Protection des informations d’identification à distance

Vue d'ensemble

Remote Credential Guard permet de protéger les informations d’identification via une connexion Bureau à distance (RDP) en redirigeant les demandes Kerberos vers l’appareil qui demande la connexion. Si l’appareil cible est compromis, les informations d’identification ne sont pas exposées, car les informations d’identification et les dérivés d’informations d’identification ne sont jamais passés sur le réseau à l’appareil cible. Remote Credential Guard fournit également des expériences d’authentification unique pour les sessions Bureau à distance.

Cet article explique comment configurer et utiliser Remote Credential Guard.

Important

Pour plus d’informations sur les scénarios de connexion Bureau à distance impliquant la prise en charge du support technique, consultez Connexions Bureau à distance et scénarios de support technique dans cet article.

Comparer Remote Credential Guard avec d’autres options de connexion

L’utilisation d’une session Bureau à distance sans Remote Credential Guard a les implications de sécurité suivantes :

  • Les informations d’identification sont envoyées à et stockées sur l’hôte distant
  • Les informations d’identification ne sont pas protégées contre les attaquants sur l’hôte distant
  • L’attaquant peut utiliser les informations d’identification après la déconnexion

Les avantages en matière de sécurité de Remote Credential Guard sont les suivants :

  • Les informations d’identification ne sont pas envoyées à l’hôte distant
  • Pendant la session à distance, vous pouvez vous connecter à d’autres systèmes à l’aide de l’authentification unique
  • Un attaquant ne peut agir au nom de l’utilisateur que lorsque la session est en cours

Les avantages en matière de sécurité du mode Administration restreint sont les suivants :

  • Les informations d’identification ne sont pas envoyées à l’hôte distant
  • La session Bureau à distance se connecte à d’autres ressources en tant qu’identité de l’hôte distant
  • Un attaquant ne peut pas agir au nom de l’utilisateur et toute attaque est locale sur le serveur

Utilisez le tableau suivant pour comparer différentes options de sécurité de connexion Bureau à distance :

Fonctionnalité Bureau à distance Protection des informations d’identification à distance Mode Administration restreint
Authentification unique (SSO) sur d’autres systèmes en tant qu’utilisateur connecté
RDP multi-tronçon
Empêcher l’utilisation de l’identité de l’utilisateur pendant la connexion
Empêcher l’utilisation des informations d’identification après la déconnexion
Empêcher pass-the-hash (PtH)
Authentification prise en charge Tout protocole négociable Kerberos uniquement Tout protocole négociable
Informations d’identification prises en charge à partir de l’appareil client Bureau à distance - Informations d’identification de connexion
- Informations d’identification fournies
- Informations d’identification enregistrées
- Informations d’identification de connexion
- Informations d’identification fournies
- Informations d’identification de connexion
- Informations d’identification fournies
- Informations d’identification enregistrées
Accès RDP accordé avec Appartenance au groupe Utilisateurs Bureau à distance sur l’hôte distant Appartenance au groupe Utilisateurs Bureau à distance sur l’hôte distant Appartenance au groupe Administrateurs sur l’hôte distant

Configuration requise de Remote Credential Guard

Pour utiliser Remote Credential Guard, l’hôte distant et le client doivent répondre aux exigences suivantes.

L’hôte distant :

  • Doit autoriser l’utilisateur à accéder via des connexions Bureau à distance
  • Doit autoriser la délégation d’informations d’identification non exportables à l’appareil client

L’appareil client :

  • Doit exécuter l’application Windows Bureau à distance. L’application Bureau à distance plateforme Windows universelle (UWP) ne prend pas en charge Remote Credential Guard
  • Doit utiliser l’authentification Kerberos pour se connecter à l’hôte distant. Si le client ne peut pas se connecter à un contrôleur de domaine, RDP tente de revenir à NTLM. Remote Credential Guard n’autorise pas le secours NTLM, car il expose les informations d’identification à un risque

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge Remote Credential Guard :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Oui Oui Oui Oui

Les droits de licence Remote Credential Guard sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Oui Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Activer la délégation des informations d’identification non exportables sur les hôtes distants

Cette stratégie est requise sur les hôtes distants pour prendre en charge le mode Remote Credential Guard et Restricted Administration. Il permet à l’hôte distant de déléguer des informations d’identification non exportables à l’appareil client.
Si vous désactivez ou ne configurez pas ce paramètre, les Administration restreints et le mode Remote Credential Guard ne sont pas pris en charge. Les utilisateurs doivent transmettre leurs informations d’identification à l’hôte, ce qui les expose au risque de vol d’informations d’identification par des attaquants sur l’hôte distant.

Pour activer la délégation d’informations d’identification non exportables sur les hôtes distants, vous pouvez utiliser :

  • Microsoft Intune/GPM
  • Stratégie de groupe
  • Registry

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Délégation des informations d’identification système > des modèles > d’administration L’hôte distant autorise la délégation d’informations d’identification non exportables Activé

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp Policy.

Paramètre
- OMA-URI :./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
- Type de données : chaîne
- Valeur:<enabled/>

Configurer la délégation des informations d’identification sur les clients

Pour activer Remote Credential Guard sur les clients, vous pouvez configurer une stratégie qui empêche la délégation des informations d’identification aux hôtes distants.

