13
RDP Verbindung "klonen"?
Hi,
ich habe auf einem Netzwerk PC eine RDP Verbindung des "Benutzers 1", auf den Desktop des "Benutzers 2" kopiert.
Diese kopierte RDP Verbindung fragt immer wieder nach Name und Passwort und deklariert diese dann als falsch, obwohl korrekt eingegeben.
Das letzte Mal als ich eine RDP Verbindung so kopiert habe, war vor ca. 8 Jahren.
Von einem Windows 7 PC auf den Desktop eines Windows 10 Laptops.
Ich meine mich zu erinnern das damals einmalig nach einem Passwort gefragt wurde und dann wurde die Verbindung problemlos aufgebaut.
Via Google finde ich ich nicht sehr viel dazu, aber es scheint nicht (mehr) ohne Weiteres möglich zu sein eine RDP Verbindung einfach so zu kopieren bzw. zu "klonen"? (z.B. auf einen anderen Computer bzw. auf den Desktop eines zweiten Nutzers)
Ich habe noch kein Tool ala "mimikatz" benutzt, um zu versuchen das Passwort der original RDP Verbindung auszulesen, nur um sicher zu gehen das es wirklich "das Passwort vom Zettel ist" den man mir gegeben hat.
Ich habe mittlerweile auch ein wenig das Gefühl, das die Gegenstelle das gar nicht möchte, das "mehrere Nutzer" diese eine RDP Verbindung einsetzen (Lizenzfrage?). Es ist eine kleine Werkstatt mit Windows Server 2016 und 5 PCs. Einer davon hat besagte RDP Verbindung auf dem Desktop.
Ich landete dann schliesslich bei diesem Spiceworks Eintrag, was nicht so wirklich das wiederspiegelt was ich ich versuchen soll:
https://community.spiceworks.com/t/cloning-rdp-accounts/787548
Ich erhoffe mir hier nicht irgenwelche illegalen Tips, im Gegenteil, ich möchte es besser verstehen.
Dann bin ich dort gelandet:
https://community.spiceworks.com/t/microsoft-remote-desktop-connection-e ...
Ist es nicht mehr möglich RDP Verbindungen (inkl. credentials) "einfach so" zu kopieren?
Der Zielcomputer scheint die "kopierte" RDP Verbindung dann nicht mehr korrekt zu deuten?
Wo liegen die Hürden bzw. Sicherheitsmechanismen? Kann/ist eine RDP Verbindung an eienn Rechner "gekoppelt"?
Wo kann ich mich dazu mehr einlesen um es besser zu verstehen?
Das es eine "Plain text" Datei ist und "der Rest" im "Credential Manager" verweilt, versuche ich gerade besser zu verstehen.
p.s.
"mimikatz" habe ich erwähnt, weil die Kollegen sich nicht mehr so ganz sicher sind, ob es das korrekte Passwort auf dem Zettel ist...das würde die ständige Abfrage nach Name/Passwort dann schnell erklären. ^^
ich habe auf einem Netzwerk PC eine RDP Verbindung des "Benutzers 1", auf den Desktop des "Benutzers 2" kopiert.
Diese kopierte RDP Verbindung fragt immer wieder nach Name und Passwort und deklariert diese dann als falsch, obwohl korrekt eingegeben.
Das letzte Mal als ich eine RDP Verbindung so kopiert habe, war vor ca. 8 Jahren.
Von einem Windows 7 PC auf den Desktop eines Windows 10 Laptops.
Ich meine mich zu erinnern das damals einmalig nach einem Passwort gefragt wurde und dann wurde die Verbindung problemlos aufgebaut.
Via Google finde ich ich nicht sehr viel dazu, aber es scheint nicht (mehr) ohne Weiteres möglich zu sein eine RDP Verbindung einfach so zu kopieren bzw. zu "klonen"? (z.B. auf einen anderen Computer bzw. auf den Desktop eines zweiten Nutzers)
Ich habe noch kein Tool ala "mimikatz" benutzt, um zu versuchen das Passwort der original RDP Verbindung auszulesen, nur um sicher zu gehen das es wirklich "das Passwort vom Zettel ist" den man mir gegeben hat.
