Remote Credential Guard

Übersicht

Remote Credential Guard hilft beim Schutz von Anmeldeinformationen über eine Remotedesktopverbindung (RDP), indem Kerberos-Anforderungen zurück an das Gerät weitergeleitet werden, das die Verbindung anfordert. Wenn das Zielgerät kompromittiert wird, werden die Anmeldeinformationen nicht verfügbar gemacht, da sowohl Anmeldeinformationen als auch Ableitungen von Anmeldeinformationen nie über das Netzwerk an das Zielgerät übergeben werden. Remote Credential Guard bietet auch Einmaliges Anmelden für Remotedesktopsitzungen.

In diesem Artikel wird beschrieben, wie Sie Remote Credential Guard konfigurieren und verwenden.

Wichtig

Informationen zu Remotedesktopverbindungsszenarien mit Helpdeskunterstützung finden Sie in diesem Artikel unter Remotedesktopverbindungen und Helpdesk-Supportszenarien .

Vergleichen von Remote Credential Guard mit anderen Verbindungsoptionen

Die Verwendung einer Remotedesktopsitzung ohne Remote Credential Guard hat die folgenden Auswirkungen auf die Sicherheit:

  • Anmeldeinformationen werden an den Remotehost gesendet und auf diesem gespeichert.
  • Anmeldeinformationen sind nicht vor Angreifern auf dem Remotehost geschützt.
  • Angreifer kann Anmeldeinformationen nach der Trennung verwenden

Zu den Sicherheitsvorteilen von Remote Credential Guard gehören:

  • Anmeldeinformationen werden nicht an den Remotehost gesendet.
  • Während der Remotesitzung können Sie mithilfe von SSO eine Verbindung mit anderen Systemen herstellen.
  • Ein Angreifer kann nur im Namen des Benutzers handeln, wenn die Sitzung ausgeführt wird.

Zu den Sicherheitsvorteilen des eingeschränkten Admin-Modus gehören:

  • Anmeldeinformationen werden nicht an den Remotehost gesendet.
  • Die Remotedesktopsitzung stellt als Identität des Remotehosts eine Verbindung mit anderen Ressourcen bereit.
  • Ein Angreifer kann nicht im Namen des Benutzers handeln, und jeder Angriff erfolgt lokal auf dem Server.

Verwenden Sie die folgende Tabelle, um verschiedene Optionen für die Remotedesktopverbindungssicherheit zu vergleichen:

Feature Remotedesktop Remote Credential Guard Eingeschränkter Admin-Modus
Einmaliges Anmelden (Single Sign-On, SSO) bei anderen Systemen als angemeldeter Benutzer
RdP mit mehreren Hops
Verhindern der Verwendung der Benutzeridentität während der Verbindung
Verhindern der Verwendung von Anmeldeinformationen nach der Trennung
Verhindern von Pass-the-Hash (PtH)
Unterstützte Authentifizierung Jedes verhandelbare Protokoll Nur Kerberos Jedes verhandelbare Protokoll
Vom Remotedesktopclientgerät unterstützte Anmeldeinformationen – Angemeldete Anmeldeinformationen
– Angegebene Anmeldeinformationen
– Gespeicherte Anmeldeinformationen
– Angemeldete Anmeldeinformationen
– Angegebene Anmeldeinformationen
– Angemeldete Anmeldeinformationen
– Angegebene Anmeldeinformationen
– Gespeicherte Anmeldeinformationen
RDP-Zugriff gewährt mit Mitgliedschaft in der Gruppe "Remotedesktopbenutzer" auf dem Remotehost Mitgliedschaft in der Gruppe "Remotedesktopbenutzer" auf dem Remotehost Mitgliedschaft in der Gruppe "Administratoren" auf dem Remotehost

Remote Credential Guard-Anforderungen

Um Remote Credential Guard verwenden zu können, müssen der Remotehost und der Client die folgenden Anforderungen erfüllen.

Der Remotehost:

  • Muss dem Benutzer den Zugriff über Remotedesktopverbindungen erlauben
  • Muss die Delegierung nicht exportierbarer Anmeldeinformationen an das Clientgerät zulassen.

