So fügen Sie MFA zu RDP hinzu: Alles, was Sie wissen müssen

Das Remote Desktop Protocol (RDP) ist ein primäres Ziel für Cyberangriffe – von Brute-Force-Angriffen bis hin zu Credential Stuffing. Sich ausschließlich auf Passwörter zu verlassen, um diese Verbindungen zu schützen, ist eine gescheiterte Sicherheitsstrategie. Die Implementierung von Multi-Faktor-Authentifizierung (MFA) ist der effektivste Schritt, um diese kritischen Zugangspunkte abzusichern und sie von einer Schwachstelle in ein geschütztes Tor zu verwandeln.

Obwohl Windows über native Funktionen verfügt, sind diese oft komplex und eingeschränkt. Dieser Leitfaden zeigt praktische Methoden auf, wie man eine MFA-Schicht zu RDP-Sitzungen hinzufügen kann – vom Einsatz eines Network Policy Servers (NPS) bis hin zur Bereitstellung eines dedizierten MFA-Anbieters für granulare Kontrolle.

Warum die Absicherung von RDP mit MFA wichtig ist

Die wachsende Bedrohung durch RDP-basierte Angriffe

Öffentlich erreichbares RDP bleibt ein bevorzugter Angriffsvektor für Ransomware und laterale Bewegungen. Angreifer scannen kontinuierlich nach offenen Ports und setzen automatisierte Tools ein, um schwache oder wiederverwendete Passwörter zu knacken. Eine MFA-Herausforderung neutralisiert diese gängigen Angriffe wirksam, da ein Skript nicht in der Lage ist, den zweiten Faktor bereitzustellen. Dadurch wird der wichtigste Einstiegspunkt gegen unautorisierte Zugriffe gehärtet.

Erfüllung von Compliance- und Cyber-Versicherungsanforderungen (PCI DSS, HIPAA)

Regulatorische Rahmenwerke wie PCI DSS und HIPAA fordern starke Authentifizierungskontrollen für den Fernzugriff auf Systeme, die mit sensiblen Daten umgehen. Darüber hinaus verlangen Anbieter von Cyber-Versicherungen inzwischen häufig MFA für RDP als unverzichtbare Voraussetzung für den Versicherungsschutz. Die Bereitstellung einer robusten MFA-Lösung ist daher notwendig, um diese Standards zu erfüllen und abgesichert zu sein.

Die Grenzen von Passwörtern allein

Ein Passwort ist ein einzelner, anfälliger Schwachpunkt. Es bietet unzureichenden Schutz, da es:

• bei Datenlecks gestohlen und wiederverwendet werden kann.

• Phishing-Opfer durch ausgeklügelte Social-Engineering-Techniken werden kann.

• durch Brute-Force-Tools innerhalb von Minuten erraten oder geknackt werden kann.

Kerntechnologien verstehen: RDP vs. RDS

Was ist das Remote Desktop Protocol (RDP)?

Das Remote Desktop Protocol (RDP) ist ein proprietäres Microsoft-Protokoll, das einem Benutzer eine grafische Oberfläche zu einem anderen Computer über ein Netzwerk bietet. Es ist die grundlegende Technologie, die Fernzugriff und -steuerung im Windows-Ökosystem ermöglicht.

Was sind Remote Desktop Services (RDS)?

Remote Desktop Services (RDS), früher Terminaldienste, ist eine Rolle in Windows Server, die RDP nutzt, um eine vollständige Remote-Zugriffsplattform bereitzustellen. Administratoren können damit vollständige Desktops oder einzelne Anwendungen zentral verwalten und an Benutzer bereitstellen. Kurz gesagt: RDP ist das Protokoll, RDS ist die Infrastruktur, die es nutzt.