Ich habe mittlerweile auch ein wenig das Gefühl, das die Gegenstelle das gar nicht möchte, das "mehrere Nutzer" diese eine RDP Verbindung einsetzen (Lizenzfrage?). Es ist eine kleine Werkstatt mit Windows Server 2016 und 5 PCs. Einer davon hat besagte RDP Verbindung auf dem Desktop.
Ich landete dann schliesslich bei diesem Spiceworks Eintrag, was nicht so wirklich das wiederspiegelt was ich ich versuchen soll:
https://community.spiceworks.com/t/cloning-rdp-accounts/787548
Ich erhoffe mir hier nicht irgenwelche illegalen Tips, im Gegenteil, ich möchte es besser verstehen.
Dann bin ich dort gelandet:
https://community.spiceworks.com/t/microsoft-remote-desktop-connection-e ...
Ist es nicht mehr möglich RDP Verbindungen (inkl. credentials) "einfach so" zu kopieren?
Der Zielcomputer scheint die "kopierte" RDP Verbindung dann nicht mehr korrekt zu deuten?
Wo liegen die Hürden bzw. Sicherheitsmechanismen? Kann/ist eine RDP Verbindung an eienn Rechner "gekoppelt"?
Wo kann ich mich dazu mehr einlesen um es besser zu verstehen?
Das es eine "Plain text" Datei ist und "der Rest" im "Credential Manager" verweilt, versuche ich gerade besser zu verstehen.
p.s.
"mimikatz" habe ich erwähnt, weil die Kollegen sich nicht mehr so ganz sicher sind, ob es das korrekte Passwort auf dem Zettel ist...das würde die ständige Abfrage nach Name/Passwort dann schnell erklären. ^^
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5951576939
Url: https://administrator.de/contentid/5951576939
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
die RDP-Datei ist tatsächlich eine reine Textdatei, einfach mal mit einem Viewer (oder notfalls Notepad) öffnen und anschauen. Dann siehst Du, dass die Zugangsdaten dort nicht enthalten sind. Diese sind tatsächlich im Credential Manager (deutsch: Anmeldeinformationsverwaltung, in der Systemsteuerung) hinterlegt und werden nicht kopiert, müssen also erneut eingegeben werden.
Mehr dazu: Anmeldeinformationen im Microsoft RDP Client speichern und verwalten für SSO und Windows RDP Client speichert Passwort nicht
Also da mal schauen, ob da schon eine Verbindung gespeichert ist. Diese löschen, von vorne anfangen. Wenn dann immer noch Fehler auftreten, dann ist die naheliegenste Vermutung wohl richtig: Passwort falsch.
Gruß
DivideByZero
die RDP-Datei ist tatsächlich eine reine Textdatei, einfach mal mit einem Viewer (oder notfalls Notepad) öffnen und anschauen. Dann siehst Du, dass die Zugangsdaten dort nicht enthalten sind. Diese sind tatsächlich im Credential Manager (deutsch: Anmeldeinformationsverwaltung, in der Systemsteuerung) hinterlegt und werden nicht kopiert, müssen also erneut eingegeben werden.
Mehr dazu: Anmeldeinformationen im Microsoft RDP Client speichern und verwalten für SSO und Windows RDP Client speichert Passwort nicht
Also da mal schauen, ob da schon eine Verbindung gespeichert ist. Diese löschen, von vorne anfangen. Wenn dann immer noch Fehler auftreten, dann ist die naheliegenste Vermutung wohl richtig: Passwort falsch.
Gruß
DivideByZero
1
Hi,
als Tipp mal: Versuch mal die Windows Remotedesktop (rotes Symbol)
Ich habe an einem Standort das Problem dass die Remotedesktopverbindung (rdp-Datei) nicht funktioniert. Immer wieder Benutzer / Kennwortabfrage. Nehme ich das Programm Remotedesktop so funktioniert es.
