Suchen

Probleme beim Einsatz des Remote-Zugangs via RDP Wenn der User den Host-Rechner herunterfährt…

Um Nutzer aus dem Home-Office oder von anderen Remote-Standorten aus auf die Daten und Programme im Firmennetzwerk zugreifen zu lassen, ist der Einsatz der Remote Desktop App und des RDP-Protokolls ein erprobter Weg. Dabei können Nutzer aber schnell und unbedacht Probleme auslösen – wir zeigen, wie Administratoren eines dieser Probleme – das versehentliche Herunterfahren des ferngesteuerten Host-Rechners – jedenfalls teilweise verhindern können.

Firma zum Thema

Speziell bei Remote-Zugriffen auf Host-PCs kann es sinnvoll sein, ein Herunterfahren der Host-Systeme zu verhindern.
Speziell bei Remote-Zugriffen auf Host-PCs kann es sinnvoll sein, ein Herunterfahren der Host-Systeme zu verhindern.
(Bild: © Pavel Ignatov - stock.adobe.com)

Es wird wohl kaum einen IT-Administrator geben, der nicht hin und wieder mittels RDP (Remote Desktop Protocol) remote auf ein Windows-System zugreift: Ganz gleich ob es sich dabei um den Server handelt, der in den Keller verbannt wurde, oder es sich um den PC eines Nutzers im anderen Firmengebäude dreht, diese Art des Zugriffs stellt eine einfache und schnelle Möglichkeit dar, „aus der Ferne“ zu arbeiten.

Das RDP-Protokoll setzt auf TCP auf und wird normalerweise auf dem TCP-Port 3389 bereitgestellt. Ab der Version 8 des Protokolls, die mit Windows 8 und Windows 2012 auf die Rechner gelangte, kam dann noch der UDP-Port 3389 hinzu.

Bildergalerie
Bildergalerie mit 6 Bildern

Da jedes Windows-System mit einem RDP-Programm beziehungsweise einer RDP-App ausgeliefert wird, bietet sich sein Einsatz nun auch dann an, wenn es darum geht, den Nutzern eine einfache Möglichkeit zu bieten, auf ihre Systeme im Unternehmens-Netzwerk auch Remote zuzugreifen.

Hoher Nutzen trotz gewissem Risiko

Zunächst ist es aber auch eine Tatsache, dass RDP in der Vergangenheit immer wieder auch ein Einfallstor für Angriffe war. Nicht zuletzt die BlueKeep-Lücke, durch die Angreifer auch ohne Zutun des PC-Nutzers aus der Ferne auf Rechner zugreifen konnten, war ein deutliches Warnsignal in diese Richtung. Obwohl diese Lücke laut Aussagen von Microsoft bei den Window-10- und Server-2019-Systemen nicht mehr existiert, tauchten auch danach immer wieder Meldungen über weitere Schwachpunkte auf (zum Beispiel: kb.cert.org #576688 vom 04.06.2019), die ebenfalls eine Gefahr beim Remote-Einsatz darstellen könnten.

Trotz dieser generellen Probleme erfreut sich der Zugriff via Remote Desktop in der Praxis aber nach wie vor großer Beliebtheit – nicht zuletzt auch deshalb, weil sich eine solche Verbindung sehr schnell und einfach aufsetzen lässt. Allerdings können im täglichen Einsatz auch andere praktische Probleme auftreten, von denen wir hier eines näher betrachten und auch einige Lösungswege vorschlagen möchten.

Wenn der Nutzer „falsch“ klickt…

Wer RDP schon unter früheren Windows-Versionen bis hin zu Windows 7 eingesetzt hat, wird sich vielleicht daran erinnern können, dass ein Nutzer mit diesem Betriebssystem zwar beim Klick auf das Startmenü des Windows-Systems im Remote-Fenster die Möglichkeit hatten, sich von der Remote-Sitzung abzumelden, das entfernte System blieb dann aber aktiv. Wollte der User das Host-System aus der Ferne herunterfahren, so musste damals gezielt das „Shutdown“-Kommando von der Kommandozeile aufgerufen werden. Ein versehentliches Herunterfahren, wenn der Nutzer sich eigentlich nur abmelden wollte, war so als weitaus unwahrscheinlicher.

Bei den aktuellen Windows-10-Systemen steht dem Nutzer hingegen nach der Auswahl von „Start“ und „Ein/Aus“ dann auch auf dem Remote-System direkt die Möglichkeit zur Verfügung, den Host-Rechner herunterzufahren. Besonders dann, wenn die Nutzer beispielsweise am Wochenende oder bei allgemeiner Verfügung von Home-Office remote auf ihren Systemen im Unternehmen arbeiten sollen, kann so die ungute Situation entstehen, dass später erst einmal ein Administrator (oder auch der Nutzer selbst) in die Firma fahren muss, um den Rechner neu zu starten.

Wake on LAN oft keine Lösung

Nur wenn die Systeme in der Firma für WOL (Wake On Lane) eingerichtet sind, ist das nicht nötig. Leider sind aber immer noch viele Netzwerkkarten im Einsatz, die dieses Feature nicht unterstützen. Hinzu kommt die Tatsache, dass die Konfiguration von Netzwerkkarten und Bios-systemen vieler Rechner meist umständlich und zeitaufwendig ist. Weiterhin blocken einige Router aus Sicherheitsgründen das so genannten „Magic Packet“, dass das Hochfahren des Rechners via Wake on LAN anstoßen soll. Das gilt natürlich besonders dann, wenn dieses Packet von außerhalb des Firmennetzwerks kommt.

