Comentários

Proteger credenciais da Área de Trabalho Remota com Windows Defender Remote Credential Guard

  • Artigo
  • 9 minutos para ler

Aplicável ao

  • Windows 10
  • Windows Server 2016

Introduzido no Windows 10, versão 1607, o Windows Defender Remote Credential Guard ajuda você a proteger suas credenciais em uma conexão de Área de Trabalho Remota redirecionando solicitações Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece experiências de logon único para sessões da Área de Trabalho Remota.

As credenciais de administrador são altamente privilegiadas e devem ser protegidas. Usando o Windows Defender Remote Credential Guard para se conectar durante as sessões da Área de Trabalho Remota, se o dispositivo de destino estiver comprometido, suas credenciais não serão expostas porque os derivados de credenciais e credenciais nunca são passados pela rede para o dispositivo de destino.

Importante

Para obter informações sobre cenários de conexão de Área de Trabalho Remota que envolvem suporte de assistência técnica, consulte conexões de Área de Trabalho Remota e cenários de suporte de assistência técnica neste artigo.

Comparando o Windows Defender Remote Credential Guard com outras opções de conexão de Área de Trabalho Remota

O diagrama a seguir ajuda você a entender como uma sessão de Área de Trabalho Remota padrão para um servidor sem Windows Defender Remote Credential Guard funciona:

Conexão RDP com um servidor sem Windows Defender credenciais remotas Guard.png.


O diagrama a seguir ajuda você a entender como o Windows Defender Remote Credential Guard funciona, o que ajuda a proteger e a compará-lo com a opção modo Administração restrito:

Windows Defender Remote Credential Guard.


Conforme ilustrado, o Windows Defender Remote Credential Guard bloqueia o NTLM (permitindo apenas Kerberos), impede ataques de PtH (Pass-the-Hash) e também impede o uso de credenciais após a desconexão.

Use a tabela a seguir para comparar diferentes opções de segurança de conexão de Área de Trabalho Remota:

Recurso Área de Trabalho Remota Windows Defender Remote Credential Guard Modo Administração restrito
Benefícios da proteção As credenciais no servidor não são protegidas contra ataques pass-the-Hash. As credenciais do usuário permanecem no cliente. Um invasor pode agir em nome do usuário somente quando a sessão está em andamento O usuário faz logon no servidor como administrador local, portanto, um invasor não pode agir em nome do "usuário do domínio". Qualquer ataque é local para o servidor
Suporte de versão O computador remoto pode executar qualquer sistema operacional Windows O cliente e o computador remoto devem estar executando pelo menos Windows 10, versão 1607 ou Windows Server 2016. O computador remoto deve estar executando pelo menos o Windows 7 com patch ou o Windows Server 2008 R2 corrigido.

Para obter mais informações sobre patches (atualizações de software) relacionados ao modo Administração restrito, consulte a Consultoria de Segurança da Microsoft 2871997.
Ajuda a evitar                         N/A         
  • Pass-the-Hash
  • Uso de uma credencial após a desconexão
  • Pass-the-Hash
  • Uso da identidade do domínio durante a conexão
Credenciais compatíveis com o dispositivo cliente da área de trabalho remota
  • Credenciais conectadas
  • Credenciais fornecidas
  • Credenciais salvas
  • Somente credenciais conectadas
  • Credenciais conectadas
  • Credenciais fornecidas
  • Credenciais salvas
Access Usuários permitidos, ou seja, membros do grupo Usuários da Área de Trabalho Remota do host remoto. Usuários permitidos, ou seja, membros de Usuários da Área de Trabalho Remota do host remoto. Somente administradores, ou seja, somente membros do grupo Administradores do host remoto.
Identidade de rede A sessão da Área de Trabalho Remota se conecta a outros recursos como usuário conectado. A sessão da Área de Trabalho Remota se conecta a outros recursos como usuário conectado. A sessão da Área de Trabalho Remota se conecta a outros recursos como a identidade do host remoto.
Vários saltos Na área de trabalho remota, você pode se conectar por meio da Área de Trabalho Remota a outro computador Na área de trabalho remota, você pode se conectar por meio da Área de Trabalho Remota a outro computador. Não permitido para o usuário, pois a sessão está sendo executada como uma conta de host local
Autenticação com suporte Qualquer protocolo negociável. Somente Kerberos. Qualquer protocolo negociável

Para obter mais informações técnicas, consulte Protocolo de Área de Trabalho Remota e como o Kerberos funciona.


