Bundesamt für Sicherheit in der Informationstechnik

M 2.327 Sicherheit beim Fernzugriff auf Clients ab Windows XP

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Mit Windows XP wurden zwei neue Mechanismen zur Fernsteuerung eines Rechners eingeführt: der Remote-Desktop und die Remote-Unterstützung. Der Remote-Desktop basiert auf der Technologie der Terminaldienste ( RDP -Protokoll) und macht eine Anmeldung am System über ein Netz möglich. Die Remote-Unterstützung erweitert den Remote-Desktop um die Möglichkeit, innerhalb einer bestehenden Sitzung auf die Bildschirminhalte eines entfernten Rechners zuzugreifen und gegebenenfalls auch die Steuerung des Rechners zu übernehmen. Von Windows Vista,Windows 7 und Windows 8 werden diese Mechanismen zur Fernsteuerung ebenfalls unterstützt.

Der Remote-Desktop wird primär für Wartungsarbeiten auf Windows- Rechnern oder für den Zugriff auf virtuelle Maschinen über ein Netz eingesetzt. Hierzu können auch eine Vielzahl von Tools von Fremdanbietern eingesetzt werden. Der Einsatz der Remoteunterstützung ist bei Unternehmen und Behörden vor allem in Szenarien denkbar, wo Mitarbeiter eines internen oder externen Support-Zentrums einem Benutzer die notwendige Hilfestellung geben sollen. Bei einem aktivierten Remote-Zugriff via mmc.exe-Tools, telnet und Kommandozeilentools ist immer ein Timeout zu setzen. Ein Timeout sorgt für eine automatisierte Abmeldung des Nutzers vom Fernzugriff bei Inaktivität nach einer festzulegenden Zeitspanne.

Bei der Benutzung des Remote-Desktops ist zu beachten, dass immer nur genau ein Benutzer auf dem Zielrechner angemeldet sein kann. Der Remote-Desktop ist nicht als Ersatz für Terminaldienste zu verstehen.

Bei Windows-Versionen, bei denen der Remote-Desktop standardmäßig aktiviert ist, ist diese Einstellung zu deaktivieren. Remote-Desktop und Remote-Unterstützung können mittels der folgenden Gruppenrichtlinienobjekte aktiviert oder deaktiviert werden: Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste sowie Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste und Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung oder lokal über die Systemsteuerung (bei Windows XP unter System | Remote und bei Windows Vista unter System | Erweiterte Systemeinstellungen | Remote) erfolgen.

Unter Windows 7 und 8 ist die Remote-Unterstützung mittels der folgenden Gruppenrichtlinienobjekte zu aktivieren: Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung

Die Konfiguration für den Remote-Desktop ab Windows 7 ist mittels des folgenden Gruppenrichtlinienobjektes zu aktivieren: Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste.

Ab Windows 7 lautet der Pfad für die lokale Einstellung über die Systemsteuerung System und Sicherheit | System | Remoteeinstellungen.

Beim Einsatz dieser beiden Technologien muss auf folgendes geachtet werden:

