Удаленный Credential Guard

Статья
03/12/2024
Применяется к:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Обзор

Remote Credential Guard помогает защитить учетные данные через подключение к удаленному рабочему столу (RDP), перенаправляя запросы Kerberos обратно на устройство, которое запрашивает подключение. Если целевое устройство скомпрометировано, учетные данные не предоставляются, так как учетные данные и производные учетные данные никогда не передаются по сети целевому устройству. Remote Credential Guard также предоставляет возможности единого входа для сеансов удаленного рабочего стола.

В этой статье описывается настройка и использование Remote Credential Guard.

Важно.

Сведения о сценариях подключения к удаленному рабочему столу с поддержкой службы поддержки см. в разделе Подключения к удаленному рабочему столу и сценарии поддержки службы поддержки в этой статье.

Сравнение remote Credential Guard с другими параметрами подключения

Использование сеанса удаленного рабочего стола без Remote Credential Guard имеет следующие последствия для безопасности:

Учетные данные отправляются и сохраняются на удаленном узле
Учетные данные не защищены от злоумышленников на удаленном узле
Злоумышленник может использовать учетные данные после отключения

Преимущества безопасности remote Credential Guard включают в себя:

Учетные данные не отправляются на удаленный узел
Во время удаленного сеанса вы можете подключаться к другим системам с помощью единого входа.
Злоумышленник может действовать от имени пользователя только в том случае, если сеанс продолжается.

К преимуществам безопасности режима ограниченного Администратор относятся:

Учетные данные не отправляются на удаленный узел
Сеанс удаленного рабочего стола подключается к другим ресурсам в качестве удостоверения удаленного узла
Злоумышленник не может действовать от имени пользователя, и любая атака является локальной для сервера

Используйте следующую таблицу для сравнения различных параметров безопасности подключения к удаленному рабочему столу:

Функция	Удаленный рабочий стол	Удаленный Credential Guard	Режим ограниченного Администратор
Единый вход (SSO) в других системах при входе пользователя	✅	✅	❌
RDP с несколькими прыжками	✅	✅	❌
Запретить использование удостоверения пользователя во время подключения	❌	❌	✅
Запретить использование учетных данных после отключения	❌	✅	✅
Предотвращение передачи хэша (PtH)	❌	✅	✅
Поддерживаемая проверка подлинности	Любой оборотный протокол	Только Kerberos	Любой оборотный протокол
Учетные данные, поддерживаемые клиентским устройством удаленного рабочего стола	— учетные данные для входа — предоставленные учетные данные — Сохраненные учетные данные	— учетные данные для входа — предоставленные учетные данные	— учетные данные для входа — предоставленные учетные данные — Сохраненные учетные данные
Доступ по протоколу RDP предоставляется с помощью	Членство в группе "Пользователи удаленного рабочего стола" на удаленном узле	Членство в группе "Пользователи удаленного рабочего стола" на удаленном узле	Членство в группе администраторов на удаленном узле

Требования к remote Credential Guard

Чтобы использовать Remote Credential Guard, удаленный узел и клиент должны соответствовать следующим требованиям.

Удаленный узел:

Должен разрешать пользователю доступ через подключения к удаленному рабочему столу
Должен разрешать делегирование неисключимых учетных данных клиентскому устройству

Клиентское устройство:

Должно выполняться приложение Windows для удаленного рабочего стола. Приложение универсальная платформа Windows удаленного рабочего стола (UWP) не поддерживает Remote Credential Guard
Для подключения к удаленному узлу необходимо использовать проверку подлинности Kerberos. Если клиенту не удается подключиться к контроллеру домена, RDP пытается вернуться к NTLM. Remote Credential Guard не разрешает резервный вариант NTLM, так как он подвергает учетные данные риску

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Remote Credential Guard:

Windows Pro	Windows Корпоративная	Windows Pro для образовательных учреждений/SE	Windows для образовательных учреждений
Да	Да	Да	Да

Права на лицензии Remote Credential Guard предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE	Windows Корпоративная E3	Windows Корпоративная E5	Windows для образовательных учреждений A3	Windows для образовательных учреждений A5
Да	Да	Да	Да	Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Включение делегирования неисключимых учетных данных на удаленных узлах

Эта политика требуется на удаленных узлах для поддержки режима remote Credential Guard и ограниченного Администратор. Это позволяет удаленному узлу делегировать неисключимые учетные данные клиентскому устройству.
Если этот параметр отключен или не настроен, режим ограниченного Администратор и удаленного credential Guard не поддерживаются. Пользователи должны передать свои учетные данные на узел, подвергая их риску кражи учетных данных у злоумышленников на удаленном узле.

Чтобы включить делегирование неисключимых учетных данных на удаленных узлах, можно использовать:

Microsoft Intune/MDM
Групповая политика
Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Административные шаблоны > Делегирование учетных данных системы >	Удаленный узел разрешает делегирование неисключимых учетных данных	Enabled

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.

Параметр
- OMA-URI:`./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials` - Тип данных: string - Значение:`<enabled/>`

Чтобы настроить устройство с помощью групповой политики, используйте локальный групповая политика Редактор. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных	Удаленный узел разрешает делегирование неисключимых учетных данных	Enabled

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

Чтобы настроить устройства с помощью реестра, используйте следующие параметры:

Параметр
- Путь к ключу:`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa` - Имя ключа:`DisableRestrictedAdmin` - Тип:`REG_DWORD` - Значение:`0`

Это можно добавить, выполнив следующую команду в командной строке с повышенными привилегиями:

reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Настройка делегирования учетных данных на клиентах

Чтобы включить Remote Credential Guard на клиентах, можно настроить политику, которая запрещает делегирование учетных данных удаленным узлам.

