{"id":323760,"date":"2026-04-16T08:27:24","date_gmt":"2026-04-16T06:27:24","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=323760"},"modified":"2026-04-16T13:02:05","modified_gmt":"2026-04-16T11:02:05","slug":"remote-desktop-phishing-schutz-im-april-2026-update-verursacht-verwirrung","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/04\/16\/remote-desktop-phishing-schutz-im-april-2026-update-verursacht-verwirrung\/","title":{"rendered":"Remote Desktop-Phishing-Schutz im April 2026-Update verursacht Verwirrung"},"content":{"rendered":"

\"Windows\"Zum 14. April 2026 (Patchday) hat Microsoft eine Korrektur am Remote Desktop vorgenommen, um RDP-Verbindungen besser gegen Phishing-Angriffe zu sch\u00fctzen. Die Anwender bekommen beim Aufbau der RDP-Verbindung eine Warnmeldung angezeigt. Das sorgt f\u00fcr reichlich Irritationen und Probleme. Hier eine Nachlese samt \u00dcberblick \u00fcber diesen Sachverhalt einschlie\u00dflich Workarounds.<\/p>\n

<\/p>\n

Remote Desktop-\u00c4nderungen durch April 2026-Updates<\/h2>\n

\"\"Zum 14. April 2026 (zweiter Dienstag im Monat, Patchday bei Microsoft) wurden verschiedene kumulative Updates f\u00fcr die unterst\u00fctzten Versionen aller Windows-Clients und Windows Server freigegeben. In den \u00c4nderungsmitteilungen der April 2026-Updates findet sich folgende Passage:<\/p>\n

[Remote Desktop]<\/b>\u00a0This update improves protection against phishing attacks that use Remote Desktop (.rdp) files. When you open an .rdp file, Remote Desktop shows all requested connection settings before it connects, with each setting turned off by default. A one-time security warning also appears the first time you open an .rdp file on a device.<\/p><\/blockquote>\n

Dieser Sachverhalt wurde kurz in den Blog-Beitr\u00e4gen Patchday: Windows 10\/11 Updates<\/a> (14. April 2026) und Patchday: Windows Server-Updates<\/a> (14. April 2026) von mir erw\u00e4hnt.<\/p>\n

Microsoft erkl\u00e4rt die RDP-\u00c4nderung<\/h2>\n

Eine RDP-Datei teilt der Remotedesktop Connection-App mit, wie eine Verbindung mit einem Remotecomputer hergestellt wird. Abh\u00e4ngig von den Einstellungen kann die Datei auch Teile des lokalen Ger\u00e4ts (Windows Client oder Windows Server freigeben, so dass z. B. ein Remote-Zugriff auf die Zwischenablage, Laufwerke oder die Kamera m\u00f6glich ist. Was Anwendern oder Administratoren die M\u00f6glichkeit er\u00f6ffnet, remote auf eine Windows-Maschine (z.B. wenn diese in einer virtuellen Maschine l\u00e4uft) zuzugreifen, hat auch Risiken.<\/p>\n

B\u00f6swillige Akteure missbrauchen diese Funktion, indem sie RDP-Dateien \u00fcber Phishing-E-Mails versenden. \u00d6ffnet ein Opfer eine solche RDP-Datei, baut Windows im Hintergrund eine Verbindung mit einem Server bereit, der vom Angreifer gesteuert wird. Der Angreifer erh\u00e4lt so Zugriff auf lokale Ressourcen wie Dateien, Anmeldeinformationen und vieles mehr.<\/p>\n

Einmalige Warnung bei RDP-Verbindungen<\/h3>\n

Microsoft beschreibt diese Risiken und Implikationen im Support-Beitrag Understanding security warnings when opening Remote Desktop (RDP) files<\/a>. Aus Sicherheitsgr\u00fcnden wird beim ersten \u00d6ffnen einer RDP-Datei nach der Installation des April 2026-Updates ein Schulungsdialogfeld angezeigt. Es wird erl\u00e4utert, was RDP-Dateien sind und warnt vor Phishing-Risiken.<\/p>\n

\"Windows<\/p>\n

Nachdem Nutzer die RDP-Dateiverbindungen in diesem Dialogfeld durch Markierung des Kontrollk\u00e4stchens und \u00fcber die OK-Schaltfl\u00e4che zugelassen haben, wird die Warnung f\u00fcr das Nutzerkonto nicht mehr angezeigt.<\/p>\n

