Proteggere le credenziali di Desktop remoto con Windows Defender Remote Credential Guard

Si applica a

  • Windows 10
  • Windows Server 2016

Introdotto in Windows 10, versione 1607, Windows Defender Remote Credential Guard consente di proteggere le credenziali tramite una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che richiede la connessione. Offre inoltre esperienze single sign-on per le sessioni desktop remoto.

Le credenziali di amministratore sono altamente privilegiate e devono essere protette. Usando Windows Defender Remote Credential Guard per connettersi durante le sessioni di Desktop remoto, se il dispositivo di destinazione è compromesso, le credenziali non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai passate in rete al dispositivo di destinazione.

Importante

Per informazioni sugli scenari di connessione desktop remoto che coinvolgono il supporto helpdesk, vedere Remote Desktop connections and helpdesk support scenarios in this article.

Confronto Windows Defender Remote Credential Guard con altre opzioni di connessione desktop remoto

Il diagramma seguente consente di comprendere il funzionamento di una sessione desktop remoto standard in un server senza Windows Defender Remote Credential Guard:

Connessione RDP a un server senza Windows Defender credenziali remote Guard.png.


Il diagramma seguente consente di comprendere il funzionamento Windows Defender Remote Credential Guard, la protezione e confrontarlo con l'opzione Modalità di amministrazione con restrizioni:

Windows Defender Remote Credential Guard.


Come illustrato, Windows Defender Remote Credential Guard blocca NTLM (consentendo solo Kerberos), impedisce gli attacchi pass-the-hash (PtH) e impedisce anche l'utilizzo delle credenziali dopo la disconnessione.

Utilizzare la tabella seguente per confrontare diverse opzioni di sicurezza della connessione Desktop remoto:

Funzionalità Desktop remoto Windows Defender Remote Credential Guard Modalità amministratore con restrizioni
Vantaggi di protezione Le credenziali nel server non sono protette da attacchi pass-the-hash. Le credenziali utente rimangono nel client. Un utente malintenzionato ** può agire per conto dell'utente solo quando la sessione è in corso L'utente accede al server come amministratore locale, quindi un utente malintenzionato non può agire per conto dell'"utente di dominio". Qualsiasi attacco è locale al server
Supporto della versione Il computer remoto può eseguire qualsiasi Windows operativo Sia il client che il computer remoto devono eseguire almeno Windows 10 versione 1607 o Windows Server 2016. Il computer remoto deve eseguire almeno patch Windows 7 o patch Windows Server 2008 R2.

Per ulteriori informazioni sulle patch (aggiornamenti software) correlate alla modalità di amministrazione con restrizioni, vedere Microsoft Security Advisory 2871997.
Aiuta a             evitare                       N/D         
  • Pass-the-Hash
  • Utilizzo di una credenziale dopo la disconnessione
  • Pass-the-Hash
  • Utilizzo dell'identità del dominio durante la connessione
Credenziali supportate dal dispositivo client desktop remoto
  • Credenziali di accesso
  • Credenziali fornite
  • Credenziali salvate
  • Solo credenziali di accesso
  • Credenziali di accesso
  • Credenziali fornite
  • Credenziali salvate
Access Utenti consentiti, cio? membri del gruppo Utenti Desktop remoto dell'host remoto. Utenti consentiti, cio? membri di Utenti Desktop remoto dell'host remoto. Solo amministratori, cio? solo membri del gruppo Administrators dell'host remoto.
Identità di rete La sessione desktop remoto si connette ad altre risorse come utente connesso. La sessione desktop remoto si connette ad altre risorse come utente connesso. La sessione Desktop remoto si connette ad altre risorse come identità dell'host remoto.
Multi hop Dal desktop remoto, è possibile connettersi tramite Desktop remoto a un altro computer Dal desktop remoto, è possibile connettersi tramite Desktop remoto a un altro computer. Non consentito per l'utente perché la sessione è in esecuzione come account host locale
Autenticazione supportata Qualsiasi protocollo negoziabile. Solo Kerberos. Qualsiasi protocollo negoziabile

Per ulteriori informazioni tecniche, vedere Remote Desktop Protocol e How Kerberos works.


