> For the complete documentation index, see [llms.txt](https://docs.stoik.io/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.stoik.io/cyber-best-practices/de/leitfaden-zur-behebung-von-schwachstellen/how-to-resolve-rdp-service-exposure-from-the-internet.md).

# Externer Scan: RDP-Dienst-Exposition beheben

{% hint style="info" %}
Dies ist ein praktischer Härtungsleitfaden. Ziel ist es, die direkte Internet-Exposition von **TCP/3389**.
{% endhint %}

## Warum RDP-Exposition gefährlich ist

RDP (Remote Desktop Protocol) ist das Remotezugriffsprotokoll von Microsoft. Es lauscht normalerweise auf **TCP-Port 3389** und ist ein hochwertiger Einstiegspunkt für Angreifer.

Ein exponierter RDP-Dienst wird angreifbar, wenn:

* er von einer öffentlichen Sicherheitslücke betroffen ist (zum Beispiel BlueKeep) oder
* Anmeldeinformationen schwach, wiederverwendet oder geleakt sind.

Beides reicht in der Regel für den Erstzugriff und laterale Bewegung aus. Exponieren Sie RDP nur in internen Netzwerken, niemals direkt im Internet.

## Empfohlene Lösungen

Die meisten exponierten RDP-Dienste existieren aus einem von zwei Gründen:

* **Remoteverwaltung.** In absteigender Reihenfolge der Bevorzugung: Stellen Sie ein Remote Desktop Gateway (RDG) bereit, stellen Sie ein VPN bereit oder härten Sie den RDP-Dienst ab.
* **Zugriff auf Dokumente.** Bevorzugen Sie Microsoft 365 und SharePoint-Speicher statt Remote-Desktop-Zugriff.

Mindestbasis in allen Fällen:

* Blockieren Sie eingehenden Datenverkehr **TCP/3389** auf der Perimeter-Firewall.
* RDP nur zulassen **von** dem IP-Bereich Ihres RD-Gateways oder VPNs.

## Option 1: Remote Desktop Gateway (bevorzugt)

Ein Remote Desktop Gateway (RDG) ist ein sichererer Weg, um interne RDP-Server zu erreichen. Es fungiert als Vermittler: Nur das Gateway wird exponiert, über **HTTPS (TLS)** auf **TCP/443**. Platzieren Sie es in einer vorhandenen DMZ.

### Installieren Sie die Gateway-Rolle

Stellen Sie eine Verbindung zu dem Windows-Server her, der das Gateway hosten wird, und öffnen Sie **Server-Manager**.

{% stepper %}
{% step %}
Aus dem **Verwalten** Menü öffnen Sie **Rollen und Features hinzufügen**.

<figure><img src="/files/3503026abd04e4b93e40c1f0437d6a620fe1b318" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Klicken Sie auf dem ersten Bildschirm des Assistenten auf **Weiter**.

<figure><img src="/files/10365691b8c624d88f06a54d4a37c94d26c80189" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie **Rollenbasierte oder featurebasierte Installation**, dann **Weiter**.

<figure><img src="/files/ea17f6f1c8fcbe51d4ebfd083afb8a24e3f730ab" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie den Zielserver aus, dann **Weiter**.

<figure><img src="/files/82ba0357b406e98f5e9281d914fe8d1d4f2a4148" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie **Remotedesktopdienste**, dann **Weiter**.

<figure><img src="/files/305167834808f85d24c7d569c29b06bf2b682e9d" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Lassen Sie die standardmäßig ausgewählten Features markiert und fahren Sie fort.

<figure><img src="/files/8cee8880e080d545840f97c6987eca91eb1b0465" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Überspringen Sie den Informationsbildschirm zu Remotedesktopdiensten.

<figure><img src="/files/6b6abe6b5082945b4609225026e3c8f5d85aacfa" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie die **Remote Desktop Gateway** Rollendienst aus und akzeptieren Sie die erforderlichen Features, wenn Sie dazu aufgefordert werden.

<figure><img src="/files/fe2715de73518fd23011a3b03f96fa124c6b0da1" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Bestätigen Sie die Auswahl und fahren Sie fort.

