远程 Credential Guard

概述

远程凭据防护通过将 Kerberos 请求重定向回请求的设备,帮助通过远程桌面 (RDP) 连接来保护凭据。 如果目标设备遭到入侵,则不会公开凭据,因为凭据和凭据派生永远不会通过网络传递给目标设备。 Remote Credential Guard 还为远程桌面会话提供单一登录体验。

本文介绍如何配置和使用远程 Credential Guard。

重要提示

有关涉及支持人员支持的远程桌面连接方案的信息,请参阅本文中的 远程桌面连接和支持人员支持方案

将远程 Credential Guard 与其他连接选项进行比较

使用不带远程凭据防护的远程桌面会话具有以下安全隐患:

  • 凭据将发送到远程主机并存储在远程主机上
  • 凭据不受远程主机上的攻击者保护
  • 攻击者可以在断开连接后使用凭据

远程凭据防护的安全优势包括:

  • 凭据不会发送到远程主机
  • 在远程会话期间,可以使用 SSO 连接到其他系统
  • 仅当会话正在进行时,攻击者才能代表用户采取行动

受限管理员模式的安全优势包括:

  • 凭据不会发送到远程主机
  • 远程桌面会话作为远程主机的标识连接到其他资源
  • 攻击者无法代表用户采取行动,任何攻击都是服务器本地攻击

使用下表比较不同的远程桌面连接安全选项:

功能 远程桌面 远程 Credential Guard 受限管理员模式
单一登录 (SSO) 登录到其他系统(作为已登录用户)
多跃点 RDP
防止在连接期间使用用户标识
防止在断开连接后使用凭据
防止传递哈希 (PtH)
支持的身份验证 任何可协商协议 仅限 Kerberos 任何可协商协议
远程桌面客户端设备支持的凭据 - 登录凭据
- 提供的凭据
- 保存的凭据		 - 登录凭据
- 提供的凭据
 - 登录凭据
- 提供的凭据
- 保存的凭据
授予 RDP 访问权限 远程主机上 远程桌面用户组 的成员身份 远程主机上 远程桌面用户组 的成员身份 远程主机上 的管理员 组的成员身份

远程 Credential Guard 要求

若要使用远程凭据防护,远程主机和客户端必须满足以下要求。

远程主机:

  • 必须允许用户通过远程桌面连接进行访问
  • 必须允许将不可导出凭据委派到客户端设备

客户端设备:

  • 必须运行远程桌面 Windows 应用程序。 远程桌面通用 Windows 平台 (UWP) 应用程序不支持远程凭据防护
  • 必须使用 Kerberos 身份验证连接到远程主机。 如果客户端无法连接到域控制器,则 RDP 会尝试回退到 NTLM。 远程凭据防护不允许 NTLM 回退,因为它会使凭据面临风险

Windows 版本和许可要求

下表列出了支持远程凭据防护的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

远程 Credential Guard 许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

在远程主机上启用不可导出凭据的委派

远程主机上需要此策略来支持远程凭据防护和受限管理员模式。 它允许远程主机将不可导出的凭据委托给客户端设备。
如果禁用或未配置此设置,则不支持“受限管理员”和“远程凭据防护”模式。 用户必须将凭据传递给主机,使其面临远程主机上攻击者窃取凭据的风险。

若要在远程主机上启用不可导出凭据的委派,可以使用:

  • Microsoft Intune/MDM
  • 组策略
  • 注册表

以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。

若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:

类别 设置名称
管理模板 > 系统 > 凭据委派 远程主机允许委派不可导出的凭据 启用

将策略分配给一个组,该组包含要配置的设备或用户作为成员。

或者,可以通过策略 CSP 使用自定义策略来配置设备。

设置
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
- 数据类型: 字符串
- 价值:<enabled/>

在客户端上配置凭据委派

若要在客户端上启用远程 Credential Guard,可以配置阻止将凭据委派到远程主机的策略。

提示

如果不想将客户端配置为强制实施远程凭据防护,可以使用以下命令对特定的 RDP 会话使用远程凭据防护:

mstsc.exe /remoteGuard

如果服务器托管 RDS 主机角色,则仅当用户是远程主机的管理员时,该命令才有效。

策略可以具有不同的值,具体取决于要强制实施的安全级别:

  • 已禁用受限管理员远程凭据防护模式未强制实施,远程桌面客户端可以将凭据委托给远程设备

  • 需要受限管理员:远程桌面客户端必须使用受限管理员连接到远程主机

  • 需要远程凭据防护:远程桌面客户端必须使用远程凭据防护连接到远程主机

  • 限制凭据委派:远程桌面客户端必须使用受限管理员或远程凭据防护连接到远程主机。 在此配置中,远程凭据防护是首选,但它使用受限管理员模式 ((如果支持) 无法使用远程凭据防护时)

    注意

    启用 “限制凭据委派 ”后, /restrictedAdmin 将忽略开关。 Windows 将强制实施策略配置,并使用远程凭据防护。

若要配置客户端,可以使用:

  • Microsoft Intune/MDM
  • 组策略

以下说明详细介绍了如何配置设备。 选择最适合你需求的选项。

若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:

类别 设置名称
管理模板 > 系统 > 凭据委派 限制将凭据委派到远程服务器 选择 “已启用” ,然后在下拉列表中选择以下选项之一:
- 限制凭据委派
- 需要远程凭据防护

将策略分配给一个组,该组包含要配置的设备或用户作为成员。

或者,可以通过策略 CSP 使用自定义策略来配置设备。

设置
- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- 数据类型: 字符串
- 价值:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>

的可能值为 RestrictedRemoteAdministrationDrop
- 0:禁用
- 1:需要受限管理员
- 2:需要远程凭据防护
- 3:限制凭据委派

用户体验

客户端收到策略后,可以通过打开远程桌面客户端 () mstsc.exe ,使用远程凭据防护连接到远程主机。 用户会自动向远程主机进行身份验证:

注意

用户必须有权使用远程桌面协议连接到远程服务器,例如,作为远程主机上的远程桌面用户本地组的成员。

远程桌面连接和支持人员支持方案

对于人员需要通过远程桌面会话进行管理访问权限的技术支持支持方案,建议不要使用远程凭据防护。 如果 RDP 会话已启动到已遭到入侵的客户端,攻击者可以使用该开放通道代表用户创建会话。 在会话断开连接后,攻击者可以在有限时间内访问用户的任何资源。

建议改用受限管理员模式选项。 对于支持人员支持方案,仅应使用 /RestrictedAdmin 开关启动 RDP 连接。 这有助于确保凭据和其他用户资源不会向受攻击的远程主机公开。 有关详细信息,请参阅 缓解哈希传递和其他凭据盗窃 v2

为了进一步强化安全性,我们还建议实现 Windows 本地管理员密码解决方案 (LAPS) ,以自动执行本地管理员密码管理。 当客户在其所有计算机上使用相同的管理本地帐户和密码组合时,LAPS 可降低横向升级和其他网络攻击的风险。

有关 LAPS 的详细信息,请参阅 什么是 Windows LAPS

注意事项

以下是远程凭据防护的一些注意事项:

  • 远程凭据防护不支持复合身份验证。 例如,如果尝试从需要设备声明的远程主机访问文件服务器,则拒绝访问
  • 仅当连接到已加入 Active Directory 域的设备时,才能使用远程 Credential Guard。 连接到已加入Microsoft Entra ID的远程设备时,无法使用它
  • 远程 Credential Guard 可以从已加入Microsoft Entra的客户端使用,以连接到已加入 Active Directory 的远程主机,前提是客户端可以使用 Kerberos 进行身份验证
  • 远程 Credential Guard 仅适用于 RDP 协议
  • 不会将凭据发送到目标设备,但目标设备仍自行获取 Kerberos 服务票证
  • 服务器和客户端必须使用 Kerberos 进行身份验证
  • 远程 Credential Guard 仅支持直接连接到目标计算机。 它不支持通过远程桌面连接代理和远程桌面网关进行连接