Windows Vista, 7, 8.x und 10 mit dem RDP Wrapper zum Terminalserver machen

„termsrv.dll“-Patches, bereits gepatchte DLLs oder Austausch mit der Server-Version gibt’s im Internet zu genüge, um aus einem Client-Windows wie es 7, 8.x und 10 nun mal sind, einen Terminalserver zu machen.

Einen etwas anderen Weg, ganz ohne Patch geht der RDP Wrapper (alternativ bei Github). Dieser lädt die Original-„termsrv.dll“ mit anderen Parametern, es wird also keine Systemdatei verändert. Folglich dürfte das Risiko sinken, das nach Windows Updates eine ungepatchte „termsrv.dll“-Version vorliegt und etwaige Tools erneut ausgeführt werden müssen.

Da in diesem Fall der Quellcode zur Verfügung steht, kann man mögliche Sicherheitsbedenken, das z.B. ein Trojaner in so einem Tool steckt, ausschließen. Prüft man die im Archiv enthaltenen Dateien z.B. bei VirusTotal gibt es keine bis wenige Treffer, dabei kann es sich aber gut um False-Positives handeln.

Die Installation ist denkbar einfach:

  • Archiv herunterladen und entpacken.
  • Die Datei „bin\install.bat“ ausführen.

Es ist kein Neustart notwendig. Der RDP Wrapper läuft auf allen neueren Windows-Versionen, ganz gleich ob 32- oder 64-bit, Basic, Home oder Pro Edition. Einzig auf Windows Vista läuft’s nach Angaben auf der Homepage nicht ganz rund (Ob das etwas mit Vista an sich zu tun hat?!). Windows 2000, XP und Server 2003 werden nicht unterstützt.

Mit dem Tool „RDPConf.exe“ aus dem Archiv können ein paar grundlegende Einstellungen vorgenommen werden:

RDP Wrapper - RDPConf.exeWie immer gilt, das eine korrekte Lizenzierung zu beachten ist. Soll heißen: Pro „Quasi-WTS“-Benutzer muss eine entsprechende Windows-Lizenz im Schrank liegen + eine für den Quasi-Server an sich.

Update 30.11.2015

Seit dem 12.08.2015 steht die Version 1.6 des RDP Wrappers zur Verfügung. Neben dem vollständigen Support von Windows 10 wurde eine einfachere Methode zum Updaten integriert.

Zur Erinnerung: Der Wrapper ändert keine System-Dateien, sondern greift in die Kommunikation der Komponenten ein. Dabei wird eine INI-Datei verwendet. Wird diese geändert, so kann die Änderung einfach durch ausführen der „update.bat“ übernommen werden.

Zu finden ist die neue Version direkt bei GitHub:

https://github.com/binarymaster/rdpwrap/releases

https://github.com/stascorp/rdpwrap/releases

Eine aktuellere INI-Datei findet sich unter

https://github.com/binarymaster/rdpwrap/tree/master/res

https://github.com/stascorp/rdpwrap/tree/master/res

Zum Zeitpunkt als dieser Beitrag erstellt wurde bietete die INI-Datei vom 14.11.2015 Unterstützung für Windows 10 Build 1511 (10.0.10586.0).

Meinerseits wurde diese Version unter Windows 8.1 Pro, Windows Server 2012 R2 Standard (Eval) und Windows 10 Enterprise LTSB (Eval) erfolgreich getestet. Laut Readme/Changelog werden weitere Windows-Versionen bzw. -Editionen unterstützt.

Update 15.05.2016

GitHub-Links aktualisiert.

24 Gedanken zu „Windows Vista, 7, 8.x und 10 mit dem RDP Wrapper zum Terminalserver machen

  1. Wie lange schlage ich mich schon mit veschieden Patches für „termsrv.dll“ in den verschiedenen Windows-Versionen herum.

    RDP Wrapper läuft dagegen völlig unproblematisch und ist quasi deppensicher zu installieren.
    Danke für diesen Hinweis

  2. Hallo dieser RDP-Wrapper
    ist ein Segen für Anwender die ein „bisschen“ mehr von ihrem Windows erwarten ohne gleich eine Pro-Version zu brauchen.
    Der einzige Grund für mich eine Pro zu kaufen war immer dieser Remotedesktop…..