Gruß
als Tipp mal: Versuch mal die Windows Remotedesktop (rotes Symbol)
Ich habe an einem Standort das Problem dass die Remotedesktopverbindung (rdp-Datei) nicht funktioniert. Immer wieder Benutzer / Kennwortabfrage. Nehme ich das Programm Remotedesktop so funktioniert es.
Gruß
Hi, Danke für die Rückmeldungen.
das Passwort scheint tatsächlich falsch zu sein. Auch der "rote" RDP meckert. Danke für das Tool!
Auslesen der RDP credentials mit gängigen Methoden und Tools (google) brachte keinen Erfolg.
Momentan habe ich noch eine Dump-Datei einer SVCHOST hier (mit process hacker angefertigt), die im HexEditor betrachtet leider nicht weitergeholfen hat und auch mit vorhanden DMP-Tools nicht so wirklich harmoniert.
Das Häkchen in der RDP Datei bei "Immer Anmeldeinformationen anfordern" ist nicht gesetzt.
Müsste also irgendwo liegen...
Fast alles was sonst noch an Credentials im "User-Ordner" bzw. im Netzwerk vorhanden war, zeigte Mimikatz mir korrekt an. Fast.
Nur bei der rdp Verbindung scheint das gar nicht zu funktionieren. Weil wohl nur serverseitig möglich?
Die "Anmeldeinformationsverwaltung" zeigt ja (zum Glück) auch keine Passwörter für Windows Anmeldungen an.
Laut Googlesuche muss ich mich wohl weiter auf den Credential Ordner des angemeldeten Nutzers fokussieren.
Andere Möglichkeiten wie netpass oder credentialviewer halfen ja leider auch nicht.
Und nein, jemanden anrufen um am andere Ende nach dem Passwort zu fragen, ist keine Option, denn dort ist absolut keine Hilfe zu erwarten.
das Passwort scheint tatsächlich falsch zu sein. Auch der "rote" RDP meckert. Danke für das Tool!
Auslesen der RDP credentials mit gängigen Methoden und Tools (google) brachte keinen Erfolg.
Momentan habe ich noch eine Dump-Datei einer SVCHOST hier (mit process hacker angefertigt), die im HexEditor betrachtet leider nicht weitergeholfen hat und auch mit vorhanden DMP-Tools nicht so wirklich harmoniert.
Das Häkchen in der RDP Datei bei "Immer Anmeldeinformationen anfordern" ist nicht gesetzt.
Müsste also irgendwo liegen...
Fast alles was sonst noch an Credentials im "User-Ordner" bzw. im Netzwerk vorhanden war, zeigte Mimikatz mir korrekt an. Fast.
Nur bei der rdp Verbindung scheint das gar nicht zu funktionieren. Weil wohl nur serverseitig möglich?
Die "Anmeldeinformationsverwaltung" zeigt ja (zum Glück) auch keine Passwörter für Windows Anmeldungen an.
Laut Googlesuche muss ich mich wohl weiter auf den Credential Ordner des angemeldeten Nutzers fokussieren.
Andere Möglichkeiten wie netpass oder credentialviewer halfen ja leider auch nicht.
Und nein, jemanden anrufen um am andere Ende nach dem Passwort zu fragen, ist keine Option, denn dort ist absolut keine Hilfe zu erwarten.
??
Einfach das Passwort zurücksetzen, fertig.
Einfach das Passwort zurücksetzen, fertig.
Verzeiht mir meine Unwissenheit, aber diese RDP Verbindung (zu irgendeinem Windows Server in Deutschland), wurde vor ca. 5 Jahren mal via Teamviewer vor irgendjemanden eingerichtet. Der hat damals auch das Passwort gesetzt.
