Suchen

Probleme beim Einsatz des Remote-Zugangs via RDP Wenn User Host-Rechner herunterfahren

Um Nutzer aus dem Homeoffice oder von anderen Remote-Standorten aus auf die Daten und Programme im Firmennetzwerk zugreifen zu lassen, ist der Einsatz der Remote Desktop App und des Remote Desktop Protocol (RDP) ein Mittel der Wahl. Dabei können Nutzer aber schnell und unbedacht Probleme auslösen.

Firmen zum Thema

Speziell bei Remote-Zugriffen auf Host-PCs kann es sinnvoll sein, ein Herunterfahren der Host-Systeme zu verhindern.
Speziell bei Remote-Zugriffen auf Host-PCs kann es sinnvoll sein, ein Herunterfahren der Host-Systeme zu verhindern.
(Bild: © Pavel Ignatov - stock.adobe.com)

Es wird wohl kaum einen IT-Administrator geben, der nicht hin und wieder mittels RDP remote auf ein Windows-System zugreift: Ganz gleich ob es sich dabei um den Server handelt, der in den Keller verbannt wurde, oder ob es sich um den PC eines Nutzers in einem anderen Firmengebäude dreht, diese Art des Zugriffs stellt eine einfache und schnelle Möglichkeit dar, „aus der Ferne“ zu arbeiten.

Das RDP setzt auf TCP auf und wird normalerweise auf dem TCP-Port 3389 bereitgestellt. Ab der Version 8 des Protokolls, die mit Windows 8 und Windows 2012 auf die Rechner gelangte, kam dann noch der UDP-Port 3389 hinzu.

Bildergalerie
Bildergalerie mit 6 Bildern

Da jedes Windows-System mit einem RDP-Programm beziehungsweise einer RDP-App ausgeliefert wird, bietet sich sein Einsatz nun auch dann an, wenn es darum geht, den Nutzern eine einfache Möglichkeit zu bieten, auf ihre Systeme im Unternehmens-Netzwerk auch Remote zuzugreifen.

Hoher Nutzen trotz gewissem Risiko

Zunächst ist es aber auch eine Tatsache, dass RDP in der Vergangenheit immer wieder auch ein Einfallstor für Angriffe war. Nicht zuletzt konnten durch die BlueKeep-Lücke Angreifer auch ohne Zutun des PC-Nutzers aus der Ferne auf Rechner zugreifen. Obwohl diese Lücke laut Aussagen von Microsoft bei den Window-10- und Server-2019-Systemen nicht mehr existiert, tauchten auch danach immer wieder Meldungen über weitere Schwachpunkte auf (zum Beispiel: kb.cert.org #576688 vom 04.06.2019), die ebenfalls eine Gefahr beim Remote-Einsatz darstellen könnten.

Trotz dieser generellen Probleme erfreut sich der Zugriff via Remote Desktop in der Praxis aber nach wie vor großer Beliebtheit – nicht zuletzt auch deshalb, weil sich eine solche Verbindung sehr schnell und einfach aufsetzen lässt. Allerdings können im täglichen Einsatz auch andere praktische Probleme auftreten, von denen wir hier eines näher betrachten und auch einige Lösungswege vorschlagen möchten.

Wenn der Nutzer „falsch“ klickt…

Wer RDP schon unter früheren Windows-Versionen bis hin zu Windows 7 eingesetzt hat, wird sich vielleicht daran erinnern können, dass ein Nutzer mit diesem Betriebssystem zwar beim Klick auf das Startmenü des Windows-Systems im Remote-Fenster die Möglichkeit hatten, sich von der Remote-Sitzung abzumelden, das entfernte System blieb dann aber aktiv. Wollte der User das Host-System aus der Ferne herunterfahren, musste damals gezielt das „Shutdown“-Kommando von der Kommandozeile aufgerufen werden. Ein versehentliches Herunterfahren, wenn der Nutzer sich eigentlich nur abmelden wollte, war so recht unwahrscheinlich.

Bei den aktuellen Windows-10-Systemen steht dem Nutzer hingegen nach der Auswahl von „Start“ und „Ein/Aus“ dann auch auf dem Remote-System direkt die Möglichkeit zur Verfügung, den Host-Rechner herunterzufahren. Besonders dann, wenn Nutzer beispielsweise am Wochenende oder bei allgemeiner Verfügung von Homeoffice remote auf Systemen im Unternehmen arbeiten sollen, kann so die ungute Situation entstehen, dass später erst einmal ein Administrator (oder auch der Nutzer selbst) in die Firma fahren muss, um den Rechner neu zu starten.

Wake on LAN oft keine Lösung

Nur wenn die Systeme in der Firma für WOL (Wake On LAN) eingerichtet sind, ist das nicht nötig. Leider sind aber immer noch viele Netzwerkkarten im Einsatz, die dieses Feature nicht unterstützen. Hinzu kommt die Tatsache, dass die Konfiguration von Netzwerkkarten und BIOS-Systemen vieler Rechner meist umständlich und zeitaufwendig ist. Weiterhin blocken einige Router aus Sicherheitsgründen das sogenannte „Magic Packet“, dass das Hochfahren des Rechners via Wake on LAN anstoßen soll. Das gilt natürlich besonders dann, wenn dieser Befehl von außerhalb des Firmennetzwerks kommt.