  • Es ist starke Verschlüsselung (128-bit, Einstellung Höchste Stufe) zu verwenden. Diese muss in der Richtlinie Verschlüsselungsstufe der Clientverbindung (für Windows XP festzulegen unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Verschlüsselung und Sicherheit und für Windows Vista unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit) aktiviert werden. In Windows 7 und Windows 8 findet sich die Einstellung unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit. Unter Verschlüsselungsstufe der Clientverbindung festlegen ist auch die Höchste Stufe auszuwählen.
  • Es sollte keine automatische Kennwortanmeldung benutzt werden. Dies muss für Windows XP durch die Aktivierung der Richtlinie Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Verschlüsselung und Sicherheit ausgeschaltet werden. Das gilt auch für den XP-Mode unter Windows 7. In Windows Vista ist die Einstellung unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit zu aktivieren. In Windows 7 und Windows 8 muss die Einstellung Bei der Verbindungsherstellung immer zur Kennworteingabe auffordern unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit aktiviert werden.
  • Die Umleitungen von Zwischenablage, Drucker, Dateiablagen und Smartcard-Anschlüssen, die für Windows XP unter Computerkonfiguration | Windows-Einstellungen | Administrative Vorlagen | Terminaldienste | Client/Server-Datenumleitung aktiviert und deaktiviert werden, sollten nach Möglichkeit vermieden. werden. Unter Windows Vista lauten die entsprechenden Pfade Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Druckerumleitung bzw. Geräte- und Ressourcenumleitung bzw. Temporäre Ordner. In Windows 7 und Windows 8 sind die Optionen unter Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Geräte- und Ressourcenumleitung bzw. Temporäre Ordner zu finden.
  • Zusätzlichen Schutz bei der Nutzung von Remote-Desktop bietet die Funktion der Netzauthentifizierung (Benutzerauthentifizierung mit Authentifizierung auf Netzwerkebene ist für Remoteverbindungen erforderlich), die seit Windows Vista und Windows Server 2008 zur Verfügung steht. Mit dieser Funktion authentifizieren Remotedesktopclients den Benutzer, der eine Verbindung herstellen will, zuerst über das Netz, bevor die eigentliche Remotedesktopverbindung aufgebaut wird. Unbefugte, welche kein Domänenkonto besitzen, können somit keine Remotedesktopverbindung starten. Bei der Nutzung dieser Funktion muss sichergestellt werden, dass im Unternehmen Remotedesktopclients eingesetzt werden, welche die Netzauthentisierung unterstützen. Unter Windows Server 2012 und Windows 8 wird die Authentisierung auf Netzebene standardmäßig erzwungen.

Die Gruppe der berechtigten Benutzer für den Remote-Desktopzugriff wird entweder über die Zuweisung entsprechender Benutzerrechte in den Richtlinien (Anmeldung über Terminaldienste zulassen, Anmeldung über Terminaldienste verweigern) oder über die Systemsteuerung spezifiziert. Standardmäßig ist der entfernte Zugriff für die Gruppe der Administratoren sowie für die Gruppe Remotedesktopbenutzer, die nach der Installation leer ist, möglich.

Für den Aufbau einer Remote-Unterstützungssitzung gibt es die folgenden Möglichkeiten:

  • "Eine vertrauenswürdige Person zur Unterstützung einladen"
  • "Einem Benutzer, von dem Sie eingeladen wurden, Hilfe anbieten"

Der aktuell angemeldete Benutzer muss dem Aufbau einer Sitzung explizit zustimmen. Der Benutzername des Helfers stellt wegen fehlender Authentisierung die Schwachstelle beim Verbindungsaufbau dar. Aus diesem Grund erfordert der Remote-Unterstützungsmechanismus einen sorgfältigen Einsatz.

Es gibt zwei Möglichkeiten eine Remote-Sitzung zu starten. Die erste Option ist die Einwahl mittels Einladungsdatei. Soll eine Remote-Sitzung über diese Option aufgebaut werden, muss sich der Kommunikationspartner stets, bei jeder neuen Sitzung, mit einem entsprechenden Kennwort authentisieren. Dieses Kennwort muss durch den anderen Kommunikationspartner über einen gesonderten Kanal erfragt werden.

Die zweite Option ist die Verwendung von EasyConnect. Hierbei muss sich der Kommunikationspartner einmalig per Kennwort authentisieren. Da bei späteren Sitzungen der gleichen Kommunikationspartner eine weitere Authentisierung nicht notwendig ist, sollte EasyConnect grundsätzlich im Unternehmen nicht eingesetzt werden. Die Option der Einwahl mittels Einladungsdatei ist zu bevorzugen.