Das Clientgerät:

  • Die Windows-Remotedesktopanwendung muss ausgeführt werden. Die Remotedesktop-Universelle Windows-Plattform-Anwendung (UWP) unterstützt Remote Credential Guard nicht.
  • Muss die Kerberos-Authentifizierung verwenden, um eine Verbindung mit dem Remotehost herzustellen. Wenn der Client keine Verbindung mit einem Domänencontroller herstellen kann, versucht RDP, auf NTLM zurückzugreifen. Remote Credential Guard lässt kein NTLM-Fallback zu, da dadurch Anmeldeinformationen einem Risiko ausgesetzt wären

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Remote Credential Guard unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Ja Ja Ja Ja

Remote Credential Guard-Lizenzberechtigungen werden durch die folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Ja Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Aktivieren der Delegierung nicht exportierbarer Anmeldeinformationen auf den Remotehosts

Diese Richtlinie ist auf den Remotehosts erforderlich, um den Modus "Remote Credential Guard" und "Eingeschränkte Admin" zu unterstützen. Dadurch kann der Remotehost nicht exportierbare Anmeldeinformationen an das Clientgerät delegieren.
Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, werden eingeschränkte Admin und der Remote Credential Guard-Modus nicht unterstützt. Benutzer müssen ihre Anmeldeinformationen an den Host übergeben, wodurch sie dem Risiko des Diebstahls von Anmeldeinformationen durch Angreifer auf dem Remotehost ausgesetzt sind.

Um die Delegierung nicht exportierbarer Anmeldeinformationen auf den Remotehosts zu aktivieren, können Sie Folgendes verwenden:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie
  • Registrierung

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Delegierung von Systemanmeldeinformationen > für administrative Vorlagen > Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen. Aktiviert

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.

Einstellung
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
- Datentyp: Zeichenfolge
- Wert:<enabled/>

Konfigurieren der Delegierung von Anmeldeinformationen auf den Clients

Um Remote Credential Guard auf den Clients zu aktivieren, können Sie eine Richtlinie konfigurieren, die die Delegierung von Anmeldeinformationen an die Remotehosts verhindert.

Tipp

Wenn Sie Ihre Clients nicht für die Erzwingung von Remote Credential Guard konfigurieren möchten, können Sie den folgenden Befehl verwenden, um Remote Credential Guard für eine bestimmte RDP-Sitzung zu verwenden:

mstsc.exe /remoteGuard

Wenn der Server die RDS-Hostrolle hostet, funktioniert der Befehl nur, wenn der Benutzer ein Administrator des Remotehosts ist.

Die Richtlinie kann je nach Sicherheitsstufe, die Sie erzwingen möchten, unterschiedliche Werte aufweisen:

  • Deaktiviert: Eingeschränkte Admin und Remote Credential Guard-Modus werden nicht erzwungen, und der Remotedesktopclient kann Anmeldeinformationen an Remotegeräte delegieren.

  • Eingeschränkte Admin erforderlich: Der Remotedesktopclient muss eingeschränkte Admin verwenden, um eine Verbindung mit Remotehosts herzustellen.

  • Remote Credential Guard erforderlich: Remotedesktopclient muss Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen.

  • Delegierung von Anmeldeinformationen einschränken: Der Remotedesktopclient muss eingeschränkte Admin oder Remote Credential Guard verwenden, um eine Verbindung mit Remotehosts herzustellen. In dieser Konfiguration wird Remote Credential Guard bevorzugt, verwendet jedoch den Eingeschränkten Admin Modus (sofern unterstützt), wenn Remote Credential Guard nicht verwendet werden kann.

    Hinweis

    Wenn Die Delegierung von Anmeldeinformationen einschränken aktiviert ist, wird der /restrictedAdmin Schalter ignoriert. Windows erzwingt stattdessen die Richtlinienkonfiguration und verwendet Remote Credential Guard.

Zum Konfigurieren Ihrer Clients können Sie Folgendes verwenden:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Delegierung von Systemanmeldeinformationen > für administrative Vorlagen > Einschränken der Delegierung von Anmeldeinformationen auf Remoteserver Wählen Sie Aktiviert aus, und wählen Sie in der Dropdownliste eine der Optionen aus:
- Einschränken der Delegierung von Anmeldeinformationen
- Remote Credential Guard erforderlich

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem Richtlinien-CSP konfigurieren.

