Schützen von Remotedesktopanmeldeinformationen mit Windows Defender Remote Credential Guard
Eingeführt in Windows 10 Version 1607, Windows Defender Remote Credential Guard hilft Ihnen, Ihre Anmeldeinformationen über eine Remotedesktopverbindung zu schützen, indem Kerberos-Anforderungen zurück an das Gerät weitergeleitet werden, das die Verbindung anfordert. Es bietet auch Funktionen für einmaliges Anmelden für Remotedesktopsitzungen.
Administratoranmeldeinformationen sind hochprivilegiert und müssen geschützt werden. Durch die Verwendung von Windows Defender Remote Credential Guard zum Herstellen einer Verbindung während Remotedesktopsitzungen werden Ihre Anmeldeinformationen nicht verfügbar gemacht, wenn das Zielgerät kompromittiert ist, da sowohl Anmeldeinformationen als auch Ableitungen von Anmeldeinformationen nie über das Netzwerk an das Zielgerät übergeben werden.
Wichtig
Informationen zu Remotedesktopverbindungsszenarien mit Helpdeskunterstützung finden Sie in diesem Artikel unter Remotedesktopverbindungen und Helpdesk-Supportszenarien .
Vergleich von Windows Defender Remote Credential Guard mit anderen Remotedesktopverbindungsoptionen
Das folgende Diagramm hilft Ihnen zu verstehen, wie eine Standard-Remotedesktopsitzung mit einem Server ohne Windows Defender Remote Credential Guard funktioniert:
Das folgende Diagramm hilft Ihnen, zu verstehen, wie Windows Defender Remote Credential Guard funktioniert, wozu der Schutz beiträgt, und vergleicht es mit der Option Eingeschränkter Admin modus:
Wie gezeigt, blockiert Windows Defender Remote Credential Guard NTLM (lässt nur Kerberos zu), verhindert Pass-the-Hash-Angriffe (PtH) und verhindert auch die Verwendung von Anmeldeinformationen nach der Trennung.
Verwenden Sie die folgende Tabelle, um verschiedene Optionen für die Remotedesktopverbindungssicherheit zu vergleichen:
| Feature | Remotedesktop | Windows Defender Remote Credential Guard | Eingeschränkter Admin-Modus |
|---|---|---|---|
| Schutzvorteile | Anmeldeinformationen auf dem Server sind nicht vor Pass-the-Hash-Angriffen geschützt. | Benutzeranmeldeinformationen verbleiben auf dem Client. Ein Angreifer kann nur im Namen des Benutzers handeln, wenn die Sitzung ausgeführt wird. | Der Benutzer meldet sich beim Server als lokaler Administrator an, sodass ein Angreifer nicht im Namen des "Domänenbenutzers" handeln kann. Jeder Angriff erfolgt lokal auf dem Server. |
| Versionsunterstützung | Auf dem Remotecomputer kann ein beliebiges Windows-Betriebssystem ausgeführt werden. | Sowohl der Client als auch der Remotecomputer müssen mindestens Windows 10, Version 1607 oder Windows Server 2016 ausgeführt werden. | Auf dem Remotecomputer muss mindestens windows 7 oder windows Server 2008 R2 gepatcht werden. Weitere Informationen zu Patches (Softwareupdates) im Zusammenhang mit dem Eingeschränkten Admin-Modus finden Sie unter Microsoft-Sicherheitsempfehlung 2871997. |
| Hilft bei der Verhinderung von | n. a. |
|
|
| Vom Remotedesktopclientgerät unterstützte Anmeldeinformationen |
|
|
|
| Access | Benutzer sind zulässig, d. h. Mitglieder der Remotedesktopbenutzergruppe des Remotehosts. | Benutzer sind zulässig, d. h. Mitglieder von Remotedesktopbenutzern des Remotehosts. | Nur Administratoren, d. h. nur Mitglieder der Gruppe Administratoren des Remotehosts. |
| Netzwerkidentität | Die Remotedesktopsitzung stellt als angemeldeter Benutzer eine Verbindung mit anderen Ressourcen her. | Die Remotedesktopsitzung stellt als angemeldeter Benutzer eine Verbindung mit anderen Ressourcen her. | Die Remotedesktopsitzung stellt als Identität des Remotehosts eine Verbindung mit anderen Ressourcen her. |
| Mehrere Hops | Über den Remotedesktop können Sie über Remotedesktop eine Verbindung mit einem anderen Computer herstellen. | Über den Remotedesktop können Sie über Remotedesktop eine Verbindung mit einem anderen Computer herstellen. | Für den Benutzer nicht zulässig, da die Sitzung als lokales Hostkonto ausgeführt wird |
| Unterstützte Authentifizierung | Jedes verhandelbare Protokoll. | Nur Kerberos. | Jedes verhandelbare Protokoll |
Weitere technische Informationen finden Sie unter Remotedesktopprotokoll und Funktionsweise von Kerberos.
