Schützen von Remotedesktopanmeldeinformationen mit Windows Defender Remote Credential Guard

Betrifft

  • Windows 10
  • Windows Server 2016

In Windows 10 Version 1607 eingeführt, hilft Ihnen Windows Defender Remote Credential Guard, Ihre Anmeldeinformationen über eine Remotedesktopverbindung zu schützen, indem Kerberos-Anforderungen zurück an das Gerät umgeleitet werden, das die Verbindung anfordert. Es bietet auch Einmaliges Anmelden für Remotedesktopsitzungen.

Administratoranmeldeinformationen sind streng privilegierte und müssen geschützt werden. Durch die Verwendung von Windows Defender Remote Credential Guard zum Herstellen einer Verbindung während Remotedesktopsitzungen werden Ihre Anmeldeinformationen nicht verfügbar gemacht, wenn das Zielgerät kompromittiert ist, da sowohl Anmeldeinformationen als auch Ableitungen von Anmeldeinformationen nie über das Netzwerk an das Zielgerät übergeben werden.

Wichtig

Informationen zu Remotedesktop-Verbindungsszenarien im Zusammenhang mit Helpdesk-Support finden Sie unter Remotedesktopverbindungen und Helpdesk-Supportszenarien in diesem Artikel.

Vergleich von Windows Defender Remote Credential Guard mit anderen Remotedesktop-Verbindungsoptionen

Das folgende Diagramm hilft Ihnen zu verstehen, wie eine Standard-Remotedesktopsitzung auf einem Server ohne Windows Defender Remote Credential Guard funktioniert:

RDP-Verbindung mit einem Server ohne Windows Defender Remoteanmeldeinformationen Guard.png.


Das folgende Diagramm hilft Ihnen zu verstehen, wie Windows Defender Remote Credential Guard funktioniert, wovor es geschützt ist, und vergleicht es mit der Option "Eingeschränkter Administratormodus":

Windows Defender Remote Credential Guard.


Wie dargestellt, blockiert Windows Defender Remote Credential Guard NTLM (nur Kerberos zulassen), verhindert Pass-the-Hash (PtH)-Angriffe und verhindert auch die Verwendung von Anmeldeinformationen nach der Trennung.

Verwenden Sie die folgende Tabelle, um verschiedene Sicherheitsoptionen für Remotedesktopverbindungen zu vergleichen:

Feature Remotedesktop Windows Defender Remote Credential Guard Eingeschränkter Administratormodus
Vorteile des Schutzes Anmeldeinformationen auf dem Server sind nicht vor Pass-the-Hash-Angriffen geschützt. Benutzeranmeldeinformationen verbleiben auf dem Client. Ein Angreifer kann nur dann im Namen des Benutzers handeln, wenn die Sitzung ausgeführt wird. Der Benutzer meldet sich als lokaler Administrator beim Server an, sodass ein Angreifer nicht im Namen des "Domänenbenutzers" handeln kann. Jeder Angriff ist lokal auf dem Server.
Versionsunterstützung Der Remotecomputer kann ein beliebiges Windows Betriebssystem ausführen. Sowohl der Client als auch der Remotecomputer müssen mindestens Windows 10, Version 1607 oder Windows Server 2016ausgeführt werden. Auf dem Remotecomputer muss mindestens Windows 7 gepatchte oder gepatchte Windows Server 2008 R2ausgeführt werden.

Weitere Informationen zu Patches (Softwareupdates) im Zusammenhang mit dem eingeschränkten Administratormodus finden Sie unter Microsoft Security Advisory 2871997.
Trägt dazu bei, dies zu verhindern                                   Nicht verfügbar         
  • Übergeben des Hashwerts
  • Verwenden von Anmeldeinformationen nach der Trennung
  • Übergeben des Hashwerts
  • Verwenden der Domänenidentität während der Verbindung
Vom Remotedesktopclientgerät unterstützte Anmeldeinformationen
  • Angemeldet bei Anmeldeinformationen
  • Angegebene Anmeldeinformationen
  • Gespeicherte Anmeldeinformationen
  • Nur bei Anmeldeinformationen angemeldet
  • Angemeldet bei Anmeldeinformationen
  • Angegebene Anmeldeinformationen
  • Gespeicherte Anmeldeinformationen
Access Benutzer sind zulässig, d. h. Mitglieder der Remotedesktopbenutzergruppe des Remotehosts. Benutzer sind zulässig, d. h. Mitglieder von Remotedesktopbenutzern des Remotehosts. Nur Administratoren, d. h. nur Mitglieder der Gruppe "Administratoren" des Remotehosts.
Netzwerkidentität Remotedesktopsitzung stellt eine Verbindung mit anderen Ressourcen als angemeldeter Benutzerher. Remotedesktopsitzung stellt eine Verbindung mit anderen Ressourcen als angemeldeter Benutzerher. Remotedesktopsitzung stellt eine Verbindung mit anderen Ressourcen als Remotehostidentitäther.
Multi-Hop Vom Remotedesktop aus können Sie über Remotedesktop eine Verbindung mit einem anderen Computer herstellen. Vom Remotedesktop aus können Sie eine Verbindung über Remotedesktop mit einem anderen Computer herstellen. Nicht zulässig für Benutzer, da die Sitzung als lokales Hostkonto ausgeführt wird
Unterstützte Authentifizierung Ein beliebiges verhandelbares Protokoll. Nur Kerberos. Ein beliebiges verhandelbares Protokoll

Weitere technische Informationen finden Sie unter Remotedesktopprotokoll und Funktionsweise von Kerberos.


Szenarien für Remotedesktopverbindungen und Helpdesk-Support

Für Helpdesk-Supportszenarien, in denen Mitarbeiter administrativen Zugriff benötigen, um Computerbenutzern Remoteunterstützung über Remotedesktopsitzungen bereitzustellen, empfiehlt Microsoft, Windows Defender Remote Credential Guard in diesem Kontext nicht zu verwenden. Dies liegt daran, dass der Angreifer, wenn eine RDP-Sitzung an einen kompromittierten Client initiiert wird, den ein Angreifer bereits kontrolliert, diesen geöffneten Kanal verwenden könnte, um Sitzungen im Namen des Benutzers (ohne Beeinträchtigung der Anmeldeinformationen) zu erstellen, um für einen begrenzten Zeitraum (ein paar Stunden) nach der Sitzungstrennung auf die Ressourcen des Benutzers zuzugreifen.

Daher wird empfohlen, stattdessen die Option "Eingeschränkter Administratormodus" zu verwenden. Für Helpdesk-Supportszenarien sollten RDP-Verbindungen nur mithilfe der Option /RestrictedAdmin initiiert werden. Dadurch wird sichergestellt, dass Anmeldeinformationen und andere Benutzerressourcen nicht für kompromittierte Remotehosts verfügbar gemacht werden. Weitere Informationen finden Sie unter "Minimieren von Pass-the-Hash" und "Anderer Diebstahl von Anmeldeinformationen v2".

Um die Sicherheit weiter zu erhöhen, empfiehlt es sich außerdem, die local Administrator Password Solution (LAPS) zu implementieren, eine in Windows 8.1 eingeführte Gruppenrichtlinien-Clienterweiterung (Group Policy Client-Side Extension, CSE), die die Lokale Administratorkennwortverwaltung automatisiert. LAPS verringert das Risiko einer lateralen Eskalation und anderer Cyberangriffe, die erleichtert werden, wenn Kunden auf allen Ihren Computern dasselbe lokale Administratorkonto und die gleiche Kennwortkombination verwenden. Sie können LAPS hierherunterladen und installieren.

Weitere Informationen zu LAPS finden Sie unter Microsoft Security Advisory 3062591.

Anforderungen an Remote Credential Guard

Um Windows Defender Remote Credential Guard zu verwenden, müssen der Remotedesktopclient und der Remotehost die folgenden Anforderungen erfüllen:

Das Remotedesktopclientgerät:

  • Muss mindestens Windows 10 Version 1703 ausgeführt werden, um Anmeldeinformationen angeben zu können, die an das Remotegerät gesendet werden. Dadurch können Benutzer als unterschiedliche Benutzer ausgeführt werden, ohne Anmeldeinformationen an den Remotecomputer senden zu müssen.

  • Muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden, um die angemeldeten Anmeldeinformationen des Benutzers zu verwenden. Dies erfordert, dass sich das Benutzerkonto sowohl beim Clientgerät als auch beim Remotehost anmelden kann.

  • Muss die klassische Remotedesktop-Windows-Anwendung ausführen. Die Universelle Remotedesktop-Windows plattformanwendung unterstützt Windows Defender Remote Credential Guard nicht.

  • Muss die Kerberos-Authentifizierung verwenden, um eine Verbindung mit dem Remotehost herzustellen. Wenn der Client keine Verbindung mit einem Domänencontroller herstellen kann, versucht RDP, zu NTLM zurückzukehren. Windows Defender Remote Credential Guard lässt kein NTLM-Fallback zu, da dadurch Anmeldeinformationen riskant sind.

Remotedesktop-Remotehost:

  • Muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden.
  • Eingeschränkte Administratorverbindungen müssen zugelassen werden.
  • Muss dem Domänenbenutzer des Clients den Zugriff auf Remotedesktopverbindungen gestatten.
  • Muss die Delegierung nicht exportierbarer Anmeldeinformationen zulassen.

Es gibt keine Hardwareanforderungen für Windows Defender Remote Credential Guard.

Hinweis

Remotedesktopclientgeräte, auf denen frühere Versionen ausgeführt werden, unterstützen mindestens Windows 10 Version 1607 nur angemeldete Anmeldeinformationen, sodass das Clientgerät auch einer Active Directory-Domäne hinzugefügt werden muss. Sowohl der Remotedesktopclient als auch der Server müssen entweder derselben Domäne angehören, oder der Remotedesktopserver kann mit einer Domäne verknüpft werden, die eine Vertrauensstellung zur Domäne des Clientgeräts aufweist.

GPO-Remotehost ermöglicht die Delegierung von nicht exportierbaren Anmeldeinformationen, die für die Delegierung von nicht exportierbaren Anmeldeinformationen aktiviert werden sollten.

  • Damit Windows Defender Remote Credential Guard unterstützt wird, muss sich der Benutzer mithilfe der Kerberos-Authentifizierung beim Remotehost authentifizieren.

  • Der Remotehost muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden.

  • Die klassische Remotedesktop-Windows-App ist erforderlich. Die App für universelle Remotedesktop-Windows-Plattform unterstützt Windows Defender Remote Credential Guard nicht.

Aktivieren von Windows Defender Remote Credential Guard

Sie müssen den eingeschränkten Administrator oder Windows Defender Remote Credential Guard auf dem Remotehost mithilfe der Registrierung aktivieren.

  1. Öffnen Sie den Registrierungs-Editor auf dem Remotehost.

  2. Aktivieren Sie den eingeschränkten Administrator und Windows Defender Remote Credential Guard:

    • Wechseln Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

    • Fügen Sie einen neuen DWORD-Wert namens DisableRestrictedAdminhinzu.

    • Um den eingeschränkten Administrator und Windows Defender Remote Credential Guard zu aktivieren, legen Sie den Wert dieser Registrierungseinstellung auf 0 fest, um Windows Defender Remote Credential Guard zu aktivieren.

  3. Schließen Sie den Registrierungs-Editor.

Sie können dies hinzufügen, indem Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Verwenden von Windows Defender Remote Credential Guard

Ab Windows 10 Version 1703 können Sie Windows Defender Remote Credential Guard auf dem Clientgerät entweder mithilfe von Gruppenrichtlinien oder mithilfe eines Parameters mit der Remotedesktopverbindung aktivieren.

Aktivieren Windows Defender Remote Credential Guard mithilfe von Gruppenrichtlinien

  1. Wechseln Sie in der Gruppenrichtlinien-Verwaltungskonsole zur **** -> **** -> **** -> Systemanmeldeinformationsdelegierungfür die Computerkonfiguration administrativer Vorlagen.

  2. Doppelklicken Sie auf Delegierung von Anmeldeinformationen an Remoteserver einschränken.

    Windows Defender Remote-Credential Guard-Gruppenrichtlinie.

  3. Verwenden Sie unter "Verwenden des folgenden eingeschränkten Modus" den folgenden eingeschränkten Modus:

    • Wenn Sie entweder den eingeschränkten Administratormodus oder Windows Defender Remote Credential Guard benötigen möchten, wählen Sie "Delegierung von Anmeldeinformationen einschränken" aus. In dieser Konfiguration wird Windows Defender Remote Credential Guard bevorzugt, verwendet jedoch den eingeschränkten Administratormodus (sofern unterstützt), wenn Windows Defender Remote Credential Guard nicht verwendet werden kann.

      Hinweis

      Weder Windows Defender Remote Credential Guard noch der eingeschränkte Administratormodus sendet Anmeldeinformationen als Klartext an den Remotedesktopserver.

    • Wenn Sie Windows Defender Remote Credential Guard benötigen möchten, wählen Sie Remote Credential Guard erforderlich. Mit dieser Einstellung ist eine Remotedesktopverbindung nur erfolgreich, wenn der Remotecomputer die weiter oben in diesem Thema aufgeführten Anforderungen erfüllt.

    • Wenn Sie den eingeschränkten Administratormodus benötigen möchten, wählen Sie "Eingeschränkten Administrator anfordern" aus. Informationen zum eingeschränkten Administratormodus finden Sie weiter oben in diesem Thema in der Tabelle im Vergleich Windows Defender Remote Credential Guard mit anderen Remotedesktop-Verbindungsoptionen.

  4. Klicken Sie auf OK.

  5. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

  6. Führen Sie an einer Eingabeaufforderung gpupdate.exe /force aus, um sicherzustellen, dass das Gruppenrichtlinienobjekt angewendet wird.

Verwenden von Windows Defender Remote Credential Guard mit einem Parameter für die Remotedesktopverbindung

Wenn Sie keine Gruppenrichtlinie in Ihrer Organisation verwenden oder wenn nicht alle Remotehosts Remote Credential Guard unterstützen, können Sie den Parameter "remoteGuard" hinzufügen, wenn Sie die Remotedesktopverbindung starten, um Windows Defender Remote Credential Guard für diese Verbindung zu aktivieren.

mstsc.exe /remoteGuard

Hinweis

Der Benutzer muss zum Herstellen einer Verbindung mit dem Remoteserver mithilfe des Remotedesktopprotokolls autorisiert sein, z. B. als Mitglied der lokalen Gruppe "Remotedesktopbenutzer" auf dem Remotecomputer.

Überlegungen bei der Verwendung von Windows Defender Remote Credential Guard

  • Windows Defender Remote Credential Guard unterstützt keine verbundbasierte Authentifizierung. Wenn Sie beispielsweise versuchen, von einem Remotehost, der einen Geräteanspruch erfordert, auf einen Dateiserver zuzugreifen, wird der Zugriff verweigert.

  • Windows Defender Remote Credential Guard kann nur verwendet werden, wenn eine Verbindung mit einem Gerät hergestellt wird, das mit einer Windows Server Active Directory Domäne verbunden ist, einschließlich ad-domänenverbundener Server, die als virtuelle Azure-Computer (VMs) ausgeführt werden. Windows Defender Remote Credential Guard kann nicht verwendet werden, wenn eine Verbindung mit Remotegeräten hergestellt wird, die mit Azure Active Directory verbunden sind.

  • Remotedesktop-Credential Guard funktioniert nur mit dem RDP-Protokoll.

  • Es werden keine Anmeldeinformationen an das Zielgerät gesendet, aber das Zielgerät erwirbt weiterhin Kerberos-Diensttickets selbst.

  • Server und Client müssen sich mit Kerberos authentifizieren.