Einstellung
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- Datentyp: Zeichenfolge
- Wert:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>

Mögliche Werte für RestrictedRemoteAdministrationDrop sind:
- 0:Deaktiviert
- 1: Eingeschränkte Admin erforderlich
- 2: Remote Credential Guard erforderlich
- 3: Delegierung von Anmeldeinformationen einschränken

Benutzerfreundlichkeit

Sobald ein Client die Richtlinie erhält, können Sie mithilfe von Remote Credential Guard eine Verbindung mit dem Remotehost herstellen, indem Sie den Remotedesktopclient (mstsc.exe) öffnen. Der Benutzer wird automatisch beim Remotehost authentifiziert:

Hinweis

Der Benutzer muss berechtigt sein, mithilfe des Remotedesktopprotokolls eine Verbindung mit dem Remoteserver herzustellen, z. B. indem er Mitglied der lokalen Gruppe Remotedesktopbenutzer auf dem Remotehost ist.

Supportszenarien für Remotedesktopverbindungen und Helpdesk

Für Helpdesk-Supportszenarien, in denen Mitarbeiter administrativen Zugriff über Remotedesktopsitzungen benötigen, wird die Verwendung von Remote Credential Guard nicht empfohlen. Wenn eine RDP-Sitzung für einen bereits kompromittierten Client initiiert wird, könnte der Angreifer diesen offenen Kanal verwenden, um Sitzungen im Namen des Benutzers zu erstellen. Der Angreifer kann für einen begrenzten Zeitraum auf die Ressourcen des Benutzers zugreifen, nachdem die Sitzung getrennt wurde.

Es wird empfohlen, stattdessen die Option Eingeschränkter Admin modus zu verwenden. Für Helpdesk-Supportszenarien sollten RDP-Verbindungen nur über den /RestrictedAdmin Switch initiiert werden. Dadurch wird sichergestellt, dass Anmeldeinformationen und andere Benutzerressourcen nicht für kompromittierte Remotehosts verfügbar gemacht werden. Weitere Informationen finden Sie unter Mildern von Pass-the-Hash und anderen Anmeldeinformationsdiebstahl v2.

Um die Sicherheit weiter zu erhöhen, wird auch empfohlen, die Kennwortlösung für lokale Administratoren (Windows Local Administrator Password Solution, LAPS) zu implementieren, die die Kennwortverwaltung für lokale Administratoren automatisiert. LAPS verringert das Risiko einer Lateraleskalation und anderer Cyberangriffe, die erleichtert werden, wenn Kunden auf allen Computern dieselbe Kombination aus lokalem Administratorkonto und Kennwort verwenden.

Weitere Informationen zu LAPS finden Sie unter Was ist Windows LAPS?

Überlegungen

Im Folgenden finden Sie einige Überlegungen zu Remote Credential Guard:

  • Remote Credential Guard unterstützt keine Verbundauthentifizierung. Wenn Sie beispielsweise versuchen, von einem Remotehost aus auf einen Dateiserver zuzugreifen, der einen Geräteanspruch erfordert, wird der Zugriff verweigert.
  • Remote Credential Guard kann nur verwendet werden, wenn eine Verbindung mit einem Gerät hergestellt wird, das mit einer Active Directory-Domäne verknüpft ist. Es kann nicht verwendet werden, wenn eine Verbindung mit Remotegeräten hergestellt wird, die mit Microsoft Entra ID
  • Remote Credential Guard kann von einem Microsoft Entra verbundenen Client verwendet werden, um eine Verbindung mit einem in Active Directory eingebundenen Remotehost herzustellen, solange der Client sich mit Kerberos authentifizieren kann.
  • Remote Credential Guard funktioniert nur mit dem RDP-Protokoll
  • Es werden keine Anmeldeinformationen an das Zielgerät gesendet, aber das Zielgerät erwirbt weiterhin selbst Kerberos-Diensttickets.
  • Server und Client müssen sich mithilfe von Kerberos authentifizieren.
  • Remote Credential Guard wird nur für direkte Verbindungen mit den Zielcomputern unterstützt. Verbindungen über den Remotedesktop-Verbindungsbroker und das Remotedesktopgateway werden nicht unterstützt.