Supportszenarien für Remotedesktopverbindungen und Helpdesk
Für Helpdesk-Supportszenarien, in denen Mitarbeiter Administratorzugriff benötigen, um Computerbenutzern Remoteunterstützung über Remotedesktopsitzungen bereitzustellen, empfiehlt Microsoft, dass Windows Defender Remote Credential Guard in diesem Kontext nicht verwendet werden sollte. Dies liegt daran, dass der Angreifer, wenn eine RDP-Sitzung für einen kompromittierten Client initiiert wird, den ein Angreifer bereits steuert, diesen offenen Kanal verwenden könnte, um Sitzungen im Namen des Benutzers (ohne Kompromittierung der Anmeldeinformationen) zu erstellen, um nach dem Trennen der Sitzung für einen begrenzten Zeitraum (einige Stunden) auf eine der Ressourcen des Benutzers zuzugreifen.
Daher wird stattdessen empfohlen, die Option Eingeschränkter Admin modus zu verwenden. Für Helpdesk-Supportszenarien sollten RDP-Verbindungen nur mit dem Schalter /RestrictedAdmin initiiert werden. Dadurch wird sichergestellt, dass Anmeldeinformationen und andere Benutzerressourcen nicht für kompromittierte Remotehosts verfügbar gemacht werden. Weitere Informationen finden Sie unter Mildern von Pass-the-Hash und anderen Anmeldeinformationsdiebstahl v2.
Um die Sicherheit weiter zu erhöhen, wird auch empfohlen, dass Sie die lokale Administratorkennwortlösung (Local Administrator Password Solution, LAPS) implementieren, eine Gruppenrichtlinie clientseitige Erweiterung (Client-Side Extension, CSE), die in Windows 8.1 eingeführt wurde und die Kennwortverwaltung für lokale Administratoren automatisiert. LAPS verringert das Risiko einer Lateraleskalation und anderer Cyberangriffe, die erleichtert werden, wenn Kunden auf allen Computern dieselbe Kombination aus lokalem Administratorkonto und Kennwort verwenden. Sie können LAPS hier herunterladen und installieren.
Weitere Informationen zu LAPS finden Sie unter Microsoft Security Advisory 3062591.
Remote Credential Guard-Anforderungen
Um Windows Defender Remote Credential Guard verwenden zu können, müssen der Remotedesktopclient und der Remotehost die folgenden Anforderungen erfüllen:
Das Remotedesktopclientgerät:
Mindestens Windows 10 Version 1703 muss ausgeführt werden, um Anmeldeinformationen angeben zu können, die an das Remotegerät gesendet werden. Dadurch können Benutzer als unterschiedliche Benutzer ausgeführt werden, ohne Anmeldeinformationen an den Remotecomputer senden zu müssen.
Muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden, um die Anmeldeinformationen des Benutzers zu verwenden. Dies erfordert, dass sich das Konto des Benutzers sowohl beim Clientgerät als auch beim Remotehost anmelden kann.
Die klassische Windows-Anwendung "Remotedesktop" muss ausgeführt werden. Die Remotedesktopanwendung Universelle Windows-Plattform unterstützt Windows Defender Remote Credential Guard nicht.
Muss die Kerberos-Authentifizierung verwenden, um eine Verbindung mit dem Remotehost herzustellen. Wenn der Client keine Verbindung mit einem Domänencontroller herstellen kann, versucht RDP, auf NTLM zurückzugreifen. Windows Defender Remote Credential Guard lässt kein NTLM-Fallback zu, da dadurch Anmeldeinformationen einem Risiko ausgesetzt wären.
Remotedesktop-Remotehost:
- Muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden.
- Muss eingeschränkte Admin-Verbindungen zulassen.
- Muss zulassen, dass der Domänenbenutzer des Clients auf Remotedesktopverbindungen zugreifen kann.
- Muss die Delegierung nicht exportierbarer Anmeldeinformationen zulassen.
Es gibt keine Hardwareanforderungen für Windows Defender Remote Credential Guard.
Hinweis
Remotedesktopclientgeräte, auf denen frühere Versionen ausgeführt werden, mindestens Windows 10 Version 1607, unterstützen nur angemeldete Anmeldeinformationen, sodass das Clientgerät auch in eine Active Directory-Domäne eingebunden werden muss. Sowohl der Remotedesktopclient als auch der -Server müssen entweder der gleichen Domäne angehören, oder der Remotedesktopserver kann einer Domäne hinzugefügt werden, die eine Vertrauensstellung zur Domäne des Clientgeräts aufweist.
GPO-Remotehost ermöglicht die Delegierung nicht exportierbarer Anmeldeinformationen, die für die Delegierung nicht exportierbarer Anmeldeinformationen aktiviert sein sollten.
Damit Windows Defender Remote Credential Guard unterstützt wird, muss sich der Benutzer mithilfe der Kerberos-Authentifizierung beim Remotehost authentifizieren.
Auf dem Remotehost muss mindestens Windows 10 Version 1607 oder Windows Server 2016 ausgeführt werden.
Die klassische Windows-App für Remotedesktop ist erforderlich. Die Remotedesktop-Universelle Windows-Plattform-App unterstützt Windows Defender Remote Credential Guard nicht.
Aktivieren von Windows Defender Remote Credential Guard
Sie müssen Restricted Admin aktivieren oder Remote Credential Guard mithilfe der Registrierung auf dem Remotehost Windows Defender.
Öffnen Sie den Registrierungs-Editor auf dem Remotehost.
Aktivieren Sie Restricted Admin und Windows Defender Remote Credential Guard:
Wechseln Sie zu HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.
Fügen Sie einen neuen DWORD-Wert namens DisableRestrictedAdmin hinzu.
Legen Sie zum Aktivieren der eingeschränkten Admin und Windows Defender Remote Credential Guard den Wert dieser Registrierungseinstellung auf 0 fest.
Schließen Sie den Registrierungs-Editor.
Sie können dies hinzufügen, indem Sie den folgenden Befehl an einer Eingabeaufforderung mit erhöhten Rechten ausführen:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Verwenden von Windows Defender Remote Credential Guard
Ab Windows 10 Version 1703 können Sie Windows Defender Remote Credential Guard auf dem Clientgerät entweder mithilfe von Gruppenrichtlinie oder mithilfe eines Parameters mit der Remotedesktopverbindung aktivieren.
Aktivieren sie Windows Defender Remote Credential Guard mithilfe von Gruppenrichtlinie
Wechseln Sie in der Gruppenrichtlinie Management Console zu Computerkonfiguration ->Administrative Vorlagen ->System ->Anmeldeinformationen Delegierung.
Doppelklicken Sie auf Delegierung von Anmeldeinformationen auf Remoteserver einschränken.