Zentrale Architekturkomponenten für MFA (RD Gateway, NPS)

Die Implementierung einer starken MFA für RDS basiert oft auf zwei zentralen Komponenten. Das RD Gateway dient als sicherer Einstiegspunkt, indem es den gesamten RDP-Verkehr über HTTPS verschlüsselt. Der Network Policy Server (NPS) fungiert als RADIUS-Server und zentralisiert die Authentifizierungsrichtlinien. Er ist der kritische Integrationspunkt, an dem viele MFA-Lösungen ansetzen, um den Login-Vorgang abzufangen und die sekundäre Herausforderung auszulösen.

Hauptmethoden zur Umsetzung von MFA für RDP

Methode 1: Native Integration mit Microsoft Entra ID & NPS-Erweiterung

Dieser native Microsoft-Ansatz nutzt Entra ID für die Authentifizierung, erfordert jedoch einen lokalen Network Policy Server (NPS) mit einer Erweiterung zur Weiterleitung von Anfragen. Obwohl keine Drittanbieter-Kosten entstehen, ist diese Lösung bekannt für ihre komplexe Konfiguration, die Abhängigkeit von Legacy-Komponenten und hohe Infrastrukturkosten – ungeeignet für agile Umgebungen.

Methode 2: Drittanbieter-Credential-Provider-Agenten (Duo, Hideez usw.)

Softwareagenten von Identitätsanbietern werden direkt auf jedem Server oder Arbeitsplatz installiert. Diese Agenten greifen in den Windows-Anmeldevorgang ein, um MFA durchzusetzen. Obwohl effektiv, kann diese Methode betrieblichen Aufwand verursachen, da Agenten bereitgestellt, aktualisiert und auf allen RDP-Hosts gewartet werden müssen.

Methode 3: Agentenlose und netzwerkbasierte Lösungen

Dieser moderne Ansatz sichert RDP auf Netzwerkebene ab, ohne dass Agenten auf Zielservern erforderlich sind. Die RDP-Verbindung wird abgefangen, bevor der Benutzer den Windows-Login-Bildschirm erreicht, um MFA durchzusetzen. Dies bietet Sicherheit, kann jedoch komplex in der Bereitstellung sein und bietet möglicherweise keine granulare Kontrolle nach der Authentifizierung.

Methode 4: Absicherung des Einstiegspunkts mit VPN + MFA

Bei dieser Strategie wird MFA am Netzwerkperimeter eingesetzt, indem der VPN-Zugang MFA-pflichtig gemacht wird. Obwohl der erste Einstiegspunkt so abgesichert ist, bleibt das RDP-Protokoll im internen Netzwerk ungeschützt. Dies eröffnet eine kritische Sicherheitslücke für laterale Bewegungen, falls ein Angreifer einmal Zugang zum Netzwerk erhält.

Schritt-für-Schritt-Anleitung: MFA mit Entra ID umsetzen

Die Umsetzung von MFA für RDP mit nativen Microsoft-Tools ist ein mehrstufiger Prozess, der sowohl Cloud- als auch lokale Konfigurationen erfordert.

Voraussetzungen: Lizenzen und Verzeichnissynchronisierung

Stellen Sie zunächst sicher, dass Ihre Benutzer über die richtigen Microsoft Entra ID P1- oder P2-Lizenzen verfügen. Ihr lokales Active Directory muss mithilfe des Entra Connect-Tools mit Entra ID synchronisiert werden – eine grundlegende Voraussetzung für hybride Identitäten.

Konfiguration von Entra ID MFA und Conditional Access Policies

Im Entra ID-Portal konfigurieren Sie die akzeptierten MFA-Methoden Ihrer Organisation (z. B. Authenticator-App, Telefonanruf). Danach müssen Sie spezifische Conditional Access Policies erstellen, die eine MFA-Anforderung bei Verbindungen mit der RD-Gateway-Anwendung auslösen.