Ich habe sehr lange nicht mehr mit Windows RDP gearbeitet und bin auch nicht mehr der Jüngste, aber kann ich auf dem Client tatsächlich "einfach so" das Kennwort ändern?
Der Server am Enderen Ende muss das doch verifizieren oder etwa nicht?
Oder wird dort nur die IP bzw der PC Name geprüft?
Das wäre ja viel zu einfach, nachdem ich nun so schwere Geschütze aufgefahren habe...
Diese "Credentials" scheine ich aber nicht zu finden, um dort einmal reinzuluschern.
Ich habe sehr lange nicht mehr mit Windows RDP gearbeitet und bin auch nicht mehr der Jüngste, aber kann ich auf dem Client tatsächlich "einfach so" das Kennwort ändern?
Der Server am Enderen Ende muss das doch verifizieren oder etwa nicht?
Oder wird dort nur die IP bzw der PC Name geprüft?
Das wäre ja viel zu einfach, nachdem ich nun so schwere Geschütze aufgefahren habe...
Diese "Credentials" scheine ich aber nicht zu finden, um dort einmal reinzuluschern.
Verzeiht mir meine Unwissenheit, aber diese RDP Verbindung (zu irgendeinem Windows Server in Deutschland), wurde vor ca. 5 Jahren mal via Teamviewer vor irgendjemanden eingerichtet. Der hat damals auch das Passwort gesetzt.
Dann wird es aber dringend Zeit, das Passwort einmal zu ändern...Ich habe sehr lange nicht mehr mit Windows RDP gearbeitet und bin auch nicht mehr der Jüngste, aber kann ich auf dem Client tatsächlich "einfach so" das Kennwort ändern?
Der Server am Enderen Ende muss das doch verifizieren oder etwa nicht?
Ja, selbstverständlich muss das Passwort erst am Server und dann am Client geändert werden, wie denn sonst?Der Server am Enderen Ende muss das doch verifizieren oder etwa nicht?
Als angemeldeter Administrator in einem Administrator-Forum ist das eine recht interessante Frage...
Diese "Credentials" scheine ich aber nicht zu finden, um dort einmal reinzuluschern.
Du hast aber schon einmal das gelesen, was ich Dir oben verlinkt habe, oder?Natürlich kannst Du die nicht einfach auslesen, das ist das, was über die Anmeldeinformationsverwaltung gesteuert und im Credential Store gespeichert ist.
Also:
1. Am Server das Passwort für den Benutzer ändern
2. Am Client in der Anmeldeinformationsverwaltung die Zugangsdaten löschen (nicht notwendig, aber empfehlenswert)
3. Verbindung aufbauen, aktuelle Daten eingeben, fertig.
Geht das nicht, dann Pech gehabt.
Am Server sitzt praktisch niemand mehr.
Ein verwaistes System ohne admin, das nur darauf wartet endlich abgeschaltet zu werden, sollte es in Zukunft keine Nutzer mehr geben die sich dort einloggen. Der läuft praktisch nur noch aus Kulanz.
Klar habe ich das da oben gelesen, danke dafür, aber dann sind meine schweren Geschütze ja doch nicht ganz so verkehrt im Ansatz gewesen.
Die Verbindung baut sich ja über die original RDP Datei (unter dem Benutzerkonto) auf und cih war mit dem "Credentials" Ordner auf einem guten (Holz)weg wie es scheint.
So weit ich jetzt verstanden habe, liegt das RDP Passwort irgendwo dort und kann mit svchost Dumps, mimikatz etc. auch Clientseitig angezeigt werden. Wie gesagt, MEIN Verständnis so weit.
Ein verwaistes System ohne admin, das nur darauf wartet endlich abgeschaltet zu werden, sollte es in Zukunft keine Nutzer mehr geben die sich dort einloggen. Der läuft praktisch nur noch aus Kulanz.
Klar habe ich das da oben gelesen, danke dafür, aber dann sind meine schweren Geschütze ja doch nicht ganz so verkehrt im Ansatz gewesen.