<figure><img src="/files/4389befa2be6af3453eb433ae2b74235462dc342" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Der Assistent fügt die entsprechenden Registerkarten automatisch hinzu. Klicken Sie **Weiter** sich durch die Informationsbildschirme zu Netzwerkrichtlinien- und Zugriffsdiensten sowie zum Webserver (IIS), wobei Sie die standardmäßigen IIS-Dienste beibehalten.

<figure><img src="/files/fb901060c9fcdb88c35577db8da818b7c7a1bf49" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/13829aa83bce865e71cdca9b36460bd3dafe0b27" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/ae045e8c3ab22c48b6ad444c231333ef10789750" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/7b7b706bf5271fac75ced3ff34b385e376e665c7" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Überprüfen Sie die Zusammenfassung und klicken Sie auf **Installieren**. Sie können aktivieren **Zielserver automatisch neu starten** falls erforderlich.

<figure><img src="/files/dfbdba7e3f39c7f58f058b1bb2a5aa64e242953d" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Warten Sie, bis die Installation abgeschlossen ist.

<figure><img src="/files/93b4e4fb6cf0153ce35ad23ce4c58d8c5bd8f53c" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Gateway konfigurieren

{% stepper %}
{% step %}
In **Server-Manager** > **Tools**, öffnen Sie das Verwaltungs-Tool für das Remote Desktop Gateway.

<figure><img src="/files/b14100ea94fbd0729f65839c0200eb84aca1f625" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie den Server links aus und öffnen Sie **Zertifikatseigenschaften anzeigen oder ändern**.

<figure><img src="/files/b1a28f00593f962aa12937782c1256bce409005c" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Installieren Sie ein Zertifikat. Bevorzugen Sie ein von einer anerkannten Zertifizierungsstelle ausgestelltes Zertifikat: Wählen Sie **Ein Zertifikat in den Speicher RD Gateway Certificates (Lokaler Computer)/Personal importieren**, dann **Zertifikat durchsuchen und importieren**.

<figure><img src="/files/aeac0451435ffc7187581d14c11be2249071ca3d" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wenn Sie stattdessen ein selbstsigniertes Zertifikat verwenden, wählen Sie **Ein selbstsigniertes Zertifikat erstellen** und klicken Sie auf **Zertifikat erstellen und importieren**.

<figure><img src="/files/23f4e0a4b038a90cf38f09cef581a963aedf5e93" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geben Sie den vollständigen Servernamen als **Zertifikatsnamen**. Ein selbstsigniertes Zertifikat muss dann vom Server exportiert und auf jedem Computer importiert werden, der das Gateway verwenden wird. Klicken Sie auf **OK** zum Abschluss.

<figure><img src="/files/03e71b1b473f3485fc5ee9101ed579f6057f0ceb" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Fügen Sie Zugriffsregeln hinzu. Öffnen Sie im Server-Drop-down **Richtlinien**, dann **Neue Autorisierungsrichtlinien erstellen**.

<figure><img src="/files/1ba435f4144b8d943d3c8062cab064a354343ae7" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Es werden zwei Regeln benötigt: eine Verbindungsregel (RD CAP) und eine Ressourcenregel (RD RAP). Wählen Sie **Eine RD CAP und eine RD RAP erstellen (empfohlen)**, dann **Weiter**.

<figure><img src="/files/059b4b66f17847b5e3d66f895a81277374b3786c" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geben Sie der CAP-Regel einen Namen, dann **Weiter**.

<figure><img src="/files/b7329d3a9ac5f652687c917d2fdfa0e5afdfe3c6" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie die Benutzergruppe(n) aus, die das Gateway verwenden dürfen, dann **Weiter**.

<figure><img src="/files/1c55a05a4acfcc8696809ee1cec2ea8a460573b1" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geräteumleitung festlegen. Um das Gateway zu härten, wählen Sie **Geräteumleitung für die folgenden Clientgerätetypen deaktivieren** und wählen Sie die aus, die Sie nicht benötigen. Andernfalls wählen Sie **Geräteumleitung für alle Clientgeräte aktivieren**, dann **Weiter**.

<figure><img src="/files/5231b5135c321844399ee02c913db6ae2984dc92" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Aktivieren Sie Trennungs- und Ablaufzeitlimits für Sitzungen, um das Gateway zu härten, dann **Weiter**.

<figure><img src="/files/d3cded4ab7a9d5cf545772012763b65e4015be48" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Überprüfen Sie die CAP-Zusammenfassung, dann **Weiter** um die RAP-Regel zu konfigurieren.