Installation und Konfiguration der NPS-Erweiterung

Das zentrale Element ist die NPS-Erweiterung für Microsoft Entra ID, die auf einem lokalen NPS installiert werden muss. Diese Komponente fungiert als Brücke, indem sie Authentifizierungsanfragen vom lokalen Netzwerk an die Entra-ID-Cloud zur MFA-Validierung weiterleitet.

Konfiguration des RD Gateway zur Nutzung des NPS

Ihr Remote Desktop Gateway muss so konfiguriert werden, dass es Ihren NPS-Server als zentralen RADIUS-Server für Verbindungsanfragen nutzt. Dadurch wird die Entscheidung effektiv an die NPS/Entra ID-Kette ausgelagert.

Tests und Verifizierung

Führen Sie abschließend umfassende End-to-End-Tests durch, um sicherzustellen, dass Benutzer korrekt zur MFA aufgefordert werden und der Zugriff gemäß den Conditional Access Policies gewährt oder verweigert wird. Diese manuelle Einrichtung ist leistungsstark, jedoch berüchtigt für ihre Komplexität und Fehlkonfigurationsrisiken.

Schritt-für-Schritt-Anleitung: MFA mit einem Drittanbieter-Agenten umsetzen

Die Implementierung von MFA für RDP über einen Drittanbieter-Agenten umgeht die Komplexität von RADIUS-Servern. Dieser Ansatz ist schneller, flexibler und bietet eine bessere Benutzererfahrung durch die direkte Integration in den Windows-Anmeldeprozess.

Auswahl eines Drittanbieter-Anbieters

Die Wahl eines modernen Anbieters bedeutet, den Fokus auf einfache Bereitstellung und Benutzerfreundlichkeit zu legen – statt auf komplexe RADIUS-Konfigurationen. Wichtig ist eine Lösung, die Sicherheit erhöht, ohne Reibung zu verursachen.

Typischer Ablauf: Vom Admin-Panel bis zur Installation

Der Ablauf mit einem modernen Agenten ist direkt und kann in weniger als einer Stunde abgeschlossen werden.

• Konfiguration der Authentifizierungsrichtlinien im cloudbasierten Admin-Panel.

• Definition der Benutzergruppen, für die MFA bei RDP erforderlich ist.

• Download des leichtgewichtigen Agenten-Installationspakets.

Die Installation erfolgt als Identitätsanbieter (IdP) auf jedem Windows-/Linux-Gerät mit RDP-Zugriff. Der Authentifizierungsdienst – z. B. von Hideez – wird direkt in die Windows-Anmeldeoberfläche integriert, ohne Änderungen im Netzwerk oder komplexe GPOs. So wird eine schnelle Bereitstellung mit minimalem Aufwand ermöglicht.

Währenddessen werden Benutzer bei ihrer nächsten Anmeldung zur Registrierung ihrer MFA-Methode (z. B. FIDO2-Schlüssel oder der Hideez Authenticator-App) aufgefordert. Diese Selbstregistrierung entlastet die IT-Abteilung. Der finale Login-Vorgang wirkt wie ein nativer Bestandteil von Windows und fordert MFA direkt nach der Passwortprüfung an.

Vergleich der besten MFA-Lösungen für RDP

Die Wahl der richtigen MFA-Lösung für RDP bedeutet, ein Tool zu finden, das zur bestehenden Infrastruktur, dem Budget und den betrieblichen Anforderungen passt.

Microsoft Entra ID (Nativ)

Für Organisationen, die tief im Microsoft-Ökosystem integriert sind, scheint Entra ID die naheliegende Wahl zu sein. Die Ausweitung der MFA auf lokale RDP-Zugänge erfordert jedoch die Bereitstellung eines Network Policy Servers (NPS) mit der Azure MFA-Erweiterung. Diese Architektur bringt Komplexität, zusätzliche Fehlerquellen und eingeschränkten Offline-Zugriff mit sich.

