Mirosoft macht mal wieder typische Microsoft Dinge. Eine Passwörtänderung bewirkt bei Microsoft Konten bei RDP-Einwahlen genau nichts. Vorbei an Online-Prüfungen, zweiten Faktoren und Gruppenrichtlinien hat Microsoft seit Jahren heimlich und undokumentiert entschieden, dass alte Passwörter weiterhin für RDP-Anmeldungen akzeptiert werden, selbst wenn diese längst ersetzt wurden.1
Entscheidend für das “Credential Caching” ist die Erstanmeldung an einem System mit dem Microsoft- oder Azure-Konto. Bei dieser Online-Erstvalidierung wird quasi ein dauerhafter Zugang eingerichtet. Man nennt sowas auch Backdoor.2
Spätere Anmeldeversuche werden nur noch lokal geprüft. Wurde das Passwort des Microsoft-Kontos in der Zwischenzeit geändert, so bleiben die Daten im Cache des lokalen Rechners unberührt. Eine Anmeldung an einen Terminalserver funktioniert weiterhin. Ein erneuter Onlineabgleich findet nicht statt.3
Ein Fix ist nicht geplant. Das ganze sei gewollt, der Usability wegen, so Microsoft. Selbst wenn jemand alles zurücksetzte: Passwörter, TOTP Tokens oder komplett zu Passkeys wechselt ist eine Anmeldung weiterhin möglich.4
Das meine Damen und Herren ist einer der Gründe, warum ADs (und somit produktive Terminalserver) nur isoliert vom Internet betrieben werden sollten. Alles in meinen sieben Security-Tipps beschrieben.5 Wer seine Authentifizierung in die Hände von Dritten legt, ist lost und hat alle seine Schutzziele6 über Bord geworfen.
In Anbetracht der Tatsache, dass die meisten ein Windows nur noch mit einem Microsoft-Konto betreiben dürften,7 sollte am besten gar keine Windows-Clients zur Anmeldung an Terminalservern genutzt werden.
Da ist es auch nicht mehr überraschend, wenn selbst jahrelange Product-Manager bei Microsoft sich angewidert abwenden nachdem sie eine Stunde zur Arbeit mit Windows gezwungen wurden.8
In diesem Sinne,
Tomas Jakobs