Durch die Definition entsprechender Richtlinien ist beim Einsatz der Remote-Unterstützung folgendes zu gewährleisten:

  • Eine Sitzung sollte nur nach einer expliziten Einladung aufgebaut werden. Soll das Anbieten der Remote-Unterstützung möglich sein, darf der Verbindungsaufbau nur bestimmten Benutzergruppen erlaubt werden (z. B. Support-Mitarbeiter). Die Definition erfolgt hierbei in Form von:

    <Domänenname>\<Benutzername>

    <Domänenname>\<Gruppenname> <Benutzername>@<Domain>.<TopLevelDomain>.

    Eine Auswahl aus vorhandenen Benutzern bzw. Gruppen ist nicht möglich.
  • Die maximale Gültigkeitsdauer der Einladung muss auf eine, für das Unternehmen oder die Institution annehmbare Größe, eingestellt werden. Die maximale Gültigkeitsdauer sollte fünf Minuten nicht überschreiten.
  • Wird eine Einladung zur Remote-Unterstützung in einer Datei abgespeichert, so sollte ein Kennwort vergeben werden, um die Gefahr einer unautorisierten Verwendung der Einladung zu verringern.
  • Die Steuerungsart (Helfer dürfen den Computer nur ansehen bzw. Helfer dürfen den Computer remote steuern) sollte nach Möglichkeit restriktiv (Helfer dürfen den Computer nur ansehen) gesetzt werden.

Beim Einsatz von Remote-Desktop und/oder Remote-Unterstützung sind die Auswirkungen auf die Konfiguration und Verwaltung von Firewalls zu berücksichtigen. Grundsätzlich wird empfohlen, keine Remote-Desktop- oder Remote-Unterstützungsverbindungen von außerhalb des eigenen Netzes zuzulassen.

Zusammengefasst gilt, dass der Einsatz von Fernsteuerungsmechanismen sehr sorgfältig abgewogen werden muss. Insbesondere aufgrund der bestehenden Unterschiede bei der Benutzerauthentisierung sollten die Vor- und Nachteile des jeweiligen Mechanismus in Betracht gezogen werden. Wird in einem Unternehmen oder einer Behörde kein Gebrauch von Remote-Desktop bzw. Remote-Unterstützung gemacht, so sind diese unbedingt zu deaktivieren.

Basiseinstellungen für GPOs

Die nachfolgenden Einstellungen gelten nur für den Einsatz beider Fernsteuerungsmechanismen. Soll einer der beiden oder beide Mechanismen nicht verwendet werden, so ist dieser zu deaktivieren. Hierfür ist die Modifikation der unten angegebenen Richtlinieneinstellungen notwendig.

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer ab Windows 7 auf, die für die Benutzung von Remote-Desktop und Remote-Unterstützung konfiguriert werden sollten.

Richtlinie Status Einstellung
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Bei der Verbindungsherstellung immer zur Kennworteingabe auffordern Aktiviert  

Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Benutzerauthentifizierung mit Authentifzierung auf Netzwerkebene ist für Remoteverbindungen erforderlich
Aktiviert  
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopsitzungs-Host | Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen Aktiviert Höchste Stufe
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Remoteunterstützung anbieten konfigurieren Deaktiviert  
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Angeforderte Remoteunterstützung konfigurieren Aktiviert Helfer dürfen den Computer remote steuern. Maximale Gültigkeitsdauer: 5 Minuten

Tabelle: Gruppenrichtlinieneinstellungen für Computer (Windows 7 und Windows 8)

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Benutzer ab Windows 7 auf, die für die Benutzung von Remote-Desktop und Remote-Unterstützung konfiguriert werden sollten.

Richtlinie Status Einstellung
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktopverbindungs-Client | Speichern von Kennwörtern nicht zulassen Aktiviert  
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remotedesktop-sitzungs-Host | Verbindungen |Regeln | für Remotesteuerung von Remotedesktopdienste-Benutzersitzungen festlegen Aktiviert Vollzugriff mit Erlaubnis des Benutzers

Tabelle: Gruppenrichtlinieneinstellungen für Benutzer (Windows 7 und Windows 8)

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer unter Windows Vista auf, die für die Benutzung von Remote-Desktop und Remote-Unterstützung konfiguriert werden sollten.