Duo Security

Duo stellt einen Agenten bereit, der direkt auf der Zielmaschine oder dem Gateway installiert wird. Dieser Ansatz ist effektiv und einfacher als die NPS-Methode. Die wichtigsten Überlegungen sind Kosten und Umfang. Für Organisationen, die hauptsächlich lokale Logins absichern wollen, könnte eine vollständige Duo-Lizenz Funktionen enthalten, die ungenutzt bleiben.

Okta

Als führender Anbieter im IDaaS-Bereich sichert Okta lokale RDP-Sitzungen über einen RADIUS-Agenten ab, der im Netzwerk installiert wird. Dieser leitet Authentifizierungsanfragen an die Okta-Cloud weiter, was eine Abhängigkeit von sowohl dem lokalen Agenten als auch einer konstanten Cloud-Verbindung bedeutet. Für Unternehmen, die Active Directory als zentrale Identitätsquelle betrachten, kann dies eine unnötig komplexe Ebene darstellen.

Spezialisierte Lösungen: Hideez

Abseits der großen IDaaS-Plattformen gibt es spezialisierte Lösungen, die die MFA-Herausforderung für lokale und hybride Infrastrukturen gezielt lösen. Hideez wurde von Grund auf dafür entwickelt, Active Directory zu ergänzen und nicht zu ersetzen. Anstatt komplexe Proxy- oder RADIUS-Setups zu verwenden, wird ein leichtgewichtiger Agent direkt auf den zu schützenden Geräten installiert. Dieser Ansatz bietet wesentliche Vorteile:

• Direkte AD-Integration: Funktioniert mit vorhandenen Active Directory-Benutzern und -Gruppen, ohne Synchronisierung mit einer Cloud-Plattform.

• Umfassender Schutz vor Ort: Schützt nicht nur RDP, sondern auch interaktive Anmeldungen an Arbeitsstationen und Servern für eine einheitliche Sicherheit.

• Offline-Zugriff: Ein entscheidendes Merkmal für Geschäftskontinuität. Benutzer können ihre Geräte auch bei unterbrochener Netzwerkverbindung mit MFA nutzen.

• Passwordless-fähig: Die Plattform ist für die vollständige Abschaffung von Passwörtern konzipiert, etwa durch FIDO2-Hardware-Keys – maximaler Schutz gegen Phishing.

Funktionsvergleich

Wichtige Funktionen bei einer RDP-MFA-Lösung

Unterstützte Authentifizierungsmethoden (Push, TOTP, FIDO2, SMS)

Flexibilität ist entscheidend. Ihre Lösung sollte eine breite Palette an Methoden unterstützen – von benutzerfreundlichen Push-Benachrichtigungen bis hin zu phishing-resistenten FIDO2-Hardware-Schlüsseln.

Offline-Zugriff für mobile Nutzer und Laptops

MFA muss auch für mobile Mitarbeiter im Offline-Modus funktionieren. So wird sichergestellt, dass die Produktivität nicht unter Verbindungsproblemen leidet – eine entscheidende Anforderung für moderne Unternehmen.

Fähigkeit zum passwortlosen Login

Das ultimative Ziel ist es, die größte Angriffsfläche – das Passwort – zu eliminieren. Eine moderne Lösung wie Hideez ermöglicht echten passwortlosen RDP-Zugang über FIDO2-Schlüssel oder Biometrie – maximale Sicherheit und verbesserte Benutzerfreundlichkeit.

Schutz bei UAC-Erhöhungen

Die Anmeldung ist nur der erste Schritt. Erzwingen Sie MFA auch bei UAC-Eingabeaufforderungen, um unautorisierten Privilegienmissbrauch durch Angreifer zu verhindern, die sich bereits Zugriff verschafft haben.

Zentrale Richtlinienverwaltung und Berichterstattung

Administratoren benötigen zentrale Kontrolle. Achten Sie auf eine einheitliche Plattform für Richtliniendurchsetzung, Echtzeit-Protokollierung für Compliance und einfache Benutzerbereitstellung.