Connessioni Desktop remoto e scenari di supporto helpdesk

Per gli scenari di supporto dell'helpdesk in cui il personale richiede l'accesso amministrativo per fornire assistenza remota agli utenti di computer tramite sessioni desktop remoto, Microsoft consiglia di non usare Windows Defender Remote Credential Guard in tale contesto. Ciò è dovuto al fatto che se una sessione RDP viene avviata a un client compromesso che un utente malintenzionato controlla già, l'utente malintenzionato potrebbe utilizzare tale canale aperto per creare sessioni per conto dell'utente (senza compromettere le credenziali) per accedere a una delle risorse dell'utente per un periodo di tempo limitato (poche ore) dopo la disconnessione della sessione.

Pertanto, ti consigliamo di usare l'opzione Modalità di amministrazione con restrizioni. Per gli scenari di supporto helpdesk, le connessioni RDP devono essere avviate solo utilizzando l'opzione /RestrictedAdmin. In questo modo si garantisce che le credenziali e altre risorse utente non siano esposte a host remoti compromessi. Per ulteriori informazioni, vedere Mitigating Pass-the-Hash and Other Credential Theft v2.

Per migliorare ulteriormente la sicurezza, è inoltre consigliabile implementare Local Administrator Password Solution (LAPS), un'estensione sul lato client (CSE) di Criteri di gruppo introdotta in Windows 8.1 che automatizza la gestione delle password dell'amministratore locale. LAPS riduce il rischio di escalation laterale e altri attacchi informatici facilitati quando i clienti usano la stessa combinazione di account locale amministrativo e password su tutti i computer. È possibile scaricare e installare LAPS qui.

Per ulteriori informazioni sui criteri di sicurezza, vedere Microsoft Security Advisory 3062591.

Requisiti di Remote Credential Guard

Per utilizzare Windows Defender Remote Credential Guard, il client Desktop remoto e l'host remoto devono soddisfare i requisiti seguenti:

Il dispositivo client Desktop remoto:

  • Deve essere in esecuzione almeno Windows 10 versione 1703 per poter fornire le credenziali, che vengono inviate al dispositivo remoto. In questo modo gli utenti possono essere eseguiti come utenti diversi senza dover inviare credenziali al computer remoto.

  • Deve essere in esecuzione almeno Windows 10 versione 1607 o Windows Server 2016 utilizzare le credenziali di accesso dell'utente. Ciò richiede che l'account dell'utente sia in grado di accedere sia al dispositivo client che all'host remoto.

  • Deve essere in esecuzione l'applicazione Windows Desktop remoto. L'applicazione Remote Desktop Universal Windows Platform non supporta Windows Defender Remote Credential Guard.

  • Deve utilizzare l'autenticazione Kerberos per connettersi all'host remoto. Se il client non è in grado di connettersi a un controller di dominio, RDP tenta di eseguire il fall back a NTLM. Windows Defender Remote Credential Guard non consente il fallback NTLM perché ciò esporrebbe le credenziali a rischi.

Host remoto Desktop remoto:

  • Deve essere in esecuzione almeno Windows 10 versione 1607 o Windows Server 2016.
  • Deve consentire le connessioni di amministrazione con restrizioni.
  • Deve consentire all'utente del dominio del client di accedere alle connessioni Desktop remoto.
  • Deve consentire la delega delle credenziali non esportabili.

Non esistono requisiti hardware per Windows Defender Remote Credential Guard.

Nota

I dispositivi client Desktop remoto che eseguono versioni precedenti, almeno Windows 10 versione 1607, supportano solo le credenziali di accesso, quindi anche il dispositivo client deve essere aggiunto a un dominio di Active Directory. Sia il client desktop remoto che il server devono essere aggiunti allo stesso dominio oppure il server Desktop remoto può essere aggiunto a un dominio con una relazione di trust con il dominio del dispositivo client.

Oggetto Criteri di gruppo Host remoto consente la delega delle credenziali non esportabili deve essere abilitata per la delega delle credenziali non esportabili.

  • Per Windows Defender Remote Credential Guard sia supportato, l'utente deve eseguire l'autenticazione nell'host remoto utilizzando l'autenticazione Kerberos.

  • L'host remoto deve eseguire almeno Windows 10 versione 1607 o Windows Server 2016.

  • L'app desktop Windows desktop remoto è necessaria. L'app Remote Desktop Universal Windows Platform non supporta Windows Defender Remote Credential Guard.

Abilitare Windows Defender Remote Credential Guard

È necessario abilitare Restricted Admin o Windows Defender Remote Credential Guard nell'host remoto utilizzando il Registro di sistema.