Warndialogfeld vor dem Aufbau jeder RDP-Verbindung<\/h3>\n

Bei jedem \u00d6ffnen einer RDP-Datei zeigt Windows zuk\u00fcnftig ein Sicherheitsdialogfeld zur\u00a0\"Verbindungssicherheit\", bevor eine Verbindung hergestellt wird. Das Dialogfeld zeigt die Adresse des Remotecomputers und ein Kontrollk\u00e4stchen f\u00fcr jede lokale Ressource an, auf die die Datei zugreifen m\u00f6chte. Der Zugriff auf alle diese Ressourcen ist standardm\u00e4\u00dfig deaktiviert \u2013 Anwender m\u00fcssen die einzelnen Ressourcen explizit aktivieren.<\/p>\n

\"Windows<\/p>\n

Das Dialogfeld kann dem Benutzer von Windows in zwei verschiedenen Varianten angezeigt werden. Ist eine RDP-Datei nicht digital signiert (ist nicht \u00fcberpr\u00fcfbar, wer sie erstellt hat oder ob sie manipuliert wurde), wird obiges Sicherheitsdialogfeld angezeigt. Das Dialogfeld beinhaltet ein Banner mit dem Titel Caution: Unbekannte Remoteverbindung\u00a0<\/em>und legt das Feld\u00a0Publisher<\/em> auf \"Unbekannter publisher\" fest. Dies ist dann ein Hinweis, besonders vorsichtig zu sein und den Absender der RDP-Datei zu pr\u00fcfen.<\/p>\n

Bei einer digital signierten RDP-Datei erscheint das Dialogfeld mit der Sicherheitswarnung mit dem nachfolgend gezeigten Banner. Dort wird angegeben, wer die RDP-Datei ausgestellt hat und welche Verbindung aufgebaut wird. Der Anwender muss dann best\u00e4tigen, dass er den Urheber \u00fcberpr\u00fcft hat und der Verbindung vertraut (Angreifer k\u00f6nnen auch digital signierte RDP-Dateien mit \u00e4hnlich klingenden Bezeichnungen missbr\u00e4uchlich verteilen).<\/p>\n

\"Windows<\/p>\n

In beiden F\u00e4llen muss der Anwender aber die Kontrollk\u00e4stchen der f\u00fcr die Remote Desktop-Versionen zul\u00e4ssigen Ressourcen markieren, bevor er die Verbindung aufbauen kann.<\/p>\n

Bei digital signierten RDP-Dateien l\u00e4sst sich (angeblich) \u00fcber ein Kontrollk\u00e4stchen einstellen, dass Windows die Auswahl f\u00fcr alle k\u00fcnftigen Verbindungen dieses Publishers beibeh\u00e4lt. In diesem Kommentarthread<\/a> schreiben Nutzer aber, dass selbst bei signierten RDP-Dateien kein \"schnelles Verbinden\" mehr m\u00f6glich sei. Es erscheint immer ein Fenster, in dem die gew\u00fcnschten Ressourcen \u00fcber Kontrollk\u00e4stchen auszuw\u00e4hlen sind. Das wird von anderen Lesern best\u00e4tigt.<\/p>\n

Gro\u00dfe Verunsicherung der Anwender<\/h2>\n

Die durch Microsoft durchgef\u00fchrte \u00c4nderung hat zu ziemlicher Verunsicherung der Anwender gef\u00fchrt. In den Kommentaren<\/a> zum Blog-Beitrag Patchday: Windows Server-Updates<\/a> (14. April 2026) gibt es zahlreiche R\u00fcckmeldungen von Administratoren. SArmstrong schrieb<\/a>:<\/p>\n

Hat uns (fast) die halbe Firma lahmgelegt. Endanwender denken da sei ein Virus auf dem System und der \u00fcbliche Kram. Diejenigen die sich einfach durchklicken sind mir da lieber. Es bringt auch \u00fcberhaupt keinen Mehrwert. F\u00fcr Enterprise-Umgebungen absolut nicht hinnehmbar.<\/p><\/blockquote>\n

Auch die Kommentare<\/a> zum Blog-Beitrag Patchday: Windows 10\/11 Updates<\/a> (14. April 2026) greifen das Thema auf.\u00a0Auf Facebook ist mir in einer Gruppe die nachfolgende Meldung untergekommen, und es wurde auf meine Blog-Beitr\u00e4ge verwiesen.<\/p>\n

\"Verwirrung<\/p>\n

Den Kommentaren auf Facebook zufolge hat es auch bei vielen DATEV-Kunden, die die Smartcard in den Sitzung verwenden, einen Riesenstress verursacht. Weitere Diskussionen gibt es auf administrator.de in diesem Thread<\/a> sowie in diesem Thread<\/a>. Es l\u00e4sst sich festhalten, dass diese \u00c4nderung einige Verwirrung bei Administratoren und Anwendern hervorgerufen hat.<\/p>\n