Best Practices für die Sicherheit Ihrer RDP-Umgebung

MFA ist das Fundament der RDP-Sicherheit, entfaltet aber seine volle Wirkung im Zusammenspiel mit einer mehrschichtigen Verteidigungsstrategie.

• Prinzip der minimalen Berechtigungen für RDP-Zugriff: Benutzer sollten nur die absolut notwendigen Berechtigungen erhalten. Beschränken Sie RDP-Zugriff auf eine dedizierte Sicherheitsgruppe in AD und vermeiden Sie Administrator-Konten für alltägliche Sitzungen.

• Alle Komponenten aktuell halten und patchen: Nicht gepatchte Systeme sind Einfallstore für Angreifer. Stellen Sie sicher, dass alle Komponenten Ihrer RDP-Infrastruktur – Server, Clients, Gateways – aktuell und sicherheitsgepatcht sind.

• Netzwerk-Level-Authentifizierung (NLA) umsetzen: NLA ist ein wesentliches Sicherheitsfeature, das Authentifizierung vor dem Aufbau einer vollständigen RDP-Sitzung erfordert. Es reduziert DoS-Angriffe. In Kombination mit MFA ergibt sich ein nahezu lückenloser Schutz.

• Überwachung und Prüfung von RDP-Protokollen: Bedrohungen lassen sich nur bekämpfen, wenn man sie sieht. Überwachen Sie aktiv die Windows-Event-Logs (Ereignis-ID 4624, 4625) – insbesondere ungewöhnliche IPs oder Anmeldeversuche außerhalb der Geschäftszeiten.

Fehlerbehebung bei häufigen RDP-MFA-Problemen

Selbst gut geplante Implementierungen können auf Probleme stoßen. Meist sind Netzwerkverbindungen, Legacy-Konfigurationen oder Verzeichnis-Synchronisierungen schuld.

Firewall- und Netzwerkprobleme (Port 443)

Am häufigsten ist ein blockierter Port schuld. Stellen Sie sicher, dass die Firewall ausgehenden HTTPS-Verkehr über TCP-Port 443 vom Server mit dem MFA-Agenten zur Ziel-IP oder FQDN des MFA-Dienstes erlaubt.

RADIUS-Timeouts und Konfigurationsfehler

Legacy-RADIUS-Setups sind notorisch fehleranfällig. Häufige Probleme sind nicht übereinstimmende Shared Secrets und zu kurze Timeouts für Push-Bestätigungen. Erhöhen Sie das Timeout am RD Gateway auf mindestens 60 Sekunden.

Probleme bei der Verzeichnissynchronisierung

Wenn ein Benutzer keine MFA-Aufforderung erhält, überprüfen Sie den Synchronisierungsagenten. Der Benutzer könnte sich in einer OU befinden, die nicht synchronisiert wird, oder ein erforderliches Attribut fehlt.

Zertifikats- und TLS-Versionskonflikte

Stellen Sie sicher, dass das Zertifikat Ihres RD Gateway gültig und vertrauenswürdig ist. Die Server sollten TLS 1.2 oder höher unterstützen, da ältere Protokolle inzwischen als unsicher gelten und von Cloud-Diensten nicht mehr unterstützt werden.

Genug von RADIUS-Timeouts und komplexen Proxy-Konfigurationen? Die Schwächen passwortbasierter RDP-Zugänge verschwinden nicht von selbst – und Notlösungen reichen nicht mehr aus.

Hideez bietet eine praxisorientierte Lösung für lokale und hybride Infrastrukturen. Werden Sie wirklich passwortlos mit FIDO2-Sicherheitsschlüsseln – und sichern Sie Ihren RDP-Zugang ohne unnötige Komplexität. Jetzt Demo vereinbaren für eine maßgeschneiderte MFA-Strategie.

Verfasser:

Denis Zaliznyak

Chief Technology Officer, Hideez