Conexões de Área de Trabalho Remota e cenários de suporte de assistência técnica

Para cenários de suporte técnico em que a equipe exige acesso administrativo para fornecer assistência remota aos usuários de computador por meio de sessões de Área de Trabalho Remota, a Microsoft recomenda que o Windows Defender Remote Credential Guard não seja usado nesse contexto. Isso ocorre porque, se uma sessão RDP for iniciada a um cliente comprometido que um invasor já controla, o invasor poderá usar esse canal aberto para criar sessões em nome do usuário (sem comprometer as credenciais) para acessar qualquer um dos recursos do usuário por um tempo limitado (algumas horas) após a sessão se desconectar.

Portanto, recomendamos que você use a opção modo Administração restrito. Para cenários de suporte de assistência técnica, as conexões RDP só devem ser iniciadas usando a opção /RestrictedAdmin. Isso ajuda a garantir que as credenciais e outros recursos do usuário não sejam expostos a hosts remotos comprometidos. Para obter mais informações, consulte Mitigando o roubo de pass-the-hash e outros roubos de credenciais v2.

Para proteger ainda mais a segurança, também recomendamos que você implemente a LAPS (Solução de Senha de Administrador Local), uma extensão do lado do cliente (CSE) Política de Grupo introduzida no Windows 8.1 que automatiza o gerenciamento de senha de administrador local. A LAPS reduz o risco de escalonamento lateral e outros ataques cibernéticos facilitados quando os clientes usam a mesma combinação de senha e conta local administrativa em todos os computadores. Você pode baixar e instalar o LAPS aqui.

Para obter mais informações sobre o LAPS, consulte o Microsoft Security Advisory 3062591.

Requisitos do Remote Credential Guard

Para usar Windows Defender Remote Credential Guard, o cliente da Área de Trabalho Remota e o host remoto devem atender aos seguintes requisitos:

O dispositivo cliente da Área de Trabalho Remota:

  • Deve estar executando pelo menos Windows 10 versão 1703 para poder fornecer credenciais, que são enviadas para o dispositivo remoto. Isso permite que os usuários executem como usuários diferentes sem precisar enviar credenciais para o computador remoto.

  • Deve estar executando pelo menos Windows 10, versão 1607 ou Windows Server 2016 para usar as credenciais conectadas do usuário. Isso exige que a conta do usuário possa entrar no dispositivo cliente e no host remoto.

  • Deve estar executando o aplicativo da Área de Trabalho Remota Clássica do Windows. O aplicativo de Plataforma Universal do Windows de Área de Trabalho Remota não dá suporte Windows Defender Remote Credential Guard.

  • Deve usar a autenticação Kerberos para se conectar ao host remoto. Se o cliente não puder se conectar a um controlador de domínio, o RDP tentará fazer fallback para NTLM. Windows Defender Remote Credential Guard não permite fallback NTLM porque isso exporia credenciais a riscos.

O host remoto da Área de Trabalho Remota:

  • Deve estar executando pelo menos Windows 10, versão 1607 ou Windows Server 2016.
  • Deve permitir conexões Administração restritas.
  • Deve permitir que o usuário de domínio do cliente acesse conexões de Área de Trabalho Remota.
  • Deve permitir a delegação de credenciais não exportáveis.

Não há requisitos de hardware para Windows Defender Remote Credential Guard.

Observação

Os dispositivos cliente de Área de Trabalho Remota que executam versões anteriores, no mínimo Windows 10 versão 1607, dão suporte apenas a credenciais conectadas, portanto, o dispositivo cliente também deve ser ingressado em um domínio do Active Directory. O cliente e o servidor da Área de Trabalho Remota devem ser ingressados no mesmo domínio ou o servidor de Área de Trabalho Remota pode ser ingressado em um domínio que tenha uma relação de confiança com o domínio do dispositivo cliente.

O host remoto do GPO permite que a delegação de credenciais não exportáveis deve ser habilitada para delegação de credenciais não exportáveis.

  • Para Windows Defender o Remote Credential Guard ter suporte, o usuário deve se autenticar no host remoto usando a autenticação Kerberos.

  • O host remoto deve estar executando pelo menos Windows 10 versão 1607 ou Windows Server 2016.

  • O aplicativo clássico da Área de Trabalho Remota do Windows é necessário. O aplicativo de Plataforma Universal do Windows de Área de Trabalho Remota não dá suporte Windows Defender Remote Credential Guard.

