RDP-Dateien signieren: Warnmeldung in Windows ⏱ 4 Min.

RDP-Dateien signieren: Warnmeldung in Windows

Microsoft Windows Server

Die Zeiten, in denen unsignierte RDP-Dateien einfach mit einem Klick auf „Nicht erneut fragen“ akzeptiert werden konnten, sind vorbei. Seit dem Sicherheitsupdate vom April 2026 hat Microsoft die Daumenschrauben angezogen.

Jedes Mal, wenn Du eine unsignierte .rdp-Datei öffnest, starrt Dich nun eine rote Warnmeldung „Vorsicht: Unbekannte Remoteverbindung“ an. Schlimmer noch: Lokale Ressourcen wie die Zwischenablage oder Laufwerksfreigaben werden standardmäßig blockiert, bis Du sie für jede Verbindung manuell reaktivierst.

Der Grund für diesen radikalen Schritt ist die Sicherheit. Angreifer nutzen manipulierte RDP-Dateien häufig für Phishing-Attacken. Durch das Signieren Deiner Dateien stellst Du sicher, dass Dein Name als verifizierter Herausgeber erscheint und die rote Warnung durch einen normalen Prompt ersetzt wird.

Voraussetzungen für die Signierung

Du musst keine komplexe Drittsoftware installieren. Alles, was Du benötigst, bringt Windows bereits mit:

  • rdpsign.exe: Das Signierungswerkzeug (unter C:\Windows\System32\rdpsign.exe).
  • PowerShell: Muss mit Administratorrechten ausgeführt werden.
  • Code-Signing-Zertifikat: Entweder selbstsigniert oder von einer internen Zertifizierungsstelle (CA).
  • Deine RDP-Datei: Die fertig konfigurierte Datei, die Du schützen möchtest.

Methode 1: Selbstsigniertes Zertifikat (für IT-Pros & Einzelrechner)

Diese Methode ist ideal für Umgebungen ohne Active Directory. Sie ist kostenlos und innerhalb weniger Minuten umgesetzt.

Schritt 1: Das Zertifikat erstellen Öffne die PowerShell als Administrator und erstelle ein neues Zertifikat für die Codesignierung. Ersetze den Namen im Feld -Subject durch Deinen gewünschten Herausgebernamen: ll

$cert = New-SelfSignedCertificate `
    -Type CodeSigningCert `
    -Subject "CN=DeinName Herausgeber, O=IT-Abteilung" `
    -KeyUsage DigitalSignature `
    -FriendlyName "RDP Signatur Zertifikat" `
    -CertStoreLocation "Cert:\LocalMachine\My" `
    -NotAfter (Get-Date).AddYears(3)

Schritt 2: Vertrauen auf dem lokalen Rechner herstellen Damit Windows das Zertifikat als vertrauenswürdig einstuft, muss es in den Speichern für „Vertrauenswürdige Stammzertifizierungsstellen“ und „Vertrauenswürdige Herausgeber“ hinterlegt werden: 

$certPath = "Cert:\LocalMachine\My\$($cert.Thumbprint)"
Import-Certificate -FilePath (Export-Certificate -Cert $cert -FilePath "$env:TEMP\rdp-signing.cer" -Force).FullName -CertStoreLocation "Cert:\LocalMachine\Root"
Import-Certificate -FilePath "$env:TEMP\rdp-signing.cer" -CertStoreLocation "Cert:\LocalMachine\TrustedPublisher"

Schritt 3: Zertifikat für andere Rechner exportieren Solltest Du die RDP-Datei auf anderen Rechnern nutzen wollen, musst Du das öffentliche Zertifikat dort ebenfalls importieren: 

Export-Certificate -Cert $cert -FilePath "C:\Certs\rdp-public.cer"

Importiere diese Datei auf jedem Zielrechner manuell in die oben genannten Speicher (Root und TrustedPublisher).

Methode 2: Active Directory & Enterprise CA (Unternehmenslösung)

In einer Domäne ist dies der sauberste Weg, da alle Rechner der internen Zertifizierungsstelle automatisch vertrauen.

Schritt 1: Code-Signing-Vorlage aktivieren Öffne die Zertifizierungsstellen-Konsole (certsrv.msc), navigiere zu Zertifikatvorlagen, klicke rechts und wähle Neu > Auszustellende Zertifikatvorlage. Wähle Codesignatur aus der Liste. Alternativ kannst Du die PowerShell nutzen: 

Add-CATemplate -TemplateName "CodeSigning"

Schritt 2: Zertifikat anfordern Fordere das Zertifikat auf dem Rechner an, den Du zum Signieren nutzt: 

Get-Certificate -Template "CodeSigning" -CertStoreLocation "Cert:\CurrentUser\My"

Schritt 3: Verteilung via Gruppenrichtlinie (GPO) Um sicherzustellen, dass signierte Dateien ohne Zusatzabfrage direkt als vertrauenswürdig gelten, importiere das Zertifikat per GPO unter: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Zertifikatvertrauens-Richtlinien > Vertrauenswürdige Herausgeber.

Zusätzlich kannst Du den Fingerabdruck (Thumbprint) Deines Zertifikats hier hinterlegen: Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktopverbindung-Client -> SHA1-Fingerabdrücke von Zertifikaten angeben, die vertrauenswürdige RDP-Herausgeber darstellen.

Den Signiervorgang durchführen

Sobald das Zertifikat bereitsteht, ist das eigentliche Signieren ein Einzeiler. Zuerst ermittelst Du den Thumbprint Deines Zertifikats: 

$thumbprint = (Get-ChildItem Cert:\CurrentUser\My | Where-Object { $_.EnhancedKeyUsageList -match "Code Signing" } | Select-Object -First 1).Thumbprint

Signiere nun die gewünschte Datei: 

rdpsign.exe /sha256 $thumbprint "C:\DeinPfad\Verbindung.rdp"

Fazit und Sicherheitsaspekte

Das Signieren von RDP-Dateien ist mehr als nur ein Mittel gegen nervige Warnungen. Es stellt einen wesentlichen Sicherheitsgewinn dar. Jede nachträgliche Änderung an einer signierten RDP-Datei – und sei sie noch so klein – macht die Signatur sofort ungültig. Die rote Warnmeldung erscheint dann sofort wieder, was Administratoren und Nutzer sofort vor Manipulationen warnt.

In Unternehmensumgebungen ist die Enterprise CA der Goldstandard, da sie zentrale Kontrolle ermöglicht und den manuellen Verteilungsaufwand auf Null reduziert. Für Ad-hoc-Szenarien oder kleine Netzwerke bietet der selbstsignierte Weg eine schnelle und effektive Abhilfe gegen die seit dem April-Update 2026 geltenden Einschränkungen. Signiere Deine Dateien grundsätzlich als letzten Schritt, nachdem die Konfiguration vollständig abgeschlossen ist.

Aktualisiert:
Teilen:
Autor

masterPhin

IT-Administrator, Blogger und PowerShell-Enthusiast. Schreibt über Microsoft 365, Linux und IT-Sicherheit.

0 Kommentare
Noch keine Kommentare

Sei der Erste und starte die Diskussion mit einem hilfreichen Beitrag.

Kommentar hinterlassen

Dein Beitrag wird vor der Veröffentlichung kurz geprüft — fachlich, respektvoll und auf den Punkt ist hier genau richtig.

E-Mail Adresse wird nicht veröffentlicht.