  1. Aprire l'editor del Registro di sistema nell'host remoto.

  2. Abilita Amministratore con restrizioni e Windows Defender Remote Credential Guard:

    • Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

    • Aggiungere un nuovo valore DWORD denominato DisableRestrictedAdmin.

    • Per attivare Restricted Admin e Windows Defender Remote Credential Guard, imposta il valore di questa impostazione del Registro di sistema su 0 per attivare Windows Defender Remote Credential Guard.

  3. Chiudi l'Editor del Registro di sistema.

È possibile aggiungerlo eseguendo il comando seguente da un prompt dei comandi con privilegi elevati:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Utilizzo Windows Defender Remote Credential Guard

A partire da Windows 10 versione 1703, è possibile abilitare Windows Defender Remote Credential Guard nel dispositivo client utilizzando Criteri di gruppo o un parametro con Connessione Desktop remoto.

Attivare Remote Credential Guard Windows Defender tramite Criteri di gruppo

  1. Dalla Console Gestione Criteri di gruppo passare a Configurazione computer -> Modelli amministrativi -> Credenzialidi sistema -> Delega credenziali.

  2. Fare doppio clic su Limita delega delle credenziali ai server remoti.

    Windows Defender di gruppo remote Credential Guard.

  3. In Usa la modalità con restrizioni seguente:

    • Se si desidera richiedere la modalità di amministrazione con restrizioni o Windows Defender Remote Credential Guard, scegliere Limita delega credenziali. In questa configurazione, Windows Defender Remote Credential Guard è preferibile, ma utilizzerà la modalità di amministrazione con restrizioni (se supportata) quando Windows Defender Remote Credential Guard non può essere utilizzato.

      Nota

      Né Windows Defender remote Credential Guard né la modalità amministratore con restrizioni invieranno le credenziali in testo non crittografato al server Desktop remoto.

    • Se si desidera richiedere l'Windows Defender Remote Credential Guard, scegliere Richiedi Remote Credential Guard. Con questa impostazione, una connessione Desktop remoto avrà esito positivo solo se il computer remoto soddisfa i requisiti elencati in precedenza in questo argomento.

    • Se si desidera richiedere la modalità di amministrazione con restrizioni, scegliere Richiedi amministratore con restrizioni. Per informazioni sulla modalità di amministrazione con restrizioni, vedere la tabella in Confronto di Windows Defender Remote Credential Guardcon altre opzioni di connessione desktop remoto , più indietro in questo argomento.

  4. Fai clic su OK.

  5. Chiudi Console Gestione Criteri di gruppo.

  6. Da un prompt dei comandi, eseguire gpupdate.exe /force per assicurarsi che l'oggetto Criteri di gruppo sia applicato.

Utilizzare Windows Defender Remote Credential Guard con un parametro per Connessione Desktop remoto

Se non si utilizza Criteri di gruppo nell'organizzazione o se non tutti gli host remoti supportano Remote Credential Guard, è possibile aggiungere il parametro remoteGuard quando si avvia Connessione Desktop remoto per attivare Windows Defender Remote Credential Guard per tale connessione.

mstsc.exe /remoteGuard

Nota

L'utente deve essere autorizzato a connettersi al server remoto utilizzando Remote Desktop Protocol, ad esempio facendo parte del gruppo locale Utenti Desktop remoto nel computer remoto.

Considerazioni sull'utilizzo Windows Defender Remote Credential Guard

  • Windows Defender Remote Credential Guard non supporta l'autenticazione composta. Ad esempio, se si sta tentando di accedere a un file server da un host remoto che richiede un'attestazione del dispositivo, l'accesso verrà negato.

  • Windows Defender Remote Credential Guard può essere utilizzato solo per la connessione a un dispositivo aggiunto a un dominio di Windows Server Active Directory, inclusi i server aggiunti al dominio ACTIVE eseguiti come macchine virtuali di Azure. Windows Defender Remote Credential Guard non può essere usato per la connessione a dispositivi remoti aggiunti a Azure Active Directory.

  • Remote Desktop Credential Guard funziona solo con il protocollo RDP.

  • Nessuna credenziale viene inviata al dispositivo di destinazione, ma il dispositivo di destinazione acquisisce comunque i ticket di servizio Kerberos.

  • Il server e il client devono eseguire l'autenticazione utilizzando Kerberos.