    Nun kann man seine Home Versionen Remote steuern ohne auf dubiose Tools wie Teamview angewiesen zu sein.
    Remotedesktops gibt es viele und das meiste ist privat kostenlos aber geht immer über fremde Server.
    Mit Dyndns und einem offenen Port kann seine Windows-Kiste super direkt steuern.
    Und dank W10 unterstützung kann ich auch meine Windows 7 / 8 home Versionen upgraden
    Super Tool

  3. Hallo, ich habe auch Win10 Home auf dem PC und möchte den RDP Wrapper einsetzen. Installiert ist er schon und für den Admin funktioniert es schon . Ich möchte mich aber mit meinem Benutzerkonto an dem PC anmelden welches ich auf diesem auch nutze. Da erhalte ich eine Fehlermeldung: Der angeforderte Zugriff auf eine Sitzung wurde verweigert

    Kann mir jemand bitte Helfen ?

  4. Hallo, ja den habe ich dieser Gruppe über die Konsole hinzugefügt. Kann ich diese Gruppe auch über die Gruppenrichtlinien prüfen ?

  5. Soweit ich weiß gibt es bei den Home-Editions keine Gruppenrichtlinien.
    Ist evtl. etwas in den Ereignisprotokollen zu finden?
    Ansonsten mal das Logging des RDP Wrappers aktivieren:

    „And for debugging purposes, you can create rdpwrap.txt in the root folder (C:rdpwrap.txt for example), so on the next start RDP Wrapper will log all its actions to this file.“

    Quelle:

    http://forums.mydigitallife.info/threads/55935-RDP-Wrapper-Library-%28works-with-Windows-8-1-Basic%29/page4

  6. Hallo,
    Gruppenrichtlinien habe ich jetzt installiert, aber noch nicht die Einstellung gefunden die auch Benutzer das Recht gibt RDP zu nutzen. Aktuell erhalten ich folgende Fehlermeldung:
    Der angeforderte Zugriff auf eine Sitzung wurde verweigert

    Ein Protokoll von RDP Wrapper finde ich unter C nicht, obwohl die Erstellung eines Protokoll aktiv ist. Wurde der Pfad geändert ?

  7. Zum Test habe ich mal Windows 10 Home 1511 + aktuelle Updates installiert, dann RDP Wrapper 1.6 + aktuelle INI-Datei.
    RD-Zugriff für Admins kein Problem, bei Standardbenutzern wird die Verbindung verweigert.
    Via „net localgroup“ sieht man, das keine Gruppe „Remotedesktopbenutzer“ existiert, anlegen hilft nichts, „Remoteverwaltungsbenutzer“ gilt nur für WMI.

    Soweit ich bei der Recherche gesehen habe, gibt es wohl mit den Home-Editions weitere Einschränkungen oder Probleme, von daher die Empfehlung, wenn man einen „Quasi-Terminalserver“ bauen möchte, besser eine Pro-Version als Basis zu verwenden.

  8. Guten Morgen Andy,

    genau so weit bin ich auch schon. Die Pro Version kostet glaube ich 175 €, und ich brauche davon nur den Terminaldienst was ich einfach zu teuer finde. Es muss doch eine Möglichkeit geben trotzdem als Standardbenutzer RDP nutzen zu können ? Wenn ich den Admin benutze ist der ganze Sicherheitsaspekt je weg und das möchte ich nicht. GPO sind installiert nur weiß ich nicht wo noch eine Einstellung verändert werden muss damit es funktioniert. Andere Terminaldienste wie Teamviewer bringen nicht das Vollbild so hin wie ich es möchte 🙁

  9. Bei kann er *.exe nicht finden und die Dateiendungen kenne ich auch alle Nicht

  10. > Bei kann er *.exe nicht finden und die Dateiendungen kenne ich auch alle Nicht

    Schätzungsweise fehlt da etwas in diesem Satz?!

    Die GitHub-Links wurden soeben aktualisiert, vielleicht klärt das bereits alles.

  11. Hallo
    Ich habe den RDP Wrapper unter Windows 7 problemlos eingesetzt. Im Juli habe ich das Upgrade auf Windows 10 (…586.0) durchgeführt. Dann den aktuellen Wrapper neu installiert. Seitdem gibt es Probleme mit der Tastatuseingabe d.h. User 1 schreibt auf seiner Tastatur, aber der Text erscheint auf dem Bildschirm von User 2. (verschiedene Benutzerkonten)!
    In der Wrapper Configuration ist alles grün!
    Was kann das sein?

