RDP: Remote Desktop Protocol

Mit RDP – Remote Desktop Protocol steuerst du einen Windows-Computer über das Netzwerk, als würdest du direkt davor sitzen: du siehst den Desktop, kannst mit Maus und Tastatur arbeiten und Programme starten. RDP ist Microsofts proprietäres Protokoll für grafischen Fernzugriff, das seit Windows NT 4.0 Terminal Server Edition existiert und heute in jeder Windows-Version eingebaut ist. Als IT-Fachkraft nutzt du RDP täglich: für Helpdesk-Support, Server-Administration und Homeoffice-Lösungen.

RDP läuft standardmäßig auf Port 3389 (TCP und UDP) und überträgt Bildschirminhalte, Maus-/Tastatureingaben, Audio und Dateizugriffe in einem einzigen verschlüsselten Protokoll. Für Linux-Systeme gibt es vergleichbare Protokolle wie VNC und X2Go, die aber auf anderen technischen Ansätzen basieren.

1) RDP aktivieren und verbinden

RDP ist auf Windows-Servern und Windows-Pro/Enterprise-Clients verfügbar – auf Windows Home fehlt die Funktion, einen RDP-Server zu betreiben (nur Verbindung zu anderen ist möglich). Die Einrichtung ist schnell erledigt, erfordert aber die richtigen Berechtigungen.

RDP einrichten – Windows Server / Windows 10 Pro

RDP auf dem Zielrechner aktivieren

# PowerShell: RDP aktivieren PS> Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" ` -Name "fDenyTSConnections" -Value 0 # Firewall-Regel für RDP aktivieren PS> Enable-NetFirewallRule -DisplayGroup "Remote Desktop" # NLA (Network Level Authentication) aktivieren – empfohlen! PS> Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" ` -Name "UserAuthentication" -Value 1 # Alternativ: Systemsteuerung → System → Remoteeinstellungen

NLA (Network Level Authentication) erzwingt eine Anmeldung, bevor der Desktop übertragen wird – das reduziert die Angriffsfläche erheblich, da nicht authentifizierte Verbindungen keinen Desktop-Stream erhalten.

Verbindung aufbauen – Windows RDP-Client (mstsc)

# RDP-Client starten (Windows) Win+R> mstsc # Oder: mstsc /v:192.168.1.100 # Direkt verbinden mit Benutzer: C:\> mstsc /v:srv01.firma.local /u:administrator # Vollbild-Modus: C:\> mstsc /v:192.168.1.100 /f # RDP-Datei für gespeicherte Verbindung full address:s:srv01.firma.local username:s:FIRMA\max screen mode id:i:2

RDP von Linux aus – xfreerdp / Remmina

# xfreerdp – Kommandozeilen-RDP-Client $ xfreerdp /v:192.168.1.100 /u:max /p:geheim /f # Mit dynamischer Auflösung und Zwischenablage $ xfreerdp /v:192.168.1.100 /u:max /dynamic-resolution /clipboard # Remmina – grafischer Client (Ubuntu: vorinstalliert) $ remmina -c rdp://max@192.168.1.100

2) RDP, VNC und SSH – wann was einsetzen?

Für Remote-Zugriff gibt es mehrere Protokolle, die sich in Ansatz, Sicherheit und Anwendungsfall unterscheiden. Die Wahl des richtigen Protokolls hängt vom Betriebssystem, dem Netzwerk und den Anforderungen ab.

RDP

Windows-nativ
Port 3389
Komprimierter Desktop-Stream
Audio, Drucker, Clipboard
NLA für Sicherheit
Ideal für Windows-Admin

VNC

Plattformübergreifend
Port 5900
Kein Kompressionsstandard
Verschlüsselung optional
Weniger effizient als RDP
Gut für Linux-Desktops

SSH

Alle Systeme
Port 22
Nur Kommandozeile
Immer verschlüsselt
Sehr effizient
Ideal für Server-Admin

3) RDP absichern

RDP ist ein beliebtes Angriffsziel: Port 3389 wird im Internet permanent nach offen erreichbaren RDP-Servern gescannt. Ein direkt erreichbarer RDP-Server ohne weitere Schutzmaßnahmen ist ein erhebliches Sicherheitsrisiko. In der Praxis sollte RDP nie direkt aus dem Internet erreichbar sein.

RDP-Sicherheitshärtung – Best Practices

NLA erzwingen und Standardport ändern

# Port ändern (Security through Obscurity) PS> Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" ` -Name "PortNumber" -Value 33890 # Alte Firewall-Regel anpassen PS> New-NetFirewallRule -DisplayName "RDP Custom" -Direction Inbound -Protocol TCP -LocalPort 33890 -Action Allow

Den Port zu ändern reduziert automatisierte Scan-Angriffe spürbar – hält aber gezielten Angreifern nicht stand. Immer kombiniert mit anderen Maßnahmen einsetzen.

RDP hinter VPN oder SSH-Tunnel

4) RDP-Lizenzierung auf Windows Server

Auf Windows-Server-Systemen mit mehreren gleichzeitigen Benutzern (Remote Desktop Services, RDS) ist eine RDS-Lizenzierung erforderlich. Ohne Lizenzserver läuft RDS nur 120 Tage in einer Testphase. Es gibt zwei Lizenztypen:

Lizenztyp	Bedeutung	Typischer Einsatz
Per User (CAL)	Eine Lizenz pro Benutzer-Account	Mitarbeiter mit festen Zugangsdaten
Per Device (CAL)	Eine Lizenz pro Gerät	Shared Workstations, Schichtbetrieb

Weitere Informationen zu Windows Server-Diensten findest du in Kurs K27 – Windows Server. Den Zusammenhang zwischen Fernzugriffs-Protokollen und dem OSI-Modell (RDP ist Schicht 7) erklärt Kurs K20 – OSI-Modell und TCP/IP-Stack.

RDP: Remote Desktop Protocol

1) RDP aktivieren und verbinden

2) RDP, VNC und SSH – wann was einsetzen?

RDP

VNC

SSH

3) RDP absichern

4) RDP-Lizenzierung auf Windows Server

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title