Remote Credential Guard
Übersicht
Remote Credential Guard hilft beim Schutz von Anmeldeinformationen über eine Remotedesktopverbindung (RDP), indem Kerberos-Anforderungen zurück an das Gerät weitergeleitet werden, das die Verbindung anfordert. Wenn das Zielgerät kompromittiert wird, werden die Anmeldeinformationen nicht verfügbar gemacht, da sowohl Anmeldeinformationen als auch Ableitungen von Anmeldeinformationen nie über das Netzwerk an das Zielgerät übergeben werden. Remote Credential Guard bietet auch Einmaliges Anmelden für Remotedesktopsitzungen.
In diesem Artikel wird beschrieben, wie Sie Remote Credential Guard konfigurieren und verwenden.
Wichtig
Informationen zu Remotedesktopverbindungsszenarien mit Helpdeskunterstützung finden Sie in diesem Artikel unter Remotedesktopverbindungen und Helpdesk-Supportszenarien .
Vergleichen von Remote Credential Guard mit anderen Verbindungsoptionen
Die Verwendung einer Remotedesktopsitzung ohne Remote Credential Guard hat die folgenden Auswirkungen auf die Sicherheit:
- Anmeldeinformationen werden an den Remotehost gesendet und auf diesem gespeichert.
- Anmeldeinformationen sind nicht vor Angreifern auf dem Remotehost geschützt.
- Angreifer kann Anmeldeinformationen nach der Trennung verwenden
Zu den Sicherheitsvorteilen von Remote Credential Guard gehören:
- Anmeldeinformationen werden nicht an den Remotehost gesendet.
- Während der Remotesitzung können Sie mithilfe von SSO eine Verbindung mit anderen Systemen herstellen.
- Ein Angreifer kann nur im Namen des Benutzers handeln, wenn die Sitzung ausgeführt wird.
Zu den Sicherheitsvorteilen des Eingeschränkten Administratormodus gehören:
- Anmeldeinformationen werden nicht an den Remotehost gesendet.
- Die Remotedesktopsitzung stellt als Identität des Remotehosts eine Verbindung mit anderen Ressourcen bereit.
- Ein Angreifer kann nicht im Namen des Benutzers handeln, und jeder Angriff erfolgt lokal auf dem Server.
Verwenden Sie die folgende Tabelle, um verschiedene Optionen für die Remotedesktopverbindungssicherheit zu vergleichen:
Feature | Remotedesktop | Remote Credential Guard | Eingeschränkter Administratormodus |
---|---|---|---|
Einmaliges Anmelden (Single Sign-On, SSO) bei anderen Systemen als angemeldeter Benutzer | ✅ | ✅ | ❌ |
RdP mit mehreren Hops | ✅ | ✅ | ❌ |
Verhindern der Verwendung der Benutzeridentität während der Verbindung | ❌ | ❌ | ✅ |
Verhindern der Verwendung von Anmeldeinformationen nach der Trennung | ❌ | ✅ | ✅ |
Verhindern von Pass-the-Hash (PtH) | ❌ | ✅ | ✅ |
Unterstützte Authentifizierung | Jedes verhandelbare Protokoll | Nur Kerberos | Jedes verhandelbare Protokoll |
Vom Remotedesktopclientgerät unterstützte Anmeldeinformationen | – Angemeldete Anmeldeinformationen – Angegebene Anmeldeinformationen – Gespeicherte Anmeldeinformationen |
– Angemeldete Anmeldeinformationen – Angegebene Anmeldeinformationen |
– Angemeldete Anmeldeinformationen – Angegebene Anmeldeinformationen – Gespeicherte Anmeldeinformationen |
RDP-Zugriff gewährt mit | Mitgliedschaft in der Gruppe "Remotedesktopbenutzer" auf dem Remotehost | Mitgliedschaft in der Gruppe "Remotedesktopbenutzer" auf dem Remotehost | Mitgliedschaft in der Gruppe "Administratoren" auf dem Remotehost |
Remote Credential Guard-Anforderungen
Um Remote Credential Guard verwenden zu können, müssen der Remotehost und der Client die folgenden Anforderungen erfüllen.
Der Remotehost:
- Muss dem Benutzer den Zugriff über Remotedesktopverbindungen erlauben
- Muss die Delegierung nicht exportierbarer Anmeldeinformationen an das Clientgerät zulassen.
Das Clientgerät:
- Die Windows-Remotedesktopanwendung muss ausgeführt werden. Die Anwendung für die universelle Windows-Plattform (UWP) für Remotedesktop unterstützt Remote Credential Guard nicht.
- Muss die Kerberos-Authentifizierung verwenden, um eine Verbindung mit dem Remotehost herzustellen. Wenn der Client keine Verbindung mit einem Domänencontroller herstellen kann, versucht RDP, auf NTLM zurückzugreifen. Remote Credential Guard lässt kein NTLM-Fallback zu, da dadurch Anmeldeinformationen einem Risiko ausgesetzt wären
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Remote Credential Guard unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Ja | Ja | Ja | Ja |
Remote Credential Guard-Lizenzberechtigungen werden durch die folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Aktivieren der Delegierung nicht exportierbarer Anmeldeinformationen auf den Remotehosts
Diese Richtlinie ist auf den Remotehosts erforderlich, um remote Credential Guard und den eingeschränkten Administratormodus zu unterstützen. Dadurch kann der Remotehost nicht exportierbare Anmeldeinformationen an das Clientgerät delegieren.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden der Eingeschränkte Administratormodus und der Remote-Credential Guard-Modus nicht unterstützt. Benutzer müssen ihre Anmeldeinformationen an den Host übergeben, wodurch sie dem Risiko des Diebstahls von Anmeldeinformationen durch Angreifer auf dem Remotehost ausgesetzt sind.
Um die Delegierung nicht exportierbarer Anmeldeinformationen auf den Remotehosts zu aktivieren, können Sie Folgendes verwenden:
- Microsoft Intune/MDM
- Gruppenrichtlinie
- Registrierung
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
Kategorie | Einstellungsname | Wert |
---|---|---|
Delegierung von Systemanmeldeinformationen > für administrative Vorlagen > | Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen. | Aktiviert |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.
Einstellung |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - Datentyp: Zeichenfolge - Wert: <enabled/> |
Konfigurieren der Delegierung von Anmeldeinformationen auf den Clients
Um Remote Credential Guard auf den Clients zu aktivieren, können Sie eine Richtlinie konfigurieren, die die Delegierung von Anmeldeinformationen an die Remotehosts verhindert.
Tipp
Wenn Sie Ihre Clients nicht für die Erzwingung von Remote Credential Guard konfigurieren möchten, können Sie den folgenden Befehl verwenden, um Remote Credential Guard für eine bestimmte RDP-Sitzung zu verwenden:
mstsc.exe /remoteGuard
Wenn der Server die RDS-Hostrolle hostet, funktioniert der Befehl nur, wenn der Benutzer ein Administrator des Remotehosts ist.
Die Richtlinie kann je nach Sicherheitsstufe, die Sie erzwingen möchten, unterschiedliche Werte aufweisen:
Deaktiviert: Eingeschränkter Administrator - und Remote Credential Guard-Modus werden nicht erzwungen, und der Remotedesktopclient kann Anmeldeinformationen an Remotegeräte delegieren.
Eingeschränkter Administrator erforderlich: Der Remotedesktopclient muss den eingeschränkten Administrator verwenden, um eine Verbindung mit Remotehosts herzustellen.
Remote Credential Guard erforderlich: Remotedesktopclient muss Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen.
Delegierung von Anmeldeinformationen einschränken: Der Remotedesktopclient muss eingeschränkter Administrator oder Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen. In dieser Konfiguration wird Remote Credential Guard bevorzugt, verwendet jedoch den eingeschränkten Administratormodus (sofern unterstützt), wenn Remote Credential Guard nicht verwendet werden kann.
Hinweis
Wenn Die Delegierung von Anmeldeinformationen einschränken aktiviert ist, wird der
/restrictedAdmin
Schalter ignoriert. Windows erzwingt stattdessen die Richtlinienkonfiguration und verwendet Remote Credential Guard.
Zum Konfigurieren Ihrer Clients können Sie Folgendes verwenden:
- Microsoft Intune/MDM
- Gruppenrichtlinie
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
Kategorie | Einstellungsname | Wert |
---|---|---|
Delegierung von Systemanmeldeinformationen > für administrative Vorlagen > | Einschränken der Delegierung von Anmeldeinformationen auf Remoteserver | Wählen Sie Aktiviert aus, und wählen Sie in der Dropdownliste eine der Optionen aus: - Einschränken der Delegierung von Anmeldeinformationen - Remote Credential Guard erforderlich |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.
Einstellung |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - Datentyp: Zeichenfolge - Wert: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> Mögliche Werte für RestrictedRemoteAdministrationDrop sind:- 0 :Arbeitsunfähig- 1 : Eingeschränkter Administrator erforderlich- 2 : Remote Credential Guard erforderlich- 3 : Delegierung von Anmeldeinformationen einschränken |
Benutzerfreundlichkeit
Sobald ein Client die Richtlinie erhält, können Sie mithilfe von Remote Credential Guard eine Verbindung mit dem Remotehost herstellen, indem Sie den Remotedesktopclient (mstsc.exe
) öffnen. Der Benutzer wird automatisch beim Remotehost authentifiziert:
Hinweis
Der Benutzer muss berechtigt sein, mithilfe des Remotedesktopprotokolls eine Verbindung mit dem Remoteserver herzustellen, z. B. indem er Mitglied der lokalen Gruppe Remotedesktopbenutzer auf dem Remotehost ist.
Supportszenarien für Remotedesktopverbindungen und Helpdesk
Für Helpdesk-Supportszenarien, in denen Mitarbeiter administrativen Zugriff über Remotedesktopsitzungen benötigen, wird die Verwendung von Remote Credential Guard nicht empfohlen. Wenn eine RDP-Sitzung für einen bereits kompromittierten Client initiiert wird, könnte der Angreifer diesen offenen Kanal verwenden, um Sitzungen im Namen des Benutzers zu erstellen. Der Angreifer kann für einen begrenzten Zeitraum auf die Ressourcen des Benutzers zugreifen, nachdem die Sitzung getrennt wurde.
Es wird empfohlen, stattdessen die Option Eingeschränkter Administratormodus zu verwenden. Für Helpdesk-Supportszenarien sollten RDP-Verbindungen nur über den /RestrictedAdmin
Switch initiiert werden. Dadurch wird sichergestellt, dass Anmeldeinformationen und andere Benutzerressourcen nicht für kompromittierte Remotehosts verfügbar gemacht werden. Weitere Informationen finden Sie unter Mildern von Pass-the-Hash und anderen Anmeldeinformationsdiebstahl v2.
Um die Sicherheit weiter zu erhöhen, wird auch empfohlen, die Kennwortlösung für lokale Administratoren (Windows Local Administrator Password Solution, LAPS) zu implementieren, die die Kennwortverwaltung für lokale Administratoren automatisiert. LAPS verringert das Risiko einer Lateraleskalation und anderer Cyberangriffe, die erleichtert werden, wenn Kunden auf allen Computern dieselbe Kombination aus lokalem Administratorkonto und Kennwort verwenden.
Weitere Informationen zu LAPS finden Sie unter Was ist Windows LAPS?
Überlegungen
Im Folgenden finden Sie einige Überlegungen zu Remote Credential Guard:
- Remote Credential Guard unterstützt keine Verbundauthentifizierung. Wenn Sie beispielsweise versuchen, von einem Remotehost aus auf einen Dateiserver zuzugreifen, der einen Geräteanspruch erfordert, wird der Zugriff verweigert.
- Remote Credential Guard kann nur verwendet werden, wenn eine Verbindung mit einem Gerät hergestellt wird, das mit einer Active Directory-Domäne verknüpft ist. Es kann nicht verwendet werden, wenn eine Verbindung mit Remotegeräten hergestellt wird, die mit der Microsoft Entra-ID verknüpft sind.
- Remote Credential Guard kann von einem in Microsoft Entra eingebundenen Client verwendet werden, um eine Verbindung mit einem in Active Directory eingebundenen Remotehost herzustellen, solange sich der Client mit Kerberos authentifizieren kann.
- Remote Credential Guard funktioniert nur mit dem RDP-Protokoll
- Es werden keine Anmeldeinformationen an das Zielgerät gesendet, aber das Zielgerät erwirbt weiterhin selbst Kerberos-Diensttickets.
- Server und Client müssen sich mithilfe von Kerberos authentifizieren.
- Remote Credential Guard wird nur für direkte Verbindungen mit den Zielcomputern unterstützt. Verbindungen über den Remotedesktop-Verbindungsbroker und das Remotedesktopgateway werden nicht unterstützt.