Richtlinie Status Einstellungen
Windows Vista: Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit | Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern Aktiviert  
Windows Vista: Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen Aktiviert Höchste Stufe
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Remoteunterstützung anbieten Deaktiviert  
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Angeforderte Remoteunterstützung Aktiviert Helfer dürfen den Computer remote steuern. Maximale Gültigkeitsdauer: 5 Minuten

Tabelle: Gruppenrichtlinieneinstellungen für Computer (Windows Vista )

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Benutzer unter Windows Vista auf, die für die Benutzung von Remote-Desktop und Remote-Unterstützung konfiguriert werden sollten.

Richtlinie Status Einstellungen
Windows Vista: Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Remotedesktopverbindungs-Client | Speichern von Kennwörtern nicht zulassen Aktiviert  
Windows Vista: Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Terminalserver | Verbindungen | Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen Aktiviert Vollzugriff mit Erlaubnis des Benutzers

Tabelle: Gruppenrichtlinieneinstellungen für Benutzer (Windows Vista) Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Computer unter Windows XP auf, die für die Benutzung von Remote-Desktop und Remote-Unterstützung konfiguriert werden sollten.

Richtlinie Status Einstellung
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Verschlüsselung und Sicherheit | Verschlüsselungsstufe der Clientverbindung festlegen Aktiviert Höchste Stufe
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Verschlüsselung und Sicherheit | Clients bei der Verbindungsherstellung immer zur Kennworteingabe auffordern Aktiviert  
Computerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Client/Server-Datenumleitung | * Aktiviert / Deaktiviert  
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Remoteunterstützung anbieten Deaktiviert  
Computerkonfiguration | Administrative Vorlagen | System | Remoteunterstützung | Angeforderte Remoteunterstützung Aktiviert Helfer dürfen den Computer remote steuern. Maximale Gültigkeitsdauer: 5 Minuten

Tabelle: Gruppenrichtlinieneinstellungen für Computer (Windows XP)

Die nachfolgende Tabelle listet Gruppenrichtlinieneinstellungen für Benutzer unter Windows XP auf, die für die Benutzung von Remote-Desktop und Remote-Unterstützung konfiguriert werden sollten.

Richtlinie Status Einstellungen
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Regeln für Remoteüberwachung von Terminaldienste-Benutzersitzungen festlegen Aktiviert Vollzugriff mit Erlaubnis des Benutzers
Benutzerkonfiguration | Administrative Vorlagen | Windows-Komponenten | Terminaldienste | Client | Speichern von Kennwörtern nicht zulassen Aktiviert  

Tabelle: Gruppenrichtlinieneinstellungen für Benutzer (Windows XP)

Prüffragen:

  • Ist die automatische Kennwortanmeldung bei Windows-Client-Versionen ab Windows XP deaktiviert?

  • Ist die Gruppe der berechtigten Benutzer für den Remote-Desktopzugriff über die Zuweisung entsprechender Benutzerrechte oder in den Richtlinien festgelegt worden?

  • Sind die Gruppenrichtlinien sicher und bedarfsgerecht konfiguriert worden?

  • Kann eine Remote-Unterstützung nur nach einer expliziten Einladung über EasyConnect oder eine Einladungsdatei erfolgen?

  • Ist die maximale Gültigkeitsdauer der Einladung auf eine annehmbare Größe eingestellt worden?

  • Wird bei der Speicherung einer Einladung in einer Datei ein Kennwort auf die Datei vergeben?

  • Werden die Auswirkungen auf die Konfiguration der Firewall bei der Planung der Remote-Unterstützung berücksichtigt?

  • Wurden die Fernsteuerungsmechanismen vollständig deaktiviert, wenn deren Einsatz nicht vorgesehen ist?

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK