zentrale Nutzung sein. Auch von Desktop-Administratoren wird das Protokoll gerne eingesetzt, um Nutzern bei Problemen auf Entfernung helfen zu können. Genau diese Funktion aber kann zum Problem werden, wenn sie nicht richtig konfiguriert ist, denn unter Umständen ist dann unautorisierter Zugriff auf wichtige Unternehmenssysteme möglich.

Wie sich RDP sicher machen lässt

Nachdem wir jetzt wissen, was RDP ist und wie es eingesetzt wird, können wir uns der Sicherung von RDP-Implementierungen zuwenden:

  • Prüfen Sie, ob Verschlüsselung mit 128 Bit zwischen Clients und Server eingestellt ist. Derart lange Schlüssel verringern die Wahrscheinlichkeit, dass sie geknackt werden können. Standardmäßig wird die RDP-Verbindung versuchen, 128 Bit zu nutzen, doch wenn das nicht gelingt, fällt der Client meist auf 64 Bit zurück. Um dies zu verhindern, können Administratoren Group Policy Objects (GPOs) konfigurieren und darin die Schlüssel-Längen fest vorgeben. Ebenfalls zu empfehlen ist die Aktivierung der "High Level"-Option.
  • Wenn ein Zugriff auf ein System über das externe Netzwerk erforderlich ist, sollte der nötige Port nicht für jedermann zum möglichen Missbrauch zur Verfügung stehen. Konfigurieren Sie für RDP stattdessen einen VPN-Tunnel zurück ins Netzwerk. Noch besser ist es, ein Gateway für Remote-Desktops zu schaffen: Dieses erlaubt Remote-Verbindungen über HTTPS, so dass RDP eine sicherere und verschlüsselte Verbindung zum Endpunkt aufbauen kann. Beide Methoden sind gewiss besser als ein offener Port 3389 im Perimeter-Netzwerk.
  • Bei neueren Windows-Versionen (Vista, Windows 7, Windows 8 und Server 2008) können Administratoren als zusätzliche Schicht vor dem Herstellen einer Verbindung mit dem RDP-Hostserver eine Authentifizierung auf Netzwerk-Ebene (NLA) aktivieren. Dadurch wird das System von der Authentifizierung entlastet, und weniger Ressourcen werden verbraucht. Zugleich kann es dabei helfen, Denial-of-Service-Angriffe weniger gravierend zu machen: NLA fungiert hier als Puffer, der den Angreifer daran hindert, den RDP-Hostserver mit Zugriffsanfragen zu bombardieren.
  • Standardmäßig lauscht das RDP-Hostsystem auf Port 3389 auf Verbindungsanfragen von RDP-Clients. Dieser Port für den RDP-Dienst lässt sich ändern, was das Netzwerk vor Malware schützt, die Systeme nach RDP auf Port 3389 durchsucht. Dieser "Sicherheit durch Unklarheit"-Ansatz kann allerdings auch zu eigenen Fehlern führen. Die Änderung des Ports ist also möglich, Sie sollten aber einen guten Grund dafür haben.
  • Ebenfalls hilfreich ist der Einsatz von Firewalls im Perimeter oder im Betriebssystem, die bei RDP nur eingehende Anfragen von zulässigen Quellen und Verbindungen mit erlaubten Zielen zulassen. Dadurch kann sich nicht mehr jeder mit dem Server verbinden. Wenn es eine bestimmte Gruppe von Personen gibt, die sich nur mit einer bestimmten Gruppe von Servern verbinden soll, helfen Firewall-Regeln dabei, diese Beschränkungen durchzusetzen.
  • Prüfen Sie, wer in der Lage ist, eine RDP-Verbindung zu einem Server aufzubauen. Erwägen Sie, den Zugang zu RDP auf bestimmte Gruppen zu beschränken (mittels Group Policy oder manuell auf den Ziel-Maschinen) anstatt es für jeden offen zu lassen. Ebenfalls empfehlenswert ist es, den lokalen Administrator-Account von RDP-Zugriff auszuschließen. Und alle Nutzer-Accounts sollten auf dem System frühzeitig im Vorfeld klar definiert werden.
  • NLA bietet zwar eine Authentifizierung, doch die beste verfügbare Methode zur Authentifizierung von Client-Anfragen an ein Host-System bei RDP ist die Verwendung von SSL-Zertifikaten. Wenn das Zertifikat auf dem System und auf dem RDP-Client installiert ist, erfolgt vor dem Beginn einer RDP-Sitzung eine Authentifizierung mittels Zertifikat.
  • Verifizieren Sie, dass alle Patches für Systeme mit RDP aktuell sind. Dies gilt insbesondere nach den Ereignissen, die Microsoft in seinem Security Bulletin MS12-020 beschreibt.
  • Letzter Punkt: Erzwingen Sie über GPOs Passwort-Regeln, die bestimmte Längen in einer Domain vorschreiben. Setzen Sie außerdem eine Lockout-Policy um, damit Hacker sich nicht mit Brute Force-Angriffen – also schlicht sehr vielen Anmelde-Versuchen – Zugang zu einem Server verschaffen können.

Schutz von RDP vor unzulässiger Nutzung

Mit den oben vorgestellten Maßnahmen können Organisationen die Verwendung von RDP in ihrem Bereich absichern. Ebenfalls von Bedeutung ist aber, wie sich sicherstellen lässt, dass RDP nicht verwendet wird. Die folgenden Maßnahmen schützen vor eigenmächtigen oder unautorisierten RDP-Installationen:

  • Mit Schwachstellen- und Port-Scans über das gesamte interne wie externe Netzwerk hinweg kann man feststellen, ob irgendwelche Systeme auf RDP-Verbindungen lauschen. Interne Scans können aufzeigen, auf welchen Systemen RDP läuft – anschließend kann geprüft werden, ob dies zulässig ist. Wenn sich aus externer Sicht zeigt, dass auf RDP-Anfragen gewartet wird, sollten Sie dringend handeln. Viele Schwachstellen-Scanner erkennen auch, wenn RDP auf anderen Ports als dem Standard läuft – das hilft, falls jemand seine Installation verstecken wollte.
  • Mit Protokollierung oder dem Einsatz eines Systems für das Management von Sicherheitsvorfällen und -ereignissen (SIEM) lässt sich verifizieren, welche Geräte auf RDP-Verbindungen lauschen und RDP-Sitzungen akzeptieren. Dadurch bekommen Sie Informationen darüber, welche Art von RDP-Verbindungen sich in Ihrem Netzwerk abspielen. Gab es mehrfache gescheiterte Login-Versuche bei bestimmten Systemen? Akzeptieren andere Systeme Verbindungsanfragen, die sie ablehnen sollten?
  • Zuletzt die beste Methode: Mit einer Group Policy, die nur bestimmten Systemen die Ausführung von RDP erlaubt, lässt sich sicherstellen, dass Systeme RDP nicht auf unangemessene Weise nutzen.

Zusammengefasst ist RDP ein sehr nützliches Werkzeug für Administratoren wie Nutzer, um mehrfache Verbindungen zu einem System herzustellen. Von Administratoren wird es auch für die Verwaltung von Remote-Systemen genutzt. Doch wie bei allem anderen gilt auch hier: Wenn Verbindungen und Software nicht gesichert sind, setzen sich Unternehmen Risiken aus. Zu wissen, wie RDP funktioniert, warum es gebraucht wird und wie es sich sicher machen lässt, hilft Administratoren dabei, hier saubere Arbeit zu leisten.

Über den Autor:

Matthew Pascucci ist Techniker für Informationssicherheit in einem großen Einzelhandelsunternehmen, wo er mit Schwachstellen- und Bedrohungsmanagement, Sicherheitsbewusstsein und dem täglichen Sicherheitsbetrieb befasst ist. Er hat für unterschiedliche Publikationen über Informationssicherheit geschrieben, mehrere Vorträge gehalten und engagiert sich intensiv in seinem lokalen InfraGard-Chapter. Sie können ihm unter @matthewpascucci auf Twitter folgen, seinen Blog finden Sie unter www.frontlinesentinel.com

Erfahren Sie mehr über Netzwerksicherheit