Remote Credential Guard

概觀

Remote Credential Guard 藉由將 Kerberos 要求重新導向回要求連線的裝置，協助保護透過遠端桌面 (RDP) 連線的認證。 如果目標裝置遭到入侵，則不會公開認證，因為認證和認證衍生項目永遠不會透過網路傳遞至目標裝置。 Remote Credential Guard 也提供遠端桌面會話的單一登錄體驗。

本文說明如何設定和使用遠端 Credential Guard。

重要

如需有關涉及技術服務台支援的遠端桌面連線案例的詳細資訊，請參閱本文中的 遠端桌面連線和技術服務台支援 案例。

比較 Remote Credential Guard 與其他連線選項

使用沒有遠端 Credential Guard 的遠端桌面工作階段具有下列安全性影響：

• 認證會傳送至遠端主機並儲存在遠端主機上
• 認證不受遠端主機上的攻擊者保護
• 攻擊者可以在中斷連線後使用認證

Remote Credential Guard 的安全性優點包括：

• 認證不會傳送至遠端主機
• 在遠端工作階段期間，您可以使用 SSO 連線到其他系統
• 攻擊者只能在會話進行時代表用戶採取行動

受限制的系統管理模式的安全性優點包括：

• 認證不會傳送至遠端主機
• 遠端桌面會話會連線到其他資源作為遠端主機的身分識別
• 攻擊者無法代表使用者採取行動，而且任何攻擊都是伺服器的本機攻擊

使用下表來比較不同的遠端桌面連線安全性選項：

功能	遠端桌面	Remote Credential Guard	受限制的系統管理模式
單一登錄 (SSO 以登入使用者身分) 至其他系統	✅	✅	❌
多躍點 RDP	✅	✅	❌
防止在連線期間使用使用者的身分識別	❌	❌	✅
在中斷連線后防止使用認證	❌	✅	✅
防止傳遞哈希 (PtH)	❌	✅	✅
支持的驗證	任何可商用的通訊協定	僅限 Kerberos	任何可商用的通訊協定
遠端桌面用戶端裝置支援的認證	- 登入認證 - 提供的認證 - 儲存的認證	- 登入認證 - 提供的認證	- 登入認證 - 提供的認證 - 儲存的認證
授與的 RDP 存取權	遠端主機上 遠端桌面使用者 群組的成員資格	遠端主機上 遠端桌面使用者 群組的成員資格	遠端主 機上系統管理員 群組的成員資格

遠端 Credential Guard 需求

若要使用遠端 Credential Guard，遠端主機和客戶端必須符合下列需求。

遠端主機：

• 必須允許使用者透過遠端桌面連線存取
• 必須允許將不可匯出認證委派給客戶端裝置

用戶端裝置：

• 必須執行遠端桌面 Windows 應用程式。 遠端桌面通用 Windows 平臺 (UWP) 應用程式不支援遠端 Credential Guard
• 必須使用 Kerberos 驗證來連線到遠端主機。 如果客戶端無法連線到域控制器，則 RDP 會嘗試切換回 NTLM。 遠端 Credential Guard 不允許 NTLM 後援，因為它會公開認證的風險

Windows 版本和授權需求

下表列出支持遠端 Credential Guard 的 Windows 版本：

Windows 專業版	Windows 企業版	Windows 專業教育版/SE	Windows 教育版
是	是	是	是

遠端 Credential Guard 授權權利由下列授權授與：

Windows 專業版/專業教育版/SE	Windows 企業版 E3	Windows 企業版 E5	Windows 教育版 A3	Windows 教育版 A5
是	是	是	是	是

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

在遠端主機上啟用不可匯出認證的委派

遠端主機上需要此原則，才能支持遠端 Credential Guard 和受限制的系統管理模式。 它可讓遠端主機將不可導出的認證委派給用戶端裝置。
如果您停用或未設定此設定，則不支援受限制的系統管理員和遠端 Credential Guard 模式。 用戶必須將其認證傳遞至主機，讓他們暴露在遠端主機上遭到攻擊者竊取認證的風險。

若要在遠端主機上啟用不可匯出認證的委派，您可以使用：

• Microsoft Intune/MDM
• 群組原則
• 登錄

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune/CSP

若要使用 Microsoft Intune 設定裝置， 請建立 [設定] 目錄原則 ，並使用下列設定：

類別	設定名稱	值
系統管理 > 範本系統 > 認證委派	遠端主機允許委派不可導出的認證	啟用

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者，您可以使用 自定義 原則搭配原則 CSP 來設定裝置。

設定
- OMA-URI：./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - 數據類型： 字串 - 價值：<enabled/>

GPO

若要設定具有組策略的裝置，請使用本地 組原則編輯器。 若要設定多個已加入 Active Directory 的裝置，請 (GPO) 建立或編輯 組策略物件，並使用下列設定：

組策略路徑	組策略設定	值
計算機設定\系統管理範本\系統\認證委派	遠端主機允許委派不可導出的認證	啟用

組策略可以 連結 至網域或組織單位、 使用安全組進行篩選，或 使用WMI篩選器進行篩選。

登錄

若要使用登錄設定裝置，請使用下列設定：

設定
- 索引鍵路徑：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa - 機碼名稱：DisableRestrictedAdmin - 類型：REG_DWORD - 價值：0

您可以從提升權限的指令提示字元執行下列命令來新增此項目：

reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

在客戶端上設定認證委派

若要在用戶端上啟用 Remote Credential Guard，您可以設定原則來防止將認證委派給遠端主機。

提示

如果您不想將用戶端設定為強制執行遠端 Credential Guard，您可以使用下列命令，針對特定的 RDP 會話使用 Remote Credential Guard：

mstsc.exe /remoteGuard

如果伺服器裝載 RDS 主機角色，則只有當使用者是遠端主機的系統管理員時，命令才能運作。

原則可以有不同的值，視您想要強制執行的安全性層級而定：

• 已停用：系統不會強制執行 受限制的系統管理員 和 遠端認證防護 模式，而且遠端桌面用戶端可以將認證委派給遠端裝置

• 需要受限制的系統管理員：遠端桌面客戶端必須使用受限制的系統管理員來連線到遠端主機

• 需要遠端 Credential Guard：遠端桌面客戶端必須使用遠端 Credential Guard 來連線到遠端主機

• 限制認證委派：遠端桌面客戶端必須使用受限制的系統管理員或遠端 Credential Guard 來連線到遠端主機。 在此設定中，建議使用 Remote Credential Guard，但如果無法使用遠端 Credential Guard 時支援) ，則會使用受限制的系統管理模式 (

  注意

  啟用 [限制認證 委派] 時， /restrictedAdmin 將會