<figure><img src="/files/1c0e6b956740493f800e445b0d841e76099c17e0" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie die Benutzergruppenmitgliedschaft für die RAP-Regel aus, dann **Weiter**. Nur Gruppen legitimer, autorisierter Benutzer sollten über **Gruppe hinzufügen**.

<figure><img src="/files/0bdc2fecdc95d6cd7ada654324869f42bf83a212" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Idealerweise erstellen Sie für diesen Zugriff eine dedizierte Active-Directory-Gruppe, um seine Legitimität sicherzustellen.
{% endhint %}

<figure><img src="/files/dcb6a11b745639a7e92d26a475a62464bd4ae7b3" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geben Sie die internen Ressourcen an, die über das Gateway erreichbar sind.

{% hint style="info" %}
Erstellen Sie eine Domänengruppe, die alle von diesem Gateway erreichbaren Server enthält, und wählen Sie sie mit der **Netzwerkressourcengruppe Active Directory Domain Services auswählen** Option.
{% endhint %}

<figure><img src="/files/965b1de5c09fab3607bee1aff5e35d03dd88d6e5" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Geben Sie die zulässigen Ports an: standardmäßig **3389**, oder andere, falls erforderlich. Dann **Weiter**.

<figure><img src="/files/24606b977bd2ad1d4d53ccc6021a3d0c7321a9ee" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Überprüfen Sie die RAP-Zusammenfassung und bestätigen Sie sie. Ein abschließendes Fenster bestätigt sowohl die CAP- als auch die RAP-Regeln.

<figure><img src="/files/a08624671dc89d729dfb9a373a7149235258956c" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/440617a2aada98e1d5cf44ddde9227e5370c5359" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Stellen Sie sicher, dass der Gateway-Dienst ausgeführt wird. In **Server-Manager** > **Remotedesktopdienste** > **Server** > **Dienste**, suchen Sie **Remote Desktop Gateway**. Wenn er gestoppt ist, klicken Sie mit der rechten Maustaste darauf und wählen Sie **Dienste starten**.

<figure><img src="/files/1f8529e4ccba581f011209050a7f38c65b37807d" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Den Datenverkehr zu internen Servern filtern

Interne Server dürfen RDP nur vom Gateway akzeptieren. Konfigurieren Sie die Windows-Firewall auf jedem Server.

{% stepper %}
{% step %}
Öffnen Sie die Windows-Firewall, listen Sie **Eingehende Regeln**, und öffnen Sie die Eigenschaften von **Remotedesktop - Benutzermodus (TCP-In)**.

<figure><img src="/files/49188474ed35d7f4e25c2c485d57d034b08e4c9a" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wechseln Sie zur **Bereich** Registerkarte.

<figure><img src="/files/6e7b5eb0b29ddf80ae444a6b83a118d192122b90" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Unter **Remote-IP-Adresse**, lassen Sie nur die zulässigen Quellen zu: die IP-Adresse des Gateways oder `127.0.0.1` wenn das Gateway auf dem Zielserver selbst ausgeführt wird.

<figure><img src="/files/baa75ede5a0d272f8bc8652c7b54cabc76dfb6bd" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

### Über das Gateway verbinden

{% stepper %}
{% step %}
Öffnen Sie **Remotedesktopverbindung**, wechseln Sie zur **Erweitert** Registerkarte, dann **Einstellungen**.

<figure><img src="/files/b60ba93b6cf474c7248875121cc5ad956acf5058" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Wählen Sie **Diese RD-Gateway-Servereinstellungen verwenden**, geben Sie das Gateway **FQDN**, aktivieren Sie **Meine RD-Gateway-Anmeldeinformationen für den Remotecomputer verwenden**, und klicken Sie auf **OK**.

<figure><img src="/files/834f800d59f089cdc06798c4ac8c49e9c4d046b9" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Zurück auf der **Allgemein** Registerkarte geben Sie den Namen oder die IP des internen Servers und Ihren Benutzernamen ein, dann **Verbinden**.

<figure><img src="/files/3eab72ff18c2a35b1f38716d518f75d3816b15dc" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}
Bestätigen Sie den Gateway-Namen und geben Sie das Kontopasswort ein.