So kann es durchaus sinnvoll sein, zunächst einfach nur den Eintrag für das Herunterfahren aus dem Startmenü zu entfernen, so dass ein versehentliches Ausschalten des Remote-Rechners nicht mehr so leicht passieren kann. Hier kann dann eine entsprechende Gruppenrichtlinie bei der Verteilung auf allen Rechnern helfen. Diese kann entweder auf dem Server der entsprechenden OU (Organizational Unit – Organisationseinheit) zugeordnet werden oder direkt in der lokalen Konsole auf dem System durch Aufruf von „gpedit.msc“ eingerichtet werden. Administratoren finden die Richtlinie mit der sehr sperrigen Bezeichnung:

Befehle „Herunterfahren“, „Neu starten“, „Energie sparen“ und „Ruhezustand“ entfernen und Zugriff darauf verweigern

unter dem Pfad „Benutzerkonfiguration\Administrative Vorlagen\Startmenü und Taskleiste“. Standardmäßig ist diese Richtlinie nicht aktiviert. Hat der Systemverwalter sie auf „Aktiviert“ gesetzt und diese Einstellung mit „Übernehmen“ und „OK“ bestätigt, wird sie ohne Neustart sofort übernommen. Danach findet der Nutzer diese Einstellungen nicht mehr im Startmenü. Auch wenn er den Bildschirm „Windows-Sicherheit“ mittels „STRG-ALT-ENTF“ aufruft, wird ihm der Netzschalter nicht mehr angezeigt.

Mit Hilfe der Registry ausblenden

Wem der Ansatz zu radikal ist, dass nach der Aktivierung der Richtlinie unter „Ein/Aus“ im Startmenü nur noch „Trennen“ zu finden ist, muss auf die Registry zurückgreifen. Mit deren Hilfe kann er dann den Eintrag „Herunterfahren“ gezielt ausblenden. Dabei gibt es allerdings Unterschiede zu beachten, je nachdem welche Windows-10-Version auf dem System zum Einsatz kommt. Wenn noch die Version 1803 (oder eine noch frühere Version) zum Einsatz kommt, muss der Administrator den folgenden Registry-Wert auf „1“ setzen:

HKLM\SOFTWARE\Microsoft\PolicyManager\current\device\Start\HideShutdown

Kommt hingegen eine Windows-10-Version ab 1809 (wir haben für diesen Artikel die aktuelle Version 2004 verwendet) zum Einsatz, muss dieser Registry-Wert auf „1“ gesetzt werden:

HKLM\SOFTWARE\Microsoft\PolicyManager\default\Start\HideShutdown\value

Administrationen in einer verwalteten Domäne können natürlich GPP (Group Policy Preference – Gruppenrichtlinien-Einstellungen) nutzen, um derartige Registry-Einstellungen auf die jeweiligen Client-Computer zu bringen.

Lücken im System

Alle bisher geschilderten Methoden hindern die Nutzer nicht daran, den Rechner mittels eines „Shutdown“-Kommandos von der Kommandozeile aus trotzdem herunterzufahren, wenn sie die entsprechenden Rechte dazu besitzen. Wer das ebenfalls verhindern möchte, kann dazu wiederum eine Gruppenrichtlinie einsetzen, mit der die entsprechenden Nutzerrechte verwaltet werden können. Sie ist unter dem Pfad:

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten

zu finden. An dieser Stelle können Systemverwalter bestimmten Nutzern oder Nutzergruppen das Recht zum Herunterfahren eines Systems entziehen, in dem sie diese dort austragen. Standardmäßig trägt Windows hier die Administratoren, den Hauptbenutzer des Systems und Sicherungs-Operatoren als berechtigt ein.

Bei all diesen Änderung sollten Systembetreuer allerdings auch nicht außer Acht lassen, dass derartige Änderungen auch zu weiteren Problemen führen können. Kommt etwa im Homeoffice vom Helpdesk der Rat, der Nutzer möge doch einfach mal einen Neustart ausführen, lässt sich dieser nicht ausführen, da die entsprechende Einstellung auf dem System einfach nicht vorhanden ist, So kann sich ein Service-Call schnell ausweiten. Es ist in solchen Fällen also angebracht, dass die IT es entsprechend dokumentiert, auf welchen Maschinen solche Änderungen durchgeführt wurden.

Probleme vor Ort

Und ein weiterer Aspekt erschwert die Entscheidung, ob und wann eine derartige Maßnahme überhaupt sinnvoll ist: Denn bei all diesen Lösungsansätzen bleiben die entsprechenden Schalter im Startmenü auch dann ausgeblendet, wenn der User mal nicht von zuhause oder von einem anderen entfernten Standort aus auf sein Host-System zugreifen möchte, sondern selbst im Unternehmen vor Ort ist. Und spätestens dann, wenn dies wieder der Regelzustand wird, lösen nicht herunterfahrbare oder neustartbare Rechner Probleme an anderen Stellen aus.

Eine selektive Ausblendung der Shutdown- und Neustart-Schalter im Startmenü in Abhängigkeit vom Login – also remote oder vor Ort – ist zwar grundsätzlich möglich, aber kompliziert.

(ID:46807861)

Über den Autor