
Die neuesten Sicherheitsupdates für Windows 11 und Windows 10 haben das Standardsystemverhalten geändert, wenn über eine gespeicherte „*.rdp“-Datei eine Verbindung zum Desktop eines Remotecomputers hergestellt wird. Wenn ein Benutzer zum ersten Mal eine RDP-Datei öffnet, erscheint eine einmalige Benachrichtigung, die den Zweck von RDP-Dateien und die potenziellen Risiken erklärt, die mit ihrer Verwendung verbunden sind. Jedes Mal, wenn ein Benutzer eine RDP-Datei öffnet, bevor er eine Verbindung mit dem Remote-Host herstellt, wird er durch eine Sicherheitswarnung aufgefordert, die Verbindung manuell zu genehmigen und die lokalen Ressourcen auszuwählen, die zur Remote-Desktop-Sitzung umgeleitet werden müssen.
Neueste Microsoft-Updates fügen Warnungen für RDP-Dateien hinzu
Nach der Installation der kumulativen Updates vom April 2026 für Windows 11 („KB5083769“ oder „KB5082052“) und Windows 10 („KB5082200“, als Teil des Extended Security Updates-Programms für Windows 10), werden beim Öffnen einer RDP-Datei standardmäßig die folgenden Schutzmaßnahmen angewendet:
- Bevor eine Remotedesktopverbindung hergestellt wird, wird eine detaillierte Warnung zum Zielsystem angezeigt.
- Standardmäßig ist die Umleitung lokaler Ressourcen zu einer Remote-RDP-Sitzung deaktiviert und Benutzer werden aufgefordert, explizit die Ressourcen auszuwählen, die sie zu ihrer Sitzung umleiten möchten.
weit verbreitete Verwendung von RDP-Dateien für Phishing-Angriffe. Bei dieser Art von Angriff sendet der Angreifer dem Opfer eine spezielle „*.rdp“-Datei. Wenn das Opfer die Datei öffnet, wird eine Verbindung mit dem Remotedesktopserver des Angreifers hergestellt und die lokalen Ressourcen des Benutzers werden zur Terminalsitzung umgeleitet. Dadurch kann ein Angreifer, der den Remote-Host kontrolliert, Zugriff auf diese Ressourcen (einschließlich lokaler Laufwerke) erhalten. Microsoft gibt an, dass das Ziel dieser Innovation darin besteht, den Schutz von Windows vor diesen zu verbessern. Bei dieser Art von Angriff sendet der Angreifer dem Opfer eine spezielle Datei. Wenn das Opfer die Datei öffnet, wird eine Verbindung mit dem Remote-Desktop-Server des Angreifers hergestellt und die lokalen Ressourcen des Benutzers werden zur Terminalsitzung umgeleitet. Dadurch kann ein Angreifer, der den Remote-Host kontrolliert, Zugriff auf diese Ressourcen (einschließlich lokaler Laufwerke, Zwischenablage) erhalten , Smartcards, umgeleitete Drucker, Mikrofon, PnP-Geräte usw.).
Wenn Sie eine RDP-Datei zum ersten Mal öffnen, erscheint eine Benachrichtigung:
Opening Remote Desktop ConnectionYou are opening an RDP file which will establish a connection to another computer. Connecting to any remote system can expose your PC and data to security risks. Learn more.
Um mit der Remotedesktopverbindung fortzufahren, muss der Benutzer das Kästchen explizit ankreuzen.
I understand and allow RDP files to open on this device for my account.

Anschließend erscheint eine Sicherheitswarnung. Der Text dieser Warnung hängt davon ab, ob die RDP-Datei signiert ist oder nicht.
Wenn die RDP-Datei nicht digital signiert ist oder Windows sie nicht überprüfen kann, erscheint eine Warnung:
Remote Desktop Connection Security warningCaution: Unknown remote connectionThis remote connection could harm the local or remote computer and may be used to steal passwords or files. We could not verify the publisher of this remote connection. Stop now unless you are certain you trust this connection.Publisher: Unknown publisher
Wenn Benutzer dennoch eine Verbindung herstellen möchten, müssen sie die in der RDP-Sitzung erforderlichen lokalen umgeleiteten Ressourcen auswählen und auf „Verbinden“ klicken.

