# RDP Deep Dive: Performance, Protokolle & Enterprise Security

TL;DR / Management Summary Das Remote Desktop Protocol (RDP) ist das Standardwerkzeug für die Fernverwaltung und das Home-Office. Standardmäßig ist RDP jedoch unsicher und ein beliebtes Ziel für Ransomware. Ein Senior Admin nutzt RDP niemals ohne Network Level Authentication (NLA), schützt es durch MFA via RDP-Gateway und optimiert die User Experience durch das Verständnis von TCP vs. UDP (RDP-Shortpath).

# 1. Einführung & Architektur

Wie Pixel über die Leitung fließen.

RDP ist kein einfacher Screen-Mirror. Es sendet Grafik-Befehle (GDI/DirectX) und nutzt intelligente Kompression.

# Schlüsselkomponenten

Port 3389: Der Standard-Listen-Port (TCP & UDP).
Network Level Authentication (NLA): Erzwingt die Authentifizierung, bevor die Session-GUI überhaupt startet (schützt vor DoS und Exploits).
Remote Desktop Services (RDS): Die Server-Rolle für Multi-User-Umgebungen.

# Architektur-Übersicht (Mermaid)

graph LR
    subgraph "External"
    HOME[Home Office PC]
    end

    subgraph "DMZ"
    GW[RD Gateway / Port 443]
    end

    subgraph "Internal Network"
    PC[Workstation / Port 3389]
    DC[Active Directory]
    end

    HOME -->|HTTPS| GW
    GW -->|RDP| PC
    PC -->|Auth| DC

# 2. RDP Hardening in der Praxis

Das System festungsgleich absichern.

# 1. NLA erzwingen (GPO)

Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Remotedesktopdienste -> Remotedesktop-Sitzungshost -> Sicherheit

Einstellung: Verwendung der Netzwerkebenenauthentifizierung für Remoteverbindungen erforderlich.

# 2. Verschlüsselung maximieren

Erzwingen Sie TLS 1.2+ für die Verbindung:

Einstellung: Erforderliche Verwendung einer speziellen Sicherheitsstufe für Remoteverbindungen -> TLS.

# 3. Port ändern? (Security by Obscurity)

Das Ändern des Ports auf z.B. 45678 hält einfache Bots ab, aber keine echten Angreifer.

Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name "PortNumber" -Value 45678

# 3. Deep Dive: RDP über UDP (Shortpath)

Performance für Video & Voice.

Klassisches RDP nutzt TCP. Das führt bei Latenz zu “Gummiband-Effekten”. RDP-Shortpath nutzt UDP für den Medienstrom.

Vorteil: Flüssiges Scrollen und Video-Playback.
Anforderung: UDP Port 3389 muss in der Firewall offen sein.

# 4. Day-2 Operations: Wer darf rein?

Berechtigungen verwalten.

# Eingeschränkte Gruppen

Fügen Sie User nur zur Gruppe “Remotedesatnutzer” hinzu, niemals zur Gruppe “Administratoren”, nur um RDP zu ermöglichen.

# Session Timeouts (GPO)

Verhindern Sie, dass Sessions tagelang offen bleiben:

Zeitlimit für getrennte Sitzungen festlegen: 1 Stunde.
Zeitlimit für aktive, aber im Leerlauf befindliche Sitzungen: 3 Stunden.

# 5. Troubleshooting & “War Stories”

Wenn der Bildschirm schwarz bleibt.

# Top 3 Fehlerbilder

Symptom: “Ein interner Fehler ist aufgetreten”.
- Ursache: Zertifikats-Mismatch oder korruptes Bitlocker-Profil.
- Lösung: RDP-Zertifikate in Certificates (Local Computer) -> Remote Desktop löschen und Dienst neustarten (wird neu generiert).
Symptom: Schwarzer Bildschirm nach dem Login für 30s.
- Ursache: UDP-Timeout oder Problem mit dem Bitmap-Caching.
- Lösung: Testweise UDP via GPO deaktivieren oder Persistent Bitmap Caching im Client abschalten.
Symptom: “Die Anmeldeinformationen haben nicht funktioniert” (trotz korrektem PW).
- Ursache: Credential Guard (VBS) verhindert die Übermittlung von Plaintext-Passwörtern.
- Lösung: Nutzen Sie den FQDN des Zielrechners.

# “War Story”: Der offene 3389 Albtraum

Ein Kunde öffnete Port 3389 direkt am Internet-Router für “schnellen Support”. Ergebnis: Innerhalb von 48 Stunden wurde der PC via Brute-Force geknackt. Die Angreifer deaktivierten das Antivirus, installierten Ransomware und verschlüsselten von dort aus den gesamten Hyper-V Cluster. Lehre: Publizieren Sie RDP niemals direkt ins Internet. Nutzen Sie immer ein VPN oder ein RD-Gateway (Port 443).

# 6. Monitoring & Alerting

Audit der Zugriffe.

# Event Log Überwachung

Security Log auf dem Ziel-PC:

Event ID 4624 (Type 10): Erfolgreicher RDP Login.
Event ID 4625: Fehlgeschlagener Login (Brute-Force Alarm!).

# 7. Fazit & Empfehlung

RDP ist ein mächtiges Werkzeug, erfordert aber höchste Sorgfalt.

Empfehlung: Nutzen Sie Zertifikate von der eigenen CA (Artikel 323), um “Untrusted Connection” Warnungen zu vermeiden.
Zukunft: Schauen Sie sich Microsoft Dev Box oder Azure Virtual Desktop (AVD) für skalierbare Remote-Workloads an.

# Anhang: Cheatsheet

Aufgabe	Befehl / Tool
RDP aktivieren (PS)	`Set-ItemProperty -Path 'HKLM:\...\Terminal Server' -Name "fDenyTSConnections" -Value 0`
Aktive Sessions sehen	`qwinsta`
Session trennen	`rwinsta <ID>`
Firewall Regel (PS)	`Enable-NetFirewallRule -DisplayGroup "Remotedesktop"`