Credential Guard remoto
Visão geral
O Remote Credential Guard ajuda a proteger credenciais em uma conexão RDP (Área de Trabalho Remota) redirecionando solicitações kerberos de volta para o dispositivo que está solicitando a conexão. Se o dispositivo de destino estiver comprometido, as credenciais não serão expostas porque derivativos de credencial e credencial nunca são passados pela rede para o dispositivo de destino. O Remote Credential Guard também fornece experiências de logon único para sessões de Área de Trabalho Remota.
Este artigo descreve como configurar e usar o Remote Credential Guard.
Importante
Para obter informações sobre cenários de conexão da Área de Trabalho Remota envolvendo suporte ao helpdesk, confira Conexões de Área de Trabalho Remota e cenários de suporte de helpdesk neste artigo.
Comparar o Remote Credential Guard com outras opções de conexão
Usar uma sessão da Área de Trabalho Remota sem o Remote Credential Guard tem as seguintes implicações de segurança:
- As credenciais são enviadas e armazenadas no host remoto
- As credenciais não são protegidas contra invasores no host remoto
- O invasor pode usar credenciais após a desconexão
Os benefícios de segurança do Remote Credential Guard incluem:
- As credenciais não são enviadas para o host remoto
- Durante a sessão remota, você pode se conectar a outros sistemas usando o SSO
- Um invasor só pode agir em nome do usuário quando a sessão estiver em andamento
Os benefícios de segurança do modo de Administração restrito incluem:
- As credenciais não são enviadas para o host remoto
- A sessão da Área de Trabalho Remota se conecta a outros recursos como a identidade do host remoto
- Um invasor não pode agir em nome do usuário e qualquer ataque é local para o servidor
Use a tabela a seguir para comparar diferentes opções de segurança de conexão da Área de Trabalho Remota:
| Recurso | Área de Trabalho Remota | Credential Guard remoto | Modo de Administração restrito |
|---|---|---|---|
| SSO (logon único) para outros sistemas como usuário conectado | ✅ | ✅ | ❌ |
| RDP de vários saltos | ✅ | ✅ | ❌ |
| Impedir o uso da identidade do usuário durante a conexão | ❌ | ❌ | ✅ |
| Impedir o uso de credenciais após a desconexão | ❌ | ✅ | ✅ |
| Impedir pass-the-Hash (PtH) | ❌ | ✅ | ✅ |
| Autenticação com suporte | Qualquer protocolo negociável | Somente Kerberos | Qualquer protocolo negociável |
| Credenciais compatíveis com o dispositivo cliente da área de trabalho remota | - Credenciais de logon - Credenciais fornecidas - Credenciais salvas |
- Credenciais de logon - Credenciais fornecidas |
- Credenciais de logon - Credenciais fornecidas - Credenciais salvas |
| Acesso RDP concedido com | Associação do grupo De Usuários da Área de Trabalho Remota no host remoto | Associação do grupo De Usuários da Área de Trabalho Remota no host remoto | Associação do grupo Administradores no host remoto |
Requisitos do Remote Credential Guard
Para usar o Remote Credential Guard, o host remoto e o cliente devem atender aos requisitos a seguir.
O host remoto:
- Deve permitir que o usuário acesse por meio de conexões de Área de Trabalho Remota
- Deve permitir a delegação de credenciais inexistentes para o dispositivo cliente
O dispositivo cliente:
- Deve estar executando o aplicativo Windows da Área de Trabalho Remota. O aplicativo UWP (Remote Desktop Plataforma Universal do Windows) não dá suporte ao Remote Credential Guard
- Deve usar a autenticação Kerberos para se conectar ao host remoto. Se o cliente não puder se conectar a um controlador de domínio, o RDP tentará voltar ao NTLM. O Remote Credential Guard não permite o fallback do NTLM porque exporia credenciais ao risco
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que dão suporte ao Remote Credential Guard:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
Os direitos de licença do Remote Credential Guard são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Habilitar a delegação de credenciais inexistentes nos hosts remotos
Essa política é necessária nos hosts remotos para dar suporte ao Modo de Administração de Segurança Remota e de Administração Restrito. Ele permite que o host remoto delega credenciais não existentes para o dispositivo cliente.
Se você desabilitar ou não configurar essa configuração, não há suporte para o modo Restricted Administração e Remote Credential Guard. Os usuários devem passar suas credenciais para o host, expondo-os ao risco de roubo de credenciais de invasores no host remoto.
Para habilitar a delegação de credenciais inexistentes nos hosts remotos, você pode usar:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.
Intune/CSP
GPO
RegistroPara configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Delegação de Credenciais do Sistema > de Modelos Administrativos > | O host remoto permite a delegação de credenciais inexistentes | Habilitada |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da política.
| Configuração |
|---|
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials- Tipo de dados: cadeia de caracteres - Valor: <enabled/> |
Configurar a delegação de credenciais nos clientes
Para habilitar o Remote Credential Guard nos clientes, você pode configurar uma política que impede a delegação de credenciais para os hosts remotos.
Dica
Se você não quiser configurar seus clientes para impor o Remote Credential Guard, use o seguinte comando para usar o Remote Credential Guard para uma sessão rdp específica:
mstsc.exe /remoteGuard
Se o servidor hospedar a função host RDS, o comando só funcionará se o usuário for um administrador do host remoto.