Wenn die RDP-Datei digital signiert wurde, werden in der Warnung Informationen zum Herausgeber angezeigt:
Verify the publisher of this remote connection.
Der Benutzer wird jedoch weiterhin aufgefordert, die Legitimität der Verbindung zu überprüfen und die lokalen Ressourcen auszuwählen, die zur Remote-Sitzung umgeleitet werden sollen.

gelten nur für Verbindungen, die über gespeicherte RDP-Dateien initiiert werden. Es werden keine Sicherheitswarnungen angezeigt, wenn Sie den Namen des Remote-RDP/RDS-Hosts manuell im Client „mstsc.exe“ eingeben oder ihn über die Eingabeaufforderung mit dem Befehl „mstsc/v:woshubsrv1“ ausführen
Beachten Sie, dass diese neuen Sicherheitsbeschränkungen. Es werden keine Sicherheitswarnungen angezeigt, wenn Sie den Namen des Remote-RDP/RDS-Hosts manuell im Client eingeben oder ihn über die Eingabeaufforderung mit dem Befehl ausführen

Daher ignoriert der integrierte Remotedesktopverbindungs-Client jetzt die in gespeicherten RDP-Dateien angegebenen lokalen Ressourcenumleitungseinstellungen und fordert den Benutzer immer auf, die umzuleitenden lokalen Ressourcen auszuwählen.
So deaktivieren Sie die Sicherheitswarnung für Remotedesktopverbindungen beim Öffnen einer RDP-Datei
Um die neue Sicherheitsmaßnahme für RDP-Dateien vorübergehend zu deaktivieren (dies ist nicht sicher!), kann der Administrator den Registrierungsparameter RedirectionWarningDialogVersion mit dem Wert 1 erstellen. Dieses Registrierungselement kann manuell mit dem folgenden Befehl erstellt oder über Gruppenrichtlinien auf Clients bereitgestellt werden (siehe So erstellen und konfigurieren Sie Registrierungselemente über GPO).
REG ADD "HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client"/v RedirectionWarningDialogVersion/t REG\_DWORD/d "1"/F

Die erste RDP-Sicherheitswarnung kann deaktiviert werden, indem die folgende Registrierungsoption für den Benutzer erstellt wird:
REG ADD „HKEY\_CURRENT\_USER\Software\Microsoft\Terminal Server Client“/v RdpLaunchConsentAccepted/t REG\_DWORD/d „1“/F
So signieren Sie eine RDP-Datei mit RDPSign.exe
Es ist sicherer, die erforderliche RDP-Datei mit einer vertrauenswürdigen digitalen Signatur zu signieren. Dazu müssen Sie einen speziellen Code-Signing-Zertifikattyp („Enhanced Key Usage, EKU=Code Signing“) verwenden. Fordern Sie ein solches Zertifikat bei Ihrer Zertifizierungsstelle an, aber in meinem Fall erstelle ich ein selbstsigniertes Zertifikat mit PowerShell:
New-SelfSignedCertificate-Subject „WOSHUB Cert for Code Signing“-Type CodeSigningCert-CertStoreLocation cert:\LocalMachine\My
Kopieren Sie den Fingerabdruckwert des Zertifikats und signieren Sie dann die RDP-Datei mit dem integrierten RDPSign.exe-Tool:
rdpsign.exe/v/sha256 73FD89DCA644FF7A9CE90FDB1B4786B83851F380.\Desktop\my\_rdp\_app.rdp
All rdp file(s) have been succesfully signed.

Damit der Client diesem Zertifikat vertrauen kann, muss es im vertrauenswürdigen Stammzertifikatspeicher abgelegt werden. Der Administrator kann die Konsole „certlm.msc“ manuell öffnen und das Zertifikat zu den vertrauenswürdigen Stammzertifizierungsstellen kopieren. Oder exportieren Sie das für die RDP-Dateisignierung verwendete Zertifikat als CER-Datei und installieren Sie das Zertifikat über GPO auf Clientcomputern.

Fügen Sie dann den Fingerabdruck des Zertifikats zur GPO-Option „SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen“ hinzu (unter Computerkonfiguration-> Richtlinien-> Administrative Vorlagen-> Windows-Komponenten-> Remotedesktopdienste-> Remotedesktopverbindungsclient).
![]()
Nach dem Anwenden neuer Gruppenrichtlinieneinstellungen öffnet der Client die signierte RDP-Datei, ohne eine Warnung anzuzeigen.
Wenn ein Benutzer beim Herstellen einer Verbindung zu einem vertrauenswürdigen RDP-Host Optionen zum Umleiten lokaler Geräte ausgewählt und gespeichert hat, können diese gespeicherten Optionen für umgeleitete Geräte über die Registrierung zurückgesetzt werden. Öffnen Sie den Registrierungsschlüssel „HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client“ (der RDP-Verbindungsverlauf wird hier gespeichert) und löschen Sie manuell die Einträge für den Namen oder die IP-Adresse Ihres RDP-Hosts aus den Abschnitten „Standard“ und „Server“.

*️⃣ Quelllink:
Erweitertes Sicherheitsupdateprogramm für Windows 10, , , , , Zwischenablage, umgeleitete Drucker, Erstellen und Konfigurieren von Registrierungselementen über GPO, Erstellen eines selbstsignierten Zertifikats mit PowerShell, vertrauenswürdiges Stammzertifikat, Installieren des Zertifikats auf Clientcomputern über GPO, Anwenden neuer Gruppenrichtlinieneinstellungen, RDP-Verbindungsverlauf,