Workarounds f\u00fcr Administratoren<\/h2>\n

Von Microsoft wird im Support-Beitrag Understanding security warnings when opening Remote Desktop (RDP) files<\/a> ja vorgeschlagen, dass IT-Abteilungen die RDP-Dateien digital signieren sollen, damit das Ganze besser abgesichert ist. Den R\u00fcckmeldungen hier im Blog entnehme ich aber, dass das Ganze a) schlecht durch Microsoft implementiert wurde, und b) Administratoren nach wegen suchen, diese Warndialoge vorerst zu deaktivieren. Microsoft hat im verlinkten Support-Beitrag den Workaround genannt, um die Warnung tempor\u00e4r abzuschalten. Dazu ist der Registrierungseditor \u00fcber\u00a0Als Administrator ausf\u00fchren\u00a0<\/em>aufzurufen. Anschlie\u00dfend ist im Registrierungsschl\u00fcssel:<\/p>\n

HKLM\\Software\\Policies\\Microsoft\\Windows NT\\Terminal Services\\Client<\/pre>\n
der 32-Bit-REG_DWORD Wert RedirectionWarningDialogVersion<\/em> einzutragen und auf 1 zu setzen. Microsoft beh\u00e4lt sich aber vor, diesen Mechanismus zu einem sp\u00e4teren Zeitpunkt zu entfernen, so dass der Registrierungseintrag nicht mehr greift.<\/p>\n
In diesem Kommentar<\/a> hier im Blog wird noch ein weiterer Schl\u00fcssel genannt, der mit folgendem PowerShell-Befehl:<\/p>\n
Set-ItemProperty -Path \"HKCU:\\Software\\Microsoft\\Terminal Server Client\" -Name \"AuthenticationLevelOverride\" -Value 0<\/pre>\n
gesetzt werden kann, um die Warnung Benutzer-spezifisch tempor\u00e4r zu deaktivieren. Derzeit ist aber unklar, ob das noch wirkt.<\/p>\n
Auch in diesem Kommentar<\/a> von Fred werden Registry-Eintr\u00e4ge zum Unterdr\u00fccken der Meldung samt Anforderungen diskutiert.<\/p>\n
Auf reddit.com gibt es noch diesen Post<\/a>, der sich mit der digitalen Signierung von RDP-Dateien befasst und einen weiteren 32-Bit DWORD-Registrierungseintrag RdpLaunchConsentAccepted = 1<\/em> unter dem Schl\u00fcssel:<\/p>\n
HKEY_CURRENT_USER\\Software\\Microsoft\\Terminal Server Client<\/pre>\n
beschreibt, um mit der Warnung umzugehen. Dieser Ansatz wird auch von Marc-Andr\u00e9 Moreau in diesem Tweet<\/a> genannt.<\/p><\/blockquote>\n
Auf X ist mir noch nachfolgender Tweet<\/a> von Marc-Andr\u00e9 Moreau untergekommen, der sich ebenfalls mit der Thematik auseinander setzt, und den ich Administratoren in Unternehmensumgebungen ans Herz legen m\u00f6chte.<\/p>\n
\"Windows<\/a><\/p>\n
Wer den obigen Dialog beim Starten von RDP-Dateien, der nach dem letzten Windows-Update erscheint, nicht mehr sehen m\u00f6chte, kann auch ohne \u00c4nderungen an den Registrierungsschl\u00fcsseln zum Ziel kommen. Marc-Andr\u00e9 Moreau verweist auf die auf GitHub abrufbaren\u00a0Microsoft RDP Extensions (MsRdpEx)<\/a> von Devolutions. Ich habe es selbst nicht getestet, aber mit den Extensions sollen sich die Warndialoge verhindern lassen.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nMicrosoft Security Update Summary<\/a>\u00a0(14. April 2026)
\nPatchday: Windows 10\/11 Updates<\/a>\u00a0(14. April 2026)
\nPatchday: Windows Server-Updates<\/a>\u00a0(14. April 2026)
\nPatchday: Microsoft Office Update<\/a>s (14. April 2026)<\/p>\n","protected":false},"excerpt":{"rendered":"
Zum 14. April 2026 (Patchday) hat Microsoft eine Korrektur am Remote Desktop vorgenommen, um RDP-Verbindungen besser gegen Phishing-Angriffe zu sch\u00fctzen. Die Anwender bekommen beim Aufbau der RDP-Verbindung eine Warnmeldung angezeigt. Das sorgt f\u00fcr reichlich Irritationen und Probleme. Hier eine Nachlese … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,426,185,301,2557],"tags":[24,4328,4315,3288],"class_list":["post-323760","post","type-post","status-publish","format-standard","hentry","category-problem","category-sicherheit","category-update","category-windows","category-windows-server","tag-problem","tag-sicherheit","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323760","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323760"}],"version-history":[{"count":7,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323760\/revisions"}],"predecessor-version":[{"id":323775,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323760\/revisions\/323775"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323760"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323760"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323760"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}