Совет

Если вы не хотите настраивать клиенты для применения Remote Credential Guard, можно использовать следующую команду, чтобы использовать Remote Credential Guard для определенного сеанса RDP:

mstsc.exe /remoteGuard

Если на сервере размещается роль узла RDS, команда работает только в том случае, если пользователь является администратором удаленного узла.

Политика может иметь разные значения в зависимости от уровня безопасности, который требуется применить:

Отключено. Ограниченный режим Администратор и remote Credential Guard не применяются, и клиент удаленного рабочего стола может делегировать учетные данные удаленным устройствам.
Требовать ограниченный Администратор: клиент удаленного рабочего стола должен использовать ограниченные Администратор для подключения к удаленным узлам
Требовать remote Credential Guard: клиент удаленного рабочего стола должен использовать Remote Credential Guard для подключения к удаленным узлам
Ограничение делегирования учетных данных. Клиент удаленного рабочего стола должен использовать ограниченный Администратор или Remote Credential Guard для подключения к удаленным узлам. В этой конфигурации удаленный Credential Guard является предпочтительным, но он использует режим ограниченного Администратор (если поддерживается), когда remote Credential Guard не может использоваться

Примечание.

Если параметр Ограничить делегирование учетных/restrictedAdmin данных включен, параметр будет игнорироваться. Вместо этого Windows применяет конфигурацию политики и использует Remote Credential Guard.

Для настройки клиентов можно использовать:

Microsoft Intune/MDM
Групповая политика

Категория	Имя параметра	Значение
Административные шаблоны > Делегирование учетных данных системы >	Ограничение делегирования учетных данных удаленным серверам	Выберите Включено и в раскрывающемся списке выберите один из параметров: - Ограничение делегирования учетных данных - Требовать remote Credential Guard

Параметр

Параметр
- OMA-URI:`./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration` - Тип данных: string - Значение:`<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>` Возможные значения для `RestrictedRemoteAdministrationDrop` : - `0`:Отключен - `1`: требуется ограниченный Администратор - `2`: требуется удаленный Credential Guard - `3`: ограничение делегирования учетных данных

- OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- Тип данных: string
- Значение:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>

Возможные значения для RestrictedRemoteAdministrationDrop :
- 0:Отключен
- 1: требуется ограниченный Администратор
- 2: требуется удаленный Credential Guard
- 3: ограничение делегирования учетных данных

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация компьютера\Административные шаблоны\Система\Делегирование учетных данных	Ограничение делегирования учетных данных удаленным серверам	Включено и в раскрывающемся списке выберите один из вариантов: - Ограничение делегирования учетных данных - Требовать remote Credential Guard

Взаимодействие с пользователем

После получения политики клиентом можно подключиться к удаленному узлу с помощью Remote Credential Guard, открыв клиент удаленного рабочего стола (mstsc.exe). Пользователь автоматически проходит проверку подлинности на удаленном узле:

Примечание.

Пользователь должен быть авторизован для подключения к удаленному серверу по протоколу удаленного рабочего стола, например, будучи членом локальной группы "Пользователи удаленных рабочих столов" на удаленном узле.

Сценарии поддержки подключений к удаленному рабочему столу и службы технической поддержки

Для сценариев поддержки службы поддержки, в которых персоналу требуется административный доступ через сеансы удаленного рабочего стола, не рекомендуется использовать Remote Credential Guard. Если сеанс RDP инициируется для уже скомпрометированного клиента, злоумышленник может использовать этот открытый канал для создания сеансов от имени пользователя. Злоумышленник может получить доступ к любым ресурсам пользователя в течение ограниченного времени после отключения сеанса.

Вместо этого рекомендуется использовать параметр Режим ограниченного Администратор. В сценариях поддержки службы поддержки подключения по протоколу RDP следует инициировать только с помощью /RestrictedAdmin параметра . Это помогает гарантировать, что учетные данные и другие ресурсы пользователей не будут предоставляться скомпрометируемым удаленным узлам. Дополнительные сведения см. в разделе Устранение проблем с передачей хэша и других кражи учетных данных версии 2.

Чтобы еще больше обеспечить безопасность, мы также рекомендуем реализовать решение windows Local Administrator Password Solution (LAPS), которое автоматизирует управление паролями локального администратора. LAPS снижает риск боковой эскалации и других кибератак, облегчаемых, когда клиенты используют одну и ту же локальную учетную запись администратора и сочетание паролей на всех своих компьютерах.

Дополнительные сведения о LAPS см. в статье Что такое Windows LAPS.

Соображения

Ниже приведены некоторые рекомендации по удаленной проверке учетных данных.

Remote Credential Guard не поддерживает составную проверку подлинности. Например, если вы пытаетесь получить доступ к файловму серверу с удаленного узла, которому требуется утверждение устройства, доступ будет запрещен.
Remote Credential Guard можно использовать только при подключении к устройству, присоединенное к домену Active Directory. Его нельзя использовать при подключении к удаленным устройствам, присоединенным к Microsoft Entra ID
Remote Credential Guard можно использовать из клиента, присоединенного к Microsoft Entra, для подключения к удаленному узлу, присоединенного к Active Directory, при условии, что клиент может пройти проверку подлинности с помощью Kerberos.
Remote Credential Guard работает только с протоколом RDP
Учетные данные не отправляются на целевое устройство, но целевое устройство по-прежнему получает билеты службы Kerberos самостоятельно.
Сервер и клиент должны пройти проверку подлинности с помощью Kerberos.
Remote Credential Guard поддерживается только для прямых подключений к целевым компьютерам. Он не поддерживает подключения через брокер подключений к удаленному рабочему столу и шлюз удаленных рабочих столов.

Share via