  12. Hallo

    Ich teste den Wrapper nun schon eine Weile habe aber ein Problem. Sobald ein Remote User verbunden ist kann ich mich an diesem PC nicht mehr lokal mit einem anderen Account anmelden. Da steht dann da eine Warnung: „Ein anderer Benutzer ist angemeldet. Wenn Sie den Vorgang fortsetzen, wird die Verbindung dieses Benutzers getrennt….“
    Wie ist es möglich, das man sich remote und lokal gleichzeitig an einem Computer anleden kann?? (na klar mit unterschiedlichen Profilen)

  13. Aktuelleste Version vom Wrapper verwenden, falls diese schon auf dem Computer ist, mal die „update.bat“ ausführen, damit die ini-Datei aktualisiert wird.

  14. Ich bin kein Analyst von möglicher Schadsoftware. Was auf jeden Fall ein Problem sein kann ist, das man RDPWrapper silent bzw. auch remote installieren kann, so das der Benutzer nichts mitbekommt. Wer allerdings RDP z.B. nur per Port-Forwarding zum Internet hin freigibt öffnet damit ohne eine Sicherheitslücke (unabhängig von RDPWrapper).

    Seltsam finde ich in diesem Kontext, das der im genannten Artikel RDPPatcher von Februar 2017 stammt, während die RDPWrapper-Version 1.6.2 vom Dezember 2017 ist.

    Ob da was dran ist, kann man dahingehend prüfen, ob RDPWrapper abgesehen von ini-Update noch andere Server, wie im Artikel erwähnte C&C-Server, kontaktiert.

  15. Noch ein kleiner Nachtrag:

    Was natürlich auch sein kann ist, das RDPPatcher Code von RDPWrapper verwendet, ist ja schließlich Open Source.

    Edit 23:20:

    RDPPatcher nutzt laut Panda RDPWrapper:

    „Subsequently, it leaves another file (MD5: 78D4E9BA8F641970162260273722C887) in the %TEMP% directory. This file is a version of the application rdpwrap and is run via the runas command with the parameters “-i –s” in order to activate concurrent RDP sessions on the system.“

    Quelle: RDPPatcher, the Attack that Sells Access to your Computer at a Low Price

  16. Danke für die ausführliche Stellungnahme, Andy. Das hilft mir weiter. Ich hatte rdp-patcher einfach mit rdp-wrapper gleichgesetzt – was sich mir aufgrund der Virenwarnung in F-Secure aufgedrängt hat. Wenn es „false-positive“-Warnungen sind, so irritiert weiterhin, dass diese über so einen langen Zeitraum bestehen – ich kenne es eigentlich so, dass dies dann von den Virenscannern zeitnah korrigiert wird. Auch von Panda seit letztem Jahr nichts Neues.

    Eine Rückfrage zu Deiner obigen Info: „Wer allerdings RDP z.B. nur per Port-Forwarding zum Internet hin freigibt öffnet damit ohne eine Sicherheitslücke (unabhängig von RDPWrapper).“
    Wo finde ich diese Einstellungen (Windows10)?

  17. RDPPatcher vs. RDPWrapper:

    Das Problem scheint nicht RDPWrapper ansich, sondern der Missbrauch eben dieses durch andere zu sein.

    Windows-Firewall:

    Beim Setup erstellt der RDPWrapper automatisch eine Regel in der Windows-Firewall mit dem Namen „Remote Desktop“ (ohne irgendwas hinterdran), diese erlaubt für alle Netzwerkkategorien den Zugriff. Im LAN/Heimnetz ist das meist kein Problem, sofern man nicht in seinem Router ebenfalls RDP (Port 3389/tcp) zum Internet hin freigibt. Bei einem Notebook das unterwegs verwendet wird kann das schon ungut sein, daher diese Regel ändern oder deaktivieren. Es gibt vordefinierte Regeln von Microsoft die man verwenden/anpassen kann. Das kommt ganz auf die eigene Situation/Umgebung darauf an, was man da haben möchte oder bevorzugt.

    False-Positive:

    Da kenne ich leider eingiges anderes, wie z.B. hier im Blog das leidige Thema mit ClamAV und meinen AutoIt-Skripten bzw. daraus kopilierten Exe-Dateien.
    Bis heute wurde da nichts gewhitelistet bzw. korrigiert, ein Feedback auf meine Meldungen kam ebenfalls nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.