<figure><img src="/files/7ee1ed40d557ef9a29652168922785f7782f59ee" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}

Wenn das Gateway-Zertifikat vom Client nicht als vertrauenswürdig eingestuft wird (häufig bei selbstsignierten oder Zertifikaten interner CAs), erscheint diese Meldung:

<figure><img src="https://files.gitbook.com/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FwzUTKOoCOAuhqMwyJZbG%2Fuploads%2FSr92NPJRPx9JejH1f09f%2Fimage.png?alt=media&#x26;token=f76f5b59-96ab-4dba-b5ce-ae5aee1c5039" alt=""><figcaption></figcaption></figure>

## Option 2: Das RDP-Protokoll härten (nur vorübergehend)

{% hint style="warning" %}
Diese Maßnahmen reichen allein nicht aus und sollten nur vorübergehend verwendet werden, während Sie ein Gateway oder VPN einrichten.
{% endhint %}

Minimale vorläufige Basis:

* Durchsetzen **MFA** für den Remotezugriff (vorzugsweise über ein RD-Gateway oder VPN).
* Aktivieren Sie **Authentifizierung auf Netzwerkebene (NLA)** auf Zielservern.
* Beschränken Sie eingehendes RDP auf eine strikte **IP-Zulassungsliste** (idealerweise nur das Gateway).

### Benutzerzugriff einschränken

Erstellen Sie eine dedizierte Active-Directory-Gruppe für zulässige RDP-Benutzer und wenden Sie sie mit der Gruppenrichtlinien-Verwaltungskonsole ([GPMC](https://www.it-connect.fr/chapitres/la-console-gpmc-group-policy-management-console/)).

Typisches Vorgehen:

* Fügen Sie Ihre AD-Gruppe zur lokalen **Remotedesktopbenutzer** Gruppe über eine GPO hinzu, oder
* legen Sie das Benutzerrecht **Anmeldung über Remotedesktopdienste zulassen**.

Beispiel mit Eingeschränkten Gruppen / lokaler Gruppenmitgliedschaft:

<figure><img src="/files/12ae69389a93b90d78a62f5b2cd79781a1c59dd3" alt=""><figcaption></figcaption></figure>

Fügen Sie die zulässigen Benutzer oder Gruppen hinzu, dann klicken Sie auf **OK**.

<figure><img src="/files/7f40ec3ccb65127a2b15e5f7ea57aec6ec90bd9c" alt=""><figcaption></figcaption></figure>

### Deaktivieren Sie das Gastkonto

Windows Server 2012 R2 wird standardmäßig mit aktiviertem Gastkonto ausgeliefert. Deaktivieren Sie es, um Versuche der Privilegienerweiterung zu verhindern. Führen Sie `compmgmt.msc` aus, um die Computerverwaltung zu öffnen und das Konto zu deaktivieren.

### Konten nach fehlgeschlagenen Anmeldungen sperren

Konfigurieren Sie eine Kontosperrungsrichtlinie (lokal oder vorzugsweise domänenweit über die Gruppenrichtlinien-Verwaltungskonsole):

* `Computerkonfiguration` > `Windows-Einstellungen` > `Sicherheitseinstellungen` > `Kontorichtlinien` > `Kontosperrungsrichtlinie`
* Setzen Sie **Kontosperrungsschwelle** auf **5** ungültige Anmeldungen.
* Setzen Sie die Sperrdauer und den Rücksetzungszähler auf **15 Minuten** (typische Ausgangsbasis).

{% hint style="info" %}
Wir empfehlen, das Konto nach 5 fehlgeschlagenen Anmeldeversuchen zu sperren.
{% endhint %}

### Erzwingen Sie eine starke Kennwortrichtlinie

Starke Kennwörter verringern das Risiko von Brute-Force- und Wörterbuchangriffen: Verwenden Sie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Führen Sie `gpedit.msc` aus, um den Editor für lokale Gruppenrichtlinien zu öffnen, dann wechseln Sie zu `Computerkonfiguration` > `Windows-Einstellungen` > `Sicherheitseinstellungen` > `Kontorichtlinien` > `Kennwortrichtlinie`.


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.stoik.io/cyber-best-practices/de/leitfaden-zur-behebung-von-schwachstellen/how-to-resolve-rdp-service-exposure-from-the-internet.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
