Microsoft liefert die neuen Schutzfunktionen mit den kumulativen Updates vom April 2026 aus: KB5082200 für Windows 10 sowie KB5083769 und KB5082052 für Windows 11. Ziel ist es, den Missbrauch manipulierter RDP-Verbindungsdateien zu unterbinden.
„Böswillige Akteure missbrauchen diese Funktion, indem sie RDP-Dateien über Phishing-E-Mails verschicken", warnt Microsoft. Öffne ein Opfer die Datei, verbinde sich das Gerät unbemerkt mit einem vom Angreifer kontrollierten Server und teile lokale Ressourcen, was dem Angreifer Zugriff auf Dateien, Zugangsdaten und mehr verschaffe.
Nach der Installation des Updates erscheint beim ersten Öffnen einer RDP-Datei ein einmaliger erklärender Hinweis, der die Funktion solcher Dateien erläutert und vor den Risiken warnt. Nutzer müssen bestätigen, dass sie die Risiken verstanden haben, und mit OK quittieren; danach wird dieser Hinweis nicht erneut angezeigt.
Bei jedem weiteren Öffnen einer RDP-Datei zeigt Windows nun vor dem Verbindungsaufbau ein Sicherheitsdialogfenster an. Dieses gibt an, ob die Datei von einem verifizierten Herausgeber signiert ist, nennt die Adresse des entfernten Systems und listet alle Umleitungen lokaler Ressourcen auf – etwa Laufwerke, Zwischenablage oder Geräte. Jede dieser Optionen ist standardmäßig deaktiviert.
Ist eine Datei nicht digital signiert, zeigt Windows die Warnung „Vorsicht: Unbekannte Remoteverbindung" an und kennzeichnet den Herausgeber als unbekannt, da sich nicht überprüfen lässt, wer die Datei erstellt hat. Bei einer signierten Datei zeigt Windows zwar den Herausgeber an, mahnt aber dennoch, dessen Vertrauenswürdigkeit vor dem Verbindungsaufbau zu prüfen.
Die neuen Schutzmaßnahmen greifen ausschließlich bei Verbindungen, die durch das Öffnen von RDP-Dateien zustande kommen, nicht jedoch bei Verbindungen über den Windows-Remotedesktopclient.
Administratoren können die Schutzfunktionen laut Microsoft vorübergehend deaktivieren, indem sie im Registrierungsschlüssel HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client den Wert RedirectionWarningDialogVersion auf 1 setzen. Da RDP-Dateien in der Vergangenheit jedoch wiederholt für Angriffe missbraucht wurden, empfiehlt Microsoft ausdrücklich, die Schutzfunktionen aktiviert zu lassen.