Habilitar Windows Defender Remote Credential Guard

Você deve habilitar o Restricted Administração ou Windows Defender Remote Credential Guard no host remoto usando o Registro.

  1. Abra o Editor do Registro no host remoto.

  2. Habilitar o Restricted Administração e Windows Defender Remote Credential Guard:

    • Vá para HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

    • Adicione um novo valor DWORD chamado DisableRestrictedAdmin.

    • Para ativar o Restricted Administração e Windows Defender Remote Credential Guard, defina o valor dessa configuração de registro como 0 para ativar o Windows Defender Remote Credential Guard.

  3. Feche o Editor do Registro.

Você pode adicionar isso executando o seguinte comando em um prompt de comando com privilégios elevados:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Usando Windows Defender Remote Credential Guard

A partir da Windows 10 versão 1703, você pode habilitar o Windows Defender Remote Credential Guard no dispositivo cliente usando o Política de Grupo ou usando um parâmetro com a Conexão de Área de Trabalho Remota.

Ativar o Windows Defender Remote Credential Guard usando o Política de Grupo

  1. No Console de Gerenciamento Política de Grupo, vá para Delegação **** -> de Credenciais do Sistema de ModelosAdministrativos -> **** -> deConfiguração do Computador.

  2. Clique duas vezes em Restringir delegação de credenciais para servidores remotos.

    Windows Defender Remote Credential Guard Política de Grupo.

  3. Em Usar o seguinte modo restrito:

    • Se você quiser exigir o modo Administração restrito ou Windows Defender Remote Credential Guard, escolha Restringir Delegação de Credenciais. Nessa configuração, Windows Defender Remote Credential Guard é preferencial, mas usará o modo Administração restrito (se houver suporte) quando Windows Defender Remote Credential Guard não puder ser usado.

      Observação

      Nem Windows Defender Remote Credential Guard nem o modo Administração restrito enviarão credenciais em texto não criptografado para o servidor da Área de Trabalho Remota.

    • Se você quiser exigir o Windows Defender Remote Credential Guard, escolha Exigir o Remote Credential Guard. Com essa configuração, uma conexão de Área de Trabalho Remota terá êxito somente se o computador remoto atender aos requisitos listados anteriormente neste tópico.

    • Se você quiser exigir o modo Administração restrito, escolha Exigir Administração. Para obter informações sobre o modo Administração restrito, consulte a tabela em Comparando Windows Defender Remote Credential Guard com outras opções de conexão de Área de Trabalho Remota, anteriormente neste tópico.

  4. Clique em OK.

  5. Feche o Console de Gerenciamento de Política de Grupo.

  6. Em um prompt de comando, execute gpupdate.exe /force para garantir que o objeto Política de Grupo seja aplicado.

Usar Windows Defender Remote Credential Guard com um parâmetro para a Conexão de Área de Trabalho Remota

Se você não usar o Política de Grupo em sua organização ou se nem todos os hosts remotos forem compatíveis com o Remote Credential Guard, você poderá adicionar o parâmetro remoteGuard ao iniciar a Conexão de Área de Trabalho Remota para ativar o Windows Defender Remote Credential Guard para essa conexão.

mstsc.exe /remoteGuard

Observação

O usuário deve estar autorizado a se conectar ao servidor remoto usando o Protocolo de Área de Trabalho Remota, por exemplo, sendo um membro do grupo local Usuários da Área de Trabalho Remota no computador remoto.

Considerações ao usar o Windows Defender Remote Credential Guard

  • Windows Defender Remote Credential Guard não dá suporte à autenticação composta. Por exemplo, se você estiver tentando acessar um servidor de arquivos de um host remoto que requer uma declaração de dispositivo, o acesso será negado.

  • Windows Defender Remote Credential Guard só pode ser usado ao se conectar a um dispositivo que está ingressado em um domínio do Windows Server Active Directory, incluindo servidores ingressados no domínio do AD que são executados como VMs (máquinas virtuais) do Azure. Windows Defender o Remote Credential Guard não pode ser usado ao se conectar a dispositivos remotos ingressados no Azure Active Directory.

  • O Remote Desktop Credential Guard só funciona com o protocolo RDP.

  • Nenhuma credencial é enviada para o dispositivo de destino, mas o dispositivo de destino ainda adquire tíquetes de serviço Kerberos por conta própria.

  • O servidor e o cliente devem se autenticar usando Kerberos.