A política pode ter valores diferentes, dependendo do nível de segurança que você deseja impor:
Desabilitado: não são impostas Administração restritas e o modo De Guarda de Credencial Remota e o Cliente de Área de Trabalho Remota podem delegar credenciais para dispositivos remotos
Exigir Administração restrita: o Cliente da Área de Trabalho Remota deve usar Administração restritas para se conectar a hosts remotos
Exigir o Remote Credential Guard: o Cliente da Área de Trabalho Remota deve usar o Remote Credential Guard para se conectar a hosts remotos
Restringir a delegação de credencial: o Cliente da Área de Trabalho Remota deve usar o Administração restrito ou o Remote Credential Guard para se conectar a hosts remotos. Nesta configuração, o Remote Credential Guard é preferencial, mas usa o modo de Administração restrito (se houver suporte) quando o Remote Credential Guard não pode ser usado
Observação
Quando a Delegação de Credenciais restrita estiver habilitada, a opção
/restrictedAdminserá ignorada. O Windows impõe a configuração da política e usa o Remote Credential Guard.
Para configurar seus clientes, você pode usar:
- Microsoft Intune/MDM
- Política de grupo
As instruções a seguir fornecem detalhes de como configurar seus dispositivos. Selecione a opção que melhor atende às suas necessidades.
Para configurar dispositivos com Microsoft Intune, crie uma política de catálogo de configurações e use as seguintes configurações:
| Categoria | Nome da configuração | Valor |
|---|---|---|
| Delegação de Credenciais do Sistema > de Modelos Administrativos > | Restringir a delegação de credenciais a servidores remotos | Selecione Habilitado e, na lista suspensa, selecione uma das opções: - Restringir delegação de credencial - Exigir Guarda de Credencial Remota |
Atribua a política a um grupo que contém como membros os dispositivos ou usuários que você deseja configurar.
Como alternativa, você pode configurar dispositivos usando uma política personalizada com o CSP da política.
| Configuração |
|---|
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration- Tipo de dados: cadeia de caracteres - Valor: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>Os valores possíveis para RestrictedRemoteAdministrationDrop são:- 0:Desativado- 1: exigir Administração restrita- 2: exigir o Remote Credential Guard- 3: restringir a delegação de credencial |
Experiência do usuário
Depois que um cliente recebe a política, você pode se conectar ao host remoto usando o Remote Credential Guard abrindo o Cliente de Área de Trabalho Remota (mstsc.exe). O usuário é autenticado automaticamente no host remoto:
Observação
O usuário deve ser autorizado a se conectar ao servidor remoto usando o protocolo Da Área de Trabalho Remota, por exemplo, sendo um membro do grupo local Usuários da Área de Trabalho Remota no host remoto.
Conexões de Área de Trabalho Remota e cenários de suporte de helpdesk
Para cenários de suporte do helpdesk em que o pessoal requer acesso administrativo por meio de sessões de Área de Trabalho Remota, não é recomendável o uso do Remote Credential Guard. Se uma sessão RDP for iniciada para um cliente já comprometido, o invasor poderá usar esse canal aberto para criar sessões em nome do usuário. O invasor pode acessar qualquer um dos recursos do usuário por um tempo limitado após a desconexão da sessão.
Em vez disso, recomendamos usar a opção modo de Administração restrito. Para cenários de suporte ao helpdesk, as conexões RDP só devem ser iniciadas usando a opção /RestrictedAdmin . Isso ajuda a garantir que as credenciais e outros recursos de usuário não sejam expostos a hosts remotos comprometidos. Para obter mais informações, consulte Mitigando Pass-the-Hash e Other Credential Theft v2.
Para endurecer ainda mais a segurança, também recomendamos implementar a LAPS (Solução de Senha do Administrador Local do Windows), que automatiza o gerenciamento de senhas do administrador local. O LAPS atenua o risco de escalonamento lateral e outros ataques cibernéticos facilitado quando os clientes usam a mesma combinação administrativa de conta local e senha em todos os seus computadores.
Para obter mais informações sobre o LAPS, consulte O que é o Windows LAPS.
Considerações
Aqui estão algumas considerações para o Remote Credential Guard:
- O Remote Credential Guard não dá suporte à autenticação composta. Por exemplo, se você estiver tentando acessar um servidor de arquivos de um host remoto que requer uma declaração de dispositivo, o acesso será negado
- O Remote Credential Guard só pode ser usado ao se conectar a um dispositivo que é associado a um domínio do Active Directory. Ele não pode ser usado ao se conectar a dispositivos remotos unidos a Microsoft Entra ID
- O Remote Credential Guard pode ser usado de uma Microsoft Entra cliente ingressado para se conectar a um host remoto ingressado no Active Directory, desde que o cliente possa se autenticar usando Kerberos
- O Remote Credential Guard só funciona com o protocolo RDP
- Nenhuma credenciais é enviada para o dispositivo de destino, mas o dispositivo de destino ainda adquire Tickets de Serviço Kerberos por conta própria
- O servidor e o cliente devem se autenticar usando Kerberos
- O Remote Credential Guard só tem suporte para conexões diretas com os computadores de destino. Não há suporte para conexões por meio do Remote Desktop Connection Broker e do Gateway de Área de Trabalho Remota
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de