Remote Credential Guard consente di proteggere le credenziali tramite una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che richiede la connessione. Se il dispositivo di destinazione viene compromesso, le credenziali non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai passate in rete al dispositivo di destinazione. Remote Credential Guard offre anche esperienze di accesso Single Sign-On per le sessioni di Desktop remoto.
Questo articolo descrive come configurare e usare Remote Credential Guard.
Confrontare Remote Credential Guard con altre opzioni di connessione
L'uso di una sessione desktop remoto senza Remote Credential Guard ha le implicazioni di sicurezza seguenti:
Le credenziali vengono inviate e archiviate nell'host remoto
Le credenziali non sono protette dagli utenti malintenzionati nell'host remoto
L'utente malintenzionato può usare le credenziali dopo la disconnessione
I vantaggi di sicurezza di Remote Credential Guard includono:
Le credenziali non vengono inviate all'host remoto
Durante la sessione remota, è possibile connettersi ad altri sistemi usando l'accesso SSO
Un utente malintenzionato può agire per conto dell'utente solo quando la sessione è in corso
I vantaggi della sicurezza della modalità Di amministrazione con restrizioni includono:
Le credenziali non vengono inviate all'host remoto
La sessione desktop remoto si connette ad altre risorse come identità dell'host remoto
Un utente malintenzionato non può agire per conto dell'utente e qualsiasi attacco è locale nel server
Usare la tabella seguente per confrontare diverse opzioni di sicurezza della connessione Desktop remoto:
Funzionalità
Desktop remoto
Remote Credential Guard
Modalità di amministrazione con restrizioni
Single Sign-On (SSO) ad altri sistemi come utente connesso
✅
✅
❌
RDP multi hop
✅
✅
❌
Impedire l'uso dell'identità dell'utente durante la connessione
❌
❌
✅
Impedire l'uso delle credenziali dopo la disconnessione
❌
✅
✅
Impedisci pass-the-hash (PtH)
❌
✅
✅
Autenticazione supportata
Qualsiasi protocollo negoziabile
Solo Kerberos
Qualsiasi protocollo negoziabile
Credenziali supportate dal dispositivo client desktop remoto
- Credenziali di accesso - Credenziali fornite - Credenziali salvate
- Credenziali di accesso - Credenziali fornite
- Credenziali di accesso - Credenziali fornite - Credenziali salvate
Accesso RDP concesso con
Appartenenza al gruppo Utenti desktop remoto nell'host remoto
Appartenenza al gruppo Utenti desktop remoto nell'host remoto
Appartenenza al gruppo Administrators nell'host remoto
Requisiti di Remote Credential Guard
Per usare Remote Credential Guard, l'host remoto e il client devono soddisfare i requisiti seguenti.
Host remoto:
Deve consentire all'utente di accedere tramite connessioni Desktop remoto
Deve consentire la delega di credenziali non esportabili al dispositivo client
Il dispositivo client:
Deve eseguire l'applicazione Windows Desktop remoto. L'applicazione UWP (Universal Windows Platform) desktop remoto non supporta Remote Credential Guard
Deve usare l'autenticazione Kerberos per connettersi all'host remoto. Se il client non riesce a connettersi a un controller di dominio, RDP tenta di eseguire il fallback a NTLM. Remote Credential Guard non consente il fallback NTLM perché espone le credenziali al rischio
Requisiti di licenza ed edizione di Windows
La tabella seguente elenca le edizioni di Windows che supportano Remote Credential Guard:
Windows Pro
Windows Enterprise
Windows Pro Education/SE
Windows Education
Sì
Sì
Sì
Sì
I diritti di licenza di Remote Credential Guard sono concessi dalle licenze seguenti:
Abilitare la delega delle credenziali non esportabili negli host remoti
Questo criterio è necessario negli host remoti per supportare Remote Credential Guard e la modalità di amministrazione con restrizioni. Consente all'host remoto di delegare le credenziali non esportabili al dispositivo client.
Se si disabilita o non si configura questa impostazione, la modalità Amministratore con restrizioni e Remote Credential Guard non è supportata. Gli utenti devono passare le credenziali all'host, esponendole al rischio di furto di credenziali da parte di utenti malintenzionati nell'host remoto.
Per abilitare la delega delle credenziali non esportabili negli host remoti, è possibile usare:
Microsoft Intune/MDM
Criteri di gruppo
Registro di sistema
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.
Delega delle credenziali di sistema > dei modelli amministrativi >
L'host remoto consente la delega di credenziali non esportabili
Abilitato
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.
Impostazione
-
URI OMA:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
-
Tipo di dati: stringa
-
Valore:<enabled/>
Per configurare un dispositivo con Criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo e usare le impostazioni seguenti:
Configurare la delega delle credenziali nei client
Per abilitare Remote Credential Guard nei client, è possibile configurare un criterio che impedisce la delega delle credenziali agli host remoti.
Suggerimento
Se non si vuole configurare i client per applicare Remote Credential Guard, è possibile usare il comando seguente per usare Remote Credential Guard per una sessione RDP specifica:
Prompt dei comandi di Windows
mstsc.exe /remoteGuard
Se il server ospita il ruolo Host Servizi Desktop remoto, il comando funziona solo se l'utente è un amministratore dell'host remoto.