Die Verbindung baut sich ja über die original RDP Datei (unter dem Benutzerkonto) auf und cih war mit dem "Credentials" Ordner auf einem guten (Holz)weg wie es scheint.
So weit ich jetzt verstanden habe, liegt das RDP Passwort irgendwo dort und kann mit svchost Dumps, mimikatz etc. auch Clientseitig angezeigt werden. Wie gesagt, MEIN Verständnis so weit.
Wenn Du Dich auf dem alten System/Client per RDP auf den Server verbindest, was hast Du denn da als Benutzer für Rechte (auf dem Server)? Wenn das ein Admin-Benutzer ist, kannst Du
a) einfach ein neues Passwort setzen (würde ich nicht machen, denn wenn Du da etwas falsch machst, sperrst Du Dich auch vom alten Client aus aus)
b) einfach einen neuen Benutzer mit RDP-Rechten anlegen und den dann einsetzen
Interessehalber: was ist das für ein System? Wer macht so etwas?
P.S.: Hast Du schon versucht, einfach die hinterlegten Einträge am alten PC zu exportieren und am neuen zu importieren?
a) einfach ein neues Passwort setzen (würde ich nicht machen, denn wenn Du da etwas falsch machst, sperrst Du Dich auch vom alten Client aus aus)
b) einfach einen neuen Benutzer mit RDP-Rechten anlegen und den dann einsetzen
Interessehalber: was ist das für ein System? Wer macht so etwas?
P.S.: Hast Du schon versucht, einfach die hinterlegten Einträge am alten PC zu exportieren und am neuen zu importieren?
rundll32.exe keymgr.dll,KRShowKeyMgr
Hi,
das ist tatsächlich ein Windows Server 2022 und dort hat man absolut keinerlei Rechte.
Es gibt keinen Ansprechpartner mehr, das wurde damals auch so vereinbart.
Ich werde mich auch hüten auf dem Server noch irgendetwas einzustellen. Über die Rechte mit dem RDP Benutzer aber wie gesagt auch gar nicht möglich.
Dort läuft ein urtaltes Teile-Bestellsystem (Datenbank?) aus dem KFZ Bereich.
Ich sage lieber nicht wer dahintersteckt, auch weil für die Kollegen der Werkstatt hier damals eine ganz große Ausnahme gemacht wurde.
Würde mich wirklich sehr über eine (einfache) Lösung freuen, wie ich die kompletten RDP "Credentials" dieser Verbindung (inkl. Passwort) finde und dann auf demselben PC unter einem neue Windows Benutzer wieder importieren kann. Ich habe mit mimikatz und svchost Dumps schon viel zu viel Zeit verschwendet. War aber spannend. ;)
https://pentestlab.blog/2021/05/24/dumping-rdp-credentials/
https://github.com/ParrotSec/mimikatz
das ist tatsächlich ein Windows Server 2022 und dort hat man absolut keinerlei Rechte.
Es gibt keinen Ansprechpartner mehr, das wurde damals auch so vereinbart.
Ich werde mich auch hüten auf dem Server noch irgendetwas einzustellen. Über die Rechte mit dem RDP Benutzer aber wie gesagt auch gar nicht möglich.
Dort läuft ein urtaltes Teile-Bestellsystem (Datenbank?) aus dem KFZ Bereich.
Ich sage lieber nicht wer dahintersteckt, auch weil für die Kollegen der Werkstatt hier damals eine ganz große Ausnahme gemacht wurde.
Würde mich wirklich sehr über eine (einfache) Lösung freuen, wie ich die kompletten RDP "Credentials" dieser Verbindung (inkl. Passwort) finde und dann auf demselben PC unter einem neue Windows Benutzer wieder importieren kann. Ich habe mit mimikatz und svchost Dumps schon viel zu viel Zeit verschwendet. War aber spannend. ;)
https://pentestlab.blog/2021/05/24/dumping-rdp-credentials/
https://github.com/ParrotSec/mimikatz
P.S.: Hast Du schon versucht, einfach die hinterlegten Einträge am alten PC zu exportieren und am neuen zu importieren?
rundll32.exe keymgr.dll,KRShowKeyMgr
Alle "Credentials" als CRD Datei speichern hatte ich in der Anmeldeinformationsverwaltung schon gesehen.