So kann es dann durchaus sinnvoll sein, zunächst einfach nur den Eintrag für das Herunterfahren aus dem Startmenü zu entfernen, so dass ein versehentliches Ausschalten des Remote-Rechners auf diese Weise nicht mehr so leicht passieren kann. Hier kann dann eine entsprechende Gruppenrichtlinie bei der Verteilung auf allen Rechnern helfen. Diese kann entweder auf dem Server der entsprechenden OU (Organizational Unit – Organisationseinheit) zugeordnet werden oder direkt in der lokalen Konsole auf dem System durch Aufruf von „gpedit.msc“ eingerichtet werden. Administratoren finden die Richtlinie mit der sehr sperrigen Bezeichnung:

Befehle „Herunterfahren“, „Neu starten“, „Energie sparen“ und „Ruhezustand“ entfernen und Zugriff darauf verweigern

unter dem Pfad „Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste“. Standardmäßig ist diese Richtlinie nicht aktiviert. Hat der Systemverwalter sie auf „Aktiviert“ gesetzt und diese Einstellung mit „Übernehmen“ und „OK“ bestätigt, so wird sie ohne Neustart sofort übernommen. Danach findet der Nutzer diese Einstellungen nicht mehr im Startmenü. Auch wenn er den Bildschirm „Windows-Sicherheit“ mittels „STRG-ALT-ENTF“ aufruft, wird ihm der Netzschalter nicht mehr angezeigt.

Mit Hilfe der Registry detaillierter ausblenden

Wem der Ansatz zu radikal ist, dass nach der Aktivierung der Richtlinie unter „Ein/Aus“ im Startmenü nur noch „Trennen“ zu finden ist, muss auf die Registry zurückgreifen. Mit deren Hilfe kann er dann den Eintrag „Herunterfahren“ gezielt ausblenden. Dabei gibt es allerdings Unterschiede zu beachten, je nachdem welche Windows 10 Version auf dem System zu Einsatz kommt. Wenn noch die Version 1803 (oder eine noch frühere Version) zum Einsatz kommt, so muss der Administrator den folgenden Registry-Wert auf „1“ setzen:

HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Start\HideShutdown

Kommt hingegen eine Windows-10-Version ab 1809 (wir haben für diesen Artikel die aktuelle Version 2004 verwendet) zum Einsatz, so muss dieser Registry-Wert auf „1“ gesetzt werden:

HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutdown\value

Administrationen in einer verwalteten Domäne können natürlich GPP (Group Policy Preference – Gruppenrichtlinien-Einstellungen) nutzen, um derartige Registry-Einstellungen auf die jeweiligen Client-Computer zu bringen.

Bildergalerie
Bildergalerie mit 6 Bildern

Lücken im System

Alle hier bisher geschilderten Methoden hindern die Nutzer nicht daran, den Rechner mittels eines „shutdown“-Kommandos von der Kommandozeile aus trotzdem herunterfahren, wenn sie die entsprechenden Rechte dazu besitzen. Wer das ebenfalls verhindern möchte, kann dazu wiederum eine Gruppenrichtlinie einsetzen, mit der die entsprechenden Nutzerrechte verwaltet werden können. Sie ist unter dem Pfad:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

zu finden. An dieser Stelle können Systemverwalter bestimmten Nutzern oder Nutzergruppen das Recht zum Herunterfahren eines Systems entziehen, in dem sie diese dort austragen. Standardmäßig trägt Windows hier die Administratoren, den Hauptbenutzer des Systems und Sicherungs-Operatoren als berechtigt ein.

Bei all diesen Änderung sollten Systembetreuer allerdings auch nicht außer Acht lassen, dass derartige Änderungen auch zu Problemen dergestalt führen können, dass Nutzer beispielsweise vom Home-Office aus den Helpdesk anrufen, sich von dort durch das System leiten lassen wollen und den altbewährten Rat bekommt, sie mögen doch einfach mal einen Neustart ausführen. Stellt der Nutzer dann völlig überrascht fest, dass die entsprechende Einstellung auf seinem System einfach nicht vorhanden ist, so kann sich ein solcher Service-Call schnell ausweiten. Es ist in solchen Fällen also angebracht, dass die IT es entsprechend dokumentiert, auf welchen Maschinen solche Änderungen durchgeführt wurden.

Probleme vor Ort

Und ein weiterer Aspekt erschwert die Entscheidung, ob und wann eine derartige Maßnahme überhaupt sinnvoll ist: Denn bei all diesen Lösungsansätzen bleiben die entsprechenden Schalter im Startmenü auch dann ausgeblendet, wenn der User mal nicht von zuhause oder von einem anderen entfernten Standort aus auf sein Host-System zugreifen möchte, sondern selbst im Unternehmen vor Ort ist. Und spätestens dann, wenn dies wieder der Regelzustand wird, lösen nicht herunterfahrbare oder neustartbare Rechner Probleme an anderer Stelle aus.

Eine selektive Ausblendung der Shutdown- und Neustart-Schalter im Startmenü in Abhängigkeit vom Login – also remote oder vor Ort – ist zwar grundsätzlich möglich, aber kompliziert.

(ID:46716496)

Über den Autor