Klicken Sie unter Verwenden Sie den folgenden eingeschränkten Modus:
Wenn Sie entweder den Eingeschränkten Admin-Modus oder Windows Defender Remote Credential Guard benötigen möchten, wählen Sie Stellvertretung von Anmeldeinformationen einschränken aus. In dieser Konfiguration wird Windows Defender Remote Credential Guard bevorzugt, verwendet jedoch den eingeschränkten Admin-Modus (sofern unterstützt), wenn Windows Defender Remote Credential Guard nicht verwendet werden kann.
Hinweis
Weder Windows Defender Remote Credential Guard noch der Modus eingeschränkte Admin senden Anmeldeinformationen in Klartext an den Remotedesktopserver. Wenn Die Delegierung von Anmeldeinformationen einschränken aktiviert ist, wird die Option /restrictedAdmin ignoriert. Windows erzwingt stattdessen die Richtlinienkonfiguration und verwendet Windows Defender Remote Credential Guard.
Wenn Sie Windows Defender Remote Credential Guard anfordern möchten, wählen Sie Remote Credential Guard erforderlich aus. Mit dieser Einstellung ist eine Remotedesktopverbindung nur erfolgreich, wenn der Remotecomputer die weiter oben in diesem Thema aufgeführten Anforderungen erfüllt.
Wenn Sie den Eingeschränkten Admin-Modus benötigen möchten, wählen Sie Eingeschränkte Admin erforderlich aus. Informationen zum Eingeschränkten Admin-Modus finden Sie in der Tabelle unter Vergleich Windows Defender Remote Credential Guard mit anderen Remotedesktopverbindungsoptionen weiter oben in diesem Thema.
Klicken Sie auf OK.
Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Führen Sie an einer Eingabeaufforderung gpupdate.exe /force aus, um sicherzustellen, dass das Gruppenrichtlinie-Objekt angewendet wird.
Verwenden Windows Defender Remote Credential Guard mit einem Parameter für die Remotedesktopverbindung
Wenn Sie Gruppenrichtlinie in Ihrer Organisation nicht verwenden oder wenn nicht alle Remotehosts Remote Credential Guard unterstützen, können Sie den Parameter remoteGuard hinzufügen, wenn Sie die Remotedesktopverbindung starten, um Windows Defender Remote Credential Guard für diese Verbindung zu aktivieren.
mstsc.exe /remoteGuard
Hinweis
Der Benutzer muss berechtigt sein, mithilfe des Remotedesktopprotokolls eine Verbindung mit dem Remoteserver herzustellen, z. B. indem er Mitglied der lokalen Gruppe Remotedesktopbenutzer auf dem Remotecomputer ist.
Überlegungen zur Verwendung von Windows Defender Remote Credential Guard
Windows Defender Remote Credential Guard unterstützt keine Verbundauthentifizierung. Wenn Sie beispielsweise versuchen, von einem Remotehost aus auf einen Dateiserver zuzugreifen, der einen Geräteanspruch erfordert, wird der Zugriff verweigert.
Windows Defender Remote Credential Guard kann nur verwendet werden, wenn eine Verbindung mit einem Gerät hergestellt wird, das mit einer Windows Server Active Directory Domäne verknüpft ist, einschließlich servern, die in die AD-Domäne eingebunden sind und als virtuelle Azure-Computer (VMs) ausgeführt werden. Windows Defender Remote Credential Guard kann nicht verwendet werden, wenn eine Verbindung mit Remotegeräten hergestellt wird, die mit Azure Active Directory verknüpft sind.
Remotedesktop Credential Guard funktioniert nur mit dem RDP-Protokoll.
Es werden keine Anmeldeinformationen an das Zielgerät gesendet, aber das Zielgerät erhält weiterhin selbst Kerberos-Diensttickets.
Server und Client müssen sich mithilfe von Kerberos authentifizieren.