Es wird alles außer WEB Passwörtern gespeichert.
Ist das so ziemlich genau derselbs Weg wie credwiz.exe?
Die Bezeichnungen sind, bis auf einige Auffällige wie "@outlook", ja ziemlich nichtssagend.
Und mit dem "Credentials File Viewer" kann ich dann angeblich diese Datei im Klartext lesen.
Nur das RDP Passwort auslesen wäre mir dann natürlich am liebsten.
Wenn ich jetzt also alle diese "Credentials" unter einem anderen, angemeldeten Netzwerkbenutzer wiederherstelle (hier ist auch eine kleine Domäne eingerichtet), muss ich mich dann auf eventuelle Komplikationen vorbereiten? Ich benötige ja auch gar nicht alle. Auf jeden Fall nochmals Danke, aber da muss ich mich wohl zusätzlich auch noch viel mehr einlesen.
Nach dem Export aller Credentials habe ich diese unter dem neuen Nutzer wieder importiert.
Es waren unter Domaintarget 2 TERMSRV (PC Name und Nutzer) und eine RDP Verbindung aufgelistet.
Zusammen mit der "alten" RDP Verknüpfung, die ich auch rüberkopiert habe, funktioniert es jetzt einwandfrei.
(Eine neu erstellte RDP-Datei schreit immer nach einem Gateway und zeigt mir nie Benutzer an, den ich aber eingetragen habe. Irgendwann habe ich dann aufgegeben, möchte aber trotzdem gerne noch verstehen was die Ursache war)
Das Passwort hatte sich tatsächlich nicht verändert.
Es waren unter Domaintarget 2 TERMSRV (PC Name und Nutzer) und eine RDP Verbindung aufgelistet.
Zusammen mit der "alten" RDP Verknüpfung, die ich auch rüberkopiert habe, funktioniert es jetzt einwandfrei.
(Eine neu erstellte RDP-Datei schreit immer nach einem Gateway und zeigt mir nie Benutzer an, den ich aber eingetragen habe. Irgendwann habe ich dann aufgegeben, möchte aber trotzdem gerne noch verstehen was die Ursache war)
Das Passwort hatte sich tatsächlich nicht verändert.
Zitat von @BOOTSTRAP:
Nach dem Export aller Credentials habe ich diese unter dem neuen Nutzer wieder importiert.
Es waren unter Domaintarget 2 TERMSRV (PC Name und Nutzer) und eine RDP Verbindung aufgelistet.
Zusammen mit der "alten" RDP Verknüpfung, die ich auch rüberkopiert habe, funktioniert es jetzt einwandfrei.
Na, dann läuft ja alles wieder, gut so.Nach dem Export aller Credentials habe ich diese unter dem neuen Nutzer wieder importiert.
Es waren unter Domaintarget 2 TERMSRV (PC Name und Nutzer) und eine RDP Verbindung aufgelistet.
Zusammen mit der "alten" RDP Verknüpfung, die ich auch rüberkopiert habe, funktioniert es jetzt einwandfrei.
(Eine neu erstellte RDP-Datei schreit immer nach einem Gateway und zeigt mir nie Benutzer an, den ich aber eingetragen habe. Irgendwann habe ich dann aufgegeben, möchte aber trotzdem gerne noch verstehen was die Ursache war)
Einfach die alte und die neue RDP-Datei vergleichen. Wie gesagt, das sind Textdateien, da ist nichts Geheimnisvolles dran.Gruß
DivideByZero
P.S.: Und dann noch Wie kann ich einen Beitrag als gelöst markieren?
1
