Remote Credential Guard
Panoramica
Remote Credential Guard consente di proteggere le credenziali tramite una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che richiede la connessione. Se il dispositivo di destinazione viene compromesso, le credenziali non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai passate in rete al dispositivo di destinazione. Remote Credential Guard offre anche esperienze di accesso Single Sign-On per le sessioni di Desktop remoto.
Questo articolo descrive come configurare e usare Remote Credential Guard.
Importante
Per informazioni sugli scenari di connessione Desktop remoto che coinvolgono il supporto tecnico, vedere Connessioni Desktop remoto e scenari di supporto tecnico in questo articolo.
Confrontare Remote Credential Guard con altre opzioni di connessione
L'uso di una sessione desktop remoto senza Remote Credential Guard ha le implicazioni di sicurezza seguenti:
- Le credenziali vengono inviate e archiviate nell'host remoto
- Le credenziali non sono protette dagli utenti malintenzionati nell'host remoto
- L'utente malintenzionato può usare le credenziali dopo la disconnessione
I vantaggi di sicurezza di Remote Credential Guard includono:
- Le credenziali non vengono inviate all'host remoto
- Durante la sessione remota, è possibile connettersi ad altri sistemi usando l'accesso SSO
- Un utente malintenzionato può agire per conto dell'utente solo quando la sessione è in corso
I vantaggi della sicurezza della modalità restricted Amministrazione includono:
- Le credenziali non vengono inviate all'host remoto
- La sessione desktop remoto si connette ad altre risorse come identità dell'host remoto
- Un utente malintenzionato non può agire per conto dell'utente e qualsiasi attacco è locale nel server
Usare la tabella seguente per confrontare diverse opzioni di sicurezza della connessione Desktop remoto:
| Funzionalità | Desktop remoto | Remote Credential Guard | Modalità di Amministrazione con restrizioni |
|---|---|---|---|
| Single Sign-On (SSO) ad altri sistemi come utente connesso | ✅ | ✅ | ❌ |
| RDP multi hop | ✅ | ✅ | ❌ |
| Impedire l'uso dell'identità dell'utente durante la connessione | ❌ | ❌ | ✅ |
| Impedire l'uso delle credenziali dopo la disconnessione | ❌ | ✅ | ✅ |
| Impedisci pass-the-hash (PtH) | ❌ | ✅ | ✅ |
| Autenticazione supportata | Qualsiasi protocollo negoziabile | Solo Kerberos | Qualsiasi protocollo negoziabile |
| Credenziali supportate dal dispositivo client desktop remoto | - Credenziali di accesso - Credenziali fornite - Credenziali salvate |
- Credenziali di accesso - Credenziali fornite |
- Credenziali di accesso - Credenziali fornite - Credenziali salvate |
| Accesso RDP concesso con | Appartenenza al gruppo Utenti desktop remoto nell'host remoto | Appartenenza al gruppo Utenti desktop remoto nell'host remoto | Appartenenza al gruppo Administrators nell'host remoto |
Requisiti di Remote Credential Guard
Per usare Remote Credential Guard, l'host remoto e il client devono soddisfare i requisiti seguenti.
Host remoto:
- Deve consentire all'utente di accedere tramite connessioni Desktop remoto
- Deve consentire la delega di credenziali non esportabili al dispositivo client
Il dispositivo client:
- Deve eseguire l'applicazione Windows Desktop remoto. L'applicazione Remote Desktop piattaforma UWP (Universal Windows Platform) (UWP) non supporta Remote Credential Guard
- Deve usare l'autenticazione Kerberos per connettersi all'host remoto. Se il client non riesce a connettersi a un controller di dominio, RDP tenta di eseguire il fallback a NTLM. Remote Credential Guard non consente il fallback NTLM perché espone le credenziali al rischio
Requisiti di licenza ed edizione di Windows
La tabella seguente elenca le edizioni di Windows che supportano Remote Credential Guard:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
I diritti di licenza di Remote Credential Guard sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Abilitare la delega delle credenziali non esportabili negli host remoti
Questo criterio è necessario negli host remoti per supportare Remote Credential Guard e la modalità con restrizioni Amministrazione. Consente all'host remoto di delegare le credenziali non esportabili al dispositivo client.
Se si disabilita o non si configura questa impostazione, le Amministrazione limitate e la modalità Remote Credential Guard non sono supportate. Gli utenti devono passare le credenziali all'host, esponendole al rischio di furto di credenziali da parte di utenti malintenzionati nell'host remoto.
Per abilitare la delega delle credenziali non esportabili negli host remoti, è possibile usare:
- Microsoft Intune/MDM
- Criteri di gruppo
- Registro di sistema
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.
Intune/CSP
GPO
Registro di sistemaPer configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Delega delle credenziali di sistema > dei modelli amministrativi > | L'host remoto consente la delega di credenziali non esportabili | Abilitato |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.
| Impostazione |
|---|
- URI OMA:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials- Tipo di dati: stringa - Valore: <enabled/> |
Configurare la delega delle credenziali nei client
Per abilitare Remote Credential Guard nei client, è possibile configurare un criterio che impedisce la delega delle credenziali agli host remoti.
