Genervt von RDP-Warnungen? Dann werde sie los - mit signierten RDP-Dateien!

16.04.2026 Last updated : 16.04.2026 Mein Avatar für die Krähe mit Hut. Man sieht eine Krähe mit einem Doktorhut.Krähe mit Hut
Lesedauer 3 Minuten

Der Zugriff auf Windows-Systeme aus der Ferne erfolgt i.d.R. über eine Remotedesktopverbindung. Hierfür ist zunächst keine besondere Konfiguration erforderlich (abgesehen von Freigaben).

Allerdings gelten RDP-Dateien im Standard als unsicher, da niemand verifizieren kann, woher diese stammen. Daher zeigt Windows beim Aufruf einer solchen Datei eine Warnung an. Diese Warnung wurde mit den Aktualisierungen für April 2026 sogar noch einmal ausgedehnt. Diese Warnungen lassen sich zwar unterdrücken, besser ist es jedoch, solche Dateien entsprechend vertrauenswürdig zu machen und auch nur noch vertrauenswürdige RDP-Dateien zuzulassen.


Wie das geht? Das zeigt dieser Artikel!

Voraussetzungen

Um RDP-Dateien nur noch in vertrauenswürdiger Form zu nutzen, sind die folgenden Voraussetzungen erforderlich:

  1. Es wird ein Codesignatur-Zertifikat benötigt. Dies kann entweder selbst erstellt oder von einer internen/öffentlichen Zertifizierungsstelle bezogen werden (öffentliche CAs sind kostenpflichtig, ca 299€).
  2. Die Konfiguration der notwendigen Einstellungen kann über Gruppenrichtlinien erfolgen. Es ist auch eine Konfiguration über alternative Lösungen wie z.B. Intune denkbar.

Codesignatur-Zertifikat

Was ein Codesignatur-Zertifikat ist und wofür man es einsetzen kann, kannst Du in einem anderen Beitrag nachlesen: Skripte vertrauenswürdig ausführen - mit Codesignatur-Zertifikaten! Falls Du ein selbstsigniertes Zertifikat hierfür verwenden möchtest, kannst Du ein PowerShell-Skript aus meinem Skriptnest dafür verwenden.

Das Zertifikat muss auf alle Systeme verteilt werden, auf denen es als vertrauenswürdig eingestuft werden soll. Wie dies per Gruppenrichtlinie funktioniert, findest Du ebenfalls in dem Artikel Skripte vertrauenswürdig ausführen - mit Codesignatur-Zertifikaten!

Konfiguration

Die folgenden Kapitel beschreiben die notwendigen Schritte, um RDP-Dateien zu signieren und die Sicherheit der Nutzung entsprechend zu erhöhen.

Signierung der RDP-Datei(en)

Für die Signierung von RDP-Dateien steht unter Windows die Kommandozeilen-Lösung rdpsign bereit. Hierfür wird der Fingerabdruck des Codesignatur-Zertifikats benötigt, der wie folgt ermittelt wird:

  • Zertifikatsdatei mit Doppelklick öffnen
  • Zum Register “Details” wechseln, das Feld “Fingerabdruck” markieren und den Fingerabdruck aus dem Feld darunter kopieren

Anschließend kann die Signierung wie folgt durchgeführt werden:

rdpsign <Pfad\zur\RDP-Datei>.rdp /sha256 <Fingerabdruck des Zertifikats>
BAT (Batchfile)

Zentrale Bereitstellung und Verteilung

Falls es nicht ohnehin schon so praktiziert wird, sollten RDP-Dateien nicht direkt bei den Benutzern verteilt werden. Benutzer könnten diese auf eigene Faust modifizieren und dadurch unerwünschte Einstellungen vornehmen. Besser ist es, eine RDP-Datei zentral zu erzeugen und vorzuhalten und den Benutzern lediglich eine Verknüpfung bereitzustellen.

Für die zentrale Bereitstellung bietet sich das NETLOGON-Verzeichnis an. Darin kann ein Unterordner (z.B. "RDS") erstellt werden, falls mehrere RDP-Dateien zentral gepflegt werden müssen.
Man kann zwar Verknüpfungen auch direkt über die Gruppenrichtlinien-Voreinstellungen erzeugen, ich bevorzuge allerdings die manuelle Erstellung. Dieser Verknüpfung sollte dann auch ein alternatives Symbol zugewiesen werden, um es für Benutzer und auch Admins besser erkennbar zu machen.

Anschließend kann die Verknüpfung über ein Gruppenrichtlinienobjekt an alle Benutzer verteilt werden:

Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Dateien

  • Quelldatei(en): <Verknüpfung aus NETLOGON-Verzeichnis auswählen>; als Pfad \\<Domäne>\NETLOGON\... verwenden, NICHT \\<Servername>\NETLOGON\...
  • Zieldatei(en): %USERPROFILE%\Desktop\<Name der RDP-Datei>.rdp

Hinweis: Wenn der Benutzer die Umleitung bekannter Ordner in OneDrive verwendet, so ist dieser Pfad nicht verfügbar. In diesem Fall muss eine andere Variable verwendet werden:

  • %ONEDRIVECOMMERCIAL%: Microsoft 365-basierte OneDrive-Konten
  • %ONEDRIVECONSUMER%: persönliche OneDrive-Konten

Konfiguration eines vertrauenswürdigen RDP-Herausgebers

Auch wenn eine RDP-Datei signiert ist, wird weiterhin eine Warnung angezeigt, die manuell bestätigt werden muss.


Um dies zu lösen, muss der Fingerabdruck des Zertifikats im Remotedesktop-Client als vertrauenswürdig hinterlegt werden. Hierzu ist wie folgt vorzugehen:

  • Neues GPO erstellen (Benutzerkonfiguration → Deaktiviert)

Computerkonfiguration > Richtlinien > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopverbindungs-Client

  • RDP-Dateien von unbekannten Herausgebern zulassen: Deaktiviert
  • SHA1-Fingerabdrücke von Zertifikaten angeben, …: Aktiviert, Fingerabdruck des Codesignatur-Zertifikats einfügen

Die Richtlinie ist so zu verknüpfen, dass alle Endgeräte diese erhalten.

WICHTIG: Die Richtlinie sorgt dann auch dafür, dass unsignierte RDP-Dateien nicht mehr ausgeführt werden dürfen! Die Benutzer müssen also zeitnah informiert werden, dass nur noch die neue Datei verwendet werden kann.


Gefällt Dir der Beitrag? Lass es andere wissen!

Kategorien
Hybride Infrastruktur
Tags
Previous article
Schneller zum Ziel - mit direkten Download-Links zu Entra-Produkten!
08.04.2026