Astuce

Si vous ne souhaitez pas configurer vos clients pour appliquer Remote Credential Guard, vous pouvez utiliser la commande suivante pour utiliser Remote Credential Guard pour une session RDP spécifique :

mstsc.exe /remoteGuard

Si le serveur héberge le rôle Hôte RDS, la commande fonctionne uniquement si l’utilisateur est administrateur de l’hôte distant.

La stratégie peut avoir des valeurs différentes, en fonction du niveau de sécurité que vous souhaitez appliquer :

  • Désactivé : les Administration restreints et le mode Remote Credential Guard ne sont pas appliqués et le client Bureau à distance peut déléguer des informations d’identification à des appareils distants

  • Exiger des Administration restreints : le client Bureau à distance doit utiliser des Administration restreints pour se connecter à des hôtes distants

  • Exiger remote Credential Guard : Le client Bureau à distance doit utiliser Remote Credential Guard pour se connecter aux hôtes distants

  • Restreindre la délégation d’informations d’identification : le client Bureau à distance doit utiliser Administration restreint ou Remote Credential Guard pour se connecter à des hôtes distants. Dans cette configuration, Remote Credential Guard est préférable, mais il utilise le mode Administration restreint (s’il est pris en charge) lorsque Remote Credential Guard ne peut pas être utilisé

    Remarque

    Lorsque restreindre la délégation d’informations d’identification est activé, le /restrictedAdmin commutateur est ignoré. Windows applique la configuration de stratégie à la place et utilise Remote Credential Guard.

Pour configurer vos clients, vous pouvez utiliser :

  • Microsoft Intune/GPM
  • Stratégie de groupe

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Délégation des informations d’identification système > des modèles > d’administration Restreindre la délégation des informations d’identification aux serveurs distants Sélectionnez Activé et, dans la liste déroulante, sélectionnez l’une des options suivantes :
- Restreindre la délégation d’informations d’identification
- Exiger Remote Credential Guard

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp Policy.

Paramètre
- OMA-URI :./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- Type de données : chaîne
- Valeur:<enabled/><data id=\"RestrictedRemoteAdministrationDrop\" value=\"2\"/>

Les valeurs possibles pour RestrictedRemoteAdministrationDrop sont les suivantes :
- 0:Handicapés
- 1: Exiger des Administration restreints
- 2: Exiger Remote Credential Guard
- 3: Restreindre la délégation d’informations d’identification

Expérience de l'utilisateur

Une fois qu’un client reçoit la stratégie, vous pouvez vous connecter à l’hôte distant à l’aide de Remote Credential Guard en ouvrant le client Bureau à distance (mstsc.exe). L’utilisateur est automatiquement authentifié auprès de l’hôte distant :

Remarque

L’utilisateur doit être autorisé à se connecter au serveur distant à l’aide du protocole Bureau à distance, par exemple en étant membre du groupe local Utilisateurs bureau à distance sur l’hôte distant.

Connexions Bureau à distance et scénarios de support technique

Pour les scénarios de support technique dans lesquels le personnel a besoin d’un accès administratif via des sessions Bureau à distance, il n’est pas recommandé d’utiliser Remote Credential Guard. Si une session RDP est lancée sur un client déjà compromis, l’attaquant peut utiliser ce canal ouvert pour créer des sessions au nom de l’utilisateur. L’attaquant peut accéder aux ressources de l’utilisateur pendant une durée limitée après la déconnexion de la session.

Nous vous recommandons d’utiliser plutôt l’option Mode Administration restreint. Pour les scénarios de support technique, les connexions RDP doivent uniquement être lancées à l’aide du /RestrictedAdmin commutateur. Cela permet de garantir que les informations d’identification et les autres ressources utilisateur ne sont pas exposées aux hôtes distants compromis. Pour plus d’informations, consultez Atténuation du vol d’informations d’identification pass-the-hash et autres vols d’informations d’identification v2.

Pour renforcer la sécurité, nous vous recommandons également d’implémenter la solution de mot de passe d’administrateur local Windows (LAPS), qui automatise la gestion des mots de passe de l’administrateur local. LAPS atténue le risque d’escalade latérale et d’autres cyberattaques facilitées lorsque les clients utilisent la même combinaison de compte local d’administration et de mot de passe sur tous leurs ordinateurs.

Pour plus d’informations sur LAPS, consultez Qu’est-ce que Windows LAPS ?

Considérations

Voici quelques considérations relatives à Remote Credential Guard :

  • Remote Credential Guard ne prend pas en charge l’authentification composée. Par exemple, si vous essayez d’accéder à un serveur de fichiers à partir d’un hôte distant qui nécessite une revendication d’appareil, l’accès est refusé
  • Remote Credential Guard peut être utilisé uniquement lors de la connexion à un appareil joint à un domaine Active Directory. Il ne peut pas être utilisé lors de la connexion à des appareils distants joints à Microsoft Entra ID
  • Remote Credential Guard peut être utilisé à partir d’un client joint Microsoft Entra pour se connecter à un hôte distant joint à Active Directory, à condition que le client puisse s’authentifier à l’aide de Kerberos
  • Remote Credential Guard fonctionne uniquement avec le protocole RDP
  • Aucune information d’identification n’est envoyée à l’appareil cible, mais l’appareil cible acquiert toujours des tickets de service Kerberos par lui-même
  • Le serveur et le client doivent s’authentifier à l’aide de Kerberos
  • Remote Credential Guard est pris en charge uniquement pour les connexions directes aux machines cibles. Il n’est pas pris en charge pour les connexions via le service Broker pour les connexions Bureau à distance et la passerelle Bureau à distance