Suggerimento
Se non si vuole configurare i client per applicare Remote Credential Guard, è possibile usare il comando seguente per usare Remote Credential Guard per una sessione RDP specifica:
mstsc.exe /remoteGuard
Se il server ospita il ruolo Host Servizi Desktop remoto, il comando funziona solo se l'utente è un amministratore dell'host remoto.
I criteri possono avere valori diversi, a seconda del livello di sicurezza che si vuole applicare:
Disabilitato: le Amministrazione limitate e la modalità Remote Credential Guard non vengono applicate e il client Desktop remoto può delegare le credenziali ai dispositivi remoti
Richiedi Amministrazione con restrizioni: il client Desktop remoto deve usare restricted Amministrazione per connettersi agli host remoti
Richiedi Remote Credential Guard: Il client Desktop remoto deve usare Remote Credential Guard per connettersi agli host remoti
Limitare la delega delle credenziali: Per connettersi agli host remoti, il client Desktop remoto deve usare Amministrazione con restrizioni o Remote Credential Guard. In questa configurazione è preferibile Remote Credential Guard, ma usa la modalità restricted Amministrazione (se supportata) quando Remote Credential Guard non può essere usato
Nota
Quando l'opzione Limita delega credenziali è abilitata, l'opzione
/restrictedAdminverrà ignorata. Windows applica invece la configurazione dei criteri e usa Remote Credential Guard.
Per configurare i client, è possibile usare:
- Microsoft Intune/MDM
- Criteri di gruppo
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Delega delle credenziali di sistema > dei modelli amministrativi > | Limitare la delega delle credenziali ai server remoti | Selezionare Abilitato e nell'elenco a discesa selezionare una delle opzioni seguenti: - Limitare la delega delle credenziali - Richiedi Remote Credential Guard |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.
| Impostazione |
|---|
- URI OMA:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration- Tipo di dati: stringa - Valore: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>I valori possibili per RestrictedRemoteAdministrationDrop sono:- 0:Disabili- 1: Richiedi Amministrazione con restrizioni- 2: Richiedi Remote Credential Guard- 3: Limitare la delega delle credenziali |
Esperienza utente
Dopo che un client riceve i criteri, è possibile connettersi all'host remoto usando Remote Credential Guard aprendo il client Desktop remoto (mstsc.exe). L'utente viene autenticato automaticamente nell'host remoto:
Nota
L'utente deve essere autorizzato a connettersi al server remoto usando il protocollo Desktop remoto, ad esempio facendo parte del gruppo locale Utenti desktop remoto nell'host remoto.
Scenari di supporto di connessioni desktop remoto e supporto tecnico
Per gli scenari di supporto tecnico in cui il personale richiede l'accesso amministrativo tramite sessioni desktop remoto, non è consigliabile usare Remote Credential Guard. Se viene avviata una sessione RDP a un client già compromesso, l'utente malintenzionato potrebbe usare tale canale aperto per creare sessioni per conto dell'utente. L'utente malintenzionato può accedere a qualsiasi risorsa dell'utente per un periodo di tempo limitato dopo la disconnessione della sessione.
È consigliabile usare invece l'opzione Modalità Amministrazione con restrizioni. Per gli scenari di supporto tecnico, le connessioni RDP devono essere avviate solo tramite il /RestrictedAdmin commutatore. Ciò consente di garantire che le credenziali e altre risorse utente non siano esposte a host remoti compromessi. Per altre informazioni, vedere Mitigating Pass-the-Hash e Other Credential Theft v2.For more information, see Mitigating Pass-the-Hash and Other Credential Theft v2.
Per migliorare ulteriormente la sicurezza, è anche consigliabile implementare Laps (Local Administrator Password Solution) di Windows, che automatizza la gestione delle password dell'amministratore locale. LAPS riduce il rischio di escalation laterale e altri attacchi informatici facilitati quando i clienti usano la stessa combinazione di account locale amministrativo e password in tutti i computer.
Per altre informazioni su LAPS, vedere Che cos'è Windows LAPS.
Considerazioni
Ecco alcune considerazioni per Remote Credential Guard:
- Remote Credential Guard non supporta l'autenticazione composta. Ad esempio, se si sta tentando di accedere a un file server da un host remoto che richiede un'attestazione del dispositivo, l'accesso viene negato
- Remote Credential Guard può essere usato solo quando ci si connette a un dispositivo aggiunto a un dominio di Active Directory. Non può essere usato per la connessione a dispositivi remoti aggiunti a Microsoft Entra ID
- Remote Credential Guard può essere usato da un client aggiunto Microsoft Entra per connettersi a un host remoto aggiunto ad Active Directory, purché il client possa eseguire l'autenticazione tramite Kerberos
- Remote Credential Guard funziona solo con il protocollo RDP
- Non vengono inviate credenziali al dispositivo di destinazione, ma il dispositivo di destinazione acquisisce comunque i ticket di servizio Kerberos autonomamente
- Il server e il client devono eseguire l'autenticazione tramite Kerberos
- Remote Credential Guard è supportato solo per le connessioni dirette ai computer di destinazione. Non è supportata per le connessioni tramite Gestore connessione Desktop remoto e Gateway Desktop remoto
Commenti e suggerimenti
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere: https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per