Neue RDP-Optionen in Windows 8.1: Restricted Admin Mode, Shadowing


    Tags: ,

    Symbol für den Restricted Admin ModeDer RDP-Client mstsc.exe erhält in Windows 8.1 neue Parameter, über die man das Spiegeln von Sitzungen sowie den Restricted Admin Mode aktivieren kann. Derzeit ist noch unklar, ob diese Erweiterungen auf ältere Versionen des Betriebssystems portiert werden.

    Als Vorbeugung gegen Pass the Hash-Angriffe, die eine Schwachstelle der NTLM-Authentifizierung nutzen, führt Microsoft mit Windows 8.1 und Server 2012 R2 den Restricted Admin Mode ein. Er verhindert, dass die Anmeldedaten des Benutzers an den Remote-PC übertragen werden.

    Restricted Admin Mode mit reduzierten Rechten

    Der Start einer solchen Verbindung erfolgt, indem man mstsc.exe mit dem Schalter /restrictedAdmin und optional einer .rdp-Datei als zweites Argument aufruft. Eine entsprechende Einstellung auf der grafischen Oberfläche gibt es nicht. Läuft die Session im Vollbildmodus, dann erkennt man den eingeschränkten Admin-Modus am eingeblendeten Vorhängeschloss-Icon.

    Der Restricted Admin Mode sendet keine Anmeldedaten an den Host. Der Benutzer muss dort administrative Rechte haben.

    Der Restricted Admin Mode führt indes zu beschränkten Rechten, wenn man von der Session auf dem Remote-PC andere Ressourcen im Netz verwenden möchte. In diesem Fall erfolgt der Zugriff im Kontext des Computer-Kontos.

    Sitzungen spiegeln mit /shadow

    Die zweite wesentliche Neuerung reflektiert die Tatsache, dass die Remote Desktop Services in Windows Server 2012 R2 wieder die Spiegelung von Sessions einführen, nachdem dieses bewährte Feature in Server 2012 fehlte.

    Die neuen Funktionen von RDP 8.1 spiegeln sich in einigen neuen Parametern von mstsc.exe wider.

    Um sich auf eine bestehende Sitzung aufzuschalten, muss man erst ihre ID ermitteln. Dies erfolgt mit Hilfe des PowerShell-Cmdlets Get-RDUserSession, das Bestandteil des RemoteDesktop-Moduls ist:

    Get-RDUserSession -CollectionName <Name der Sammlung> | select UserName, UnifiedSessionId

    Anschließend übergibt man die ermittelte ID an den Parameter /shadow nach diesem Muster:

    mstsc.exe /shadow:<SessionID> /v:<Server>

    Schaltet man sich in dieser Form auf eine Sitzung eines Benutzers auf, dann kann man nur dessen Aktivitäten beobachten. Möchte man die Kontrolle über die Session übernehmen, dann muss man zusätzlich den Schalter /control angeben.

    Beide Formen der Spiegelung erfordern die Zustimmung des betreffenden Benutzers. Möchte man diese umgehen, dann gibt man zusätzlich /noConsentPrompt an. Allerdings muss diese Option erst über eine Gruppenrichtlinie freigeschaltet werden.

    Anmeldedialog anzeigen

    Neu ist auch der Schalter /prompt, der das Anzeigen des Anmeldedialogs erzwingt. Dies ist dann sinnvoll, wenn man in der RDP-Datei das Speichern der Anmeldeinformationen zugelassen hat, so dass man sie nicht bei jedem Verbindungsaufbau neu eingeben muss.

    Hat man das Passwort geändert, dann würde aber das automatische Anmelden scheitern. In diesem Fall erlaubt der Schalter /prompt, dass man sich mit seinem neuen Kennwort anmeldet und dieses gleich speichert.

    Keine Kommentare