I criteri possono avere valori diversi, a seconda del livello di sicurezza che si vuole applicare:
Disabilitato: l'amministratore con restrizioni e la modalità Remote Credential Guard non vengono applicati e il client Desktop remoto può delegare le credenziali ai dispositivi remoti
Richiedi amministratore con restrizioni: il client Desktop remoto deve usare l'amministratore con restrizioni per connettersi agli host remoti
Richiedi Remote Credential Guard: Il client Desktop remoto deve usare Remote Credential Guard per connettersi agli host remoti
Limitare la delega delle credenziali: il client Desktop remoto deve usare l'amministratore con restrizioni o Remote Credential Guard per connettersi agli host remoti. In questa configurazione è preferibile Remote Credential Guard, ma usa la modalità di amministrazione con restrizioni (se supportata) quando Remote Credential Guard non può essere usato
Nota
Quando l'opzione Limita delega credenziali è abilitata, l'opzione /restrictedAdmin verrà ignorata. Windows applica invece la configurazione dei criteri e usa Remote Credential Guard.
Per configurare i client, è possibile usare:
Microsoft Intune/MDM
Criteri di gruppo
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.
Delega delle credenziali di sistema > dei modelli amministrativi >
Limitare la delega delle credenziali ai server remoti
Selezionare Abilitato e nell'elenco a discesa selezionare una delle opzioni seguenti:
-
Limitare la delega delle credenziali
-
Richiedi Remote Credential Guard
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.
Impostazione
-
URI OMA:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
-
Tipo di dati: stringa
-
Valore:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>
I valori possibili per RestrictedRemoteAdministrationDrop sono:
-
0:Disabile
-
1: Richiedi amministratore con restrizioni
-
2: Richiedi Remote Credential Guard
-
3: Limitare la delega delle credenziali
Per configurare un dispositivo con Criteri di gruppo, usare l'Editor Criteri di gruppo locali. Per configurare più dispositivi aggiunti ad Active Directory, creare o modificare un oggetto Criteri di gruppo e usare le impostazioni seguenti:
Dopo che un client riceve i criteri, è possibile connettersi all'host remoto usando Remote Credential Guard aprendo il client Desktop remoto (mstsc.exe). L'utente viene autenticato automaticamente nell'host remoto:
Nota
L'utente deve essere autorizzato a connettersi al server remoto usando il protocollo Desktop remoto, ad esempio facendo parte del gruppo locale Utenti desktop remoto nell'host remoto.
Scenari di supporto di connessioni desktop remoto e supporto tecnico
Per gli scenari di supporto tecnico in cui il personale richiede l'accesso amministrativo tramite sessioni desktop remoto, non è consigliabile usare Remote Credential Guard. Se viene avviata una sessione RDP a un client già compromesso, l'utente malintenzionato potrebbe usare tale canale aperto per creare sessioni per conto dell'utente. L'utente malintenzionato può accedere a qualsiasi risorsa dell'utente per un periodo di tempo limitato dopo la disconnessione della sessione.
Per migliorare ulteriormente la sicurezza, è anche consigliabile implementare Laps (Local Administrator Password Solution) di Windows, che automatizza la gestione delle password dell'amministratore locale. LAPS riduce il rischio di escalation laterale e altri attacchi informatici facilitati quando i clienti usano la stessa combinazione di account locale amministrativo e password in tutti i computer.
Ecco alcune considerazioni per Remote Credential Guard:
Remote Credential Guard non supporta l'autenticazione composta. Ad esempio, se si sta tentando di accedere a un file server da un host remoto che richiede un'attestazione del dispositivo, l'accesso viene negato
Remote Credential Guard può essere usato solo quando ci si connette a un dispositivo aggiunto a un dominio di Active Directory. Non può essere usato per la connessione a dispositivi remoti aggiunti a Microsoft Entra ID
Remote Credential Guard può essere usato da un client aggiunto a Microsoft Entra per connettersi a un host remoto aggiunto ad Active Directory, purché il client possa eseguire l'autenticazione tramite Kerberos
Remote Credential Guard funziona solo con il protocollo RDP
Non vengono inviate credenziali al dispositivo di destinazione, ma il dispositivo di destinazione acquisisce comunque i ticket di servizio Kerberos autonomamente
Il server e il client devono eseguire l'autenticazione tramite Kerberos
Remote Credential Guard è supportato solo per le connessioni dirette ai computer di destinazione. Non è supportata per le connessioni tramite Gestore connessione Desktop remoto e Gateway Desktop remoto
Questo modulo illustra come proteggere il proprio ambiente Active Directory proteggendo gli account utente con il principio dei privilegi minimi e inserendoli nel gruppo Utenti protetti. Spiega come limitare l'ambito di autenticazione e correggere gli account potenzialmente non sicuri.
Informazioni su come Credential Guard consente di impedire il passaggio degli attacchi hash usando la sicurezza basata sulla virtualizzazione per proteggere le credenziali nel sistema da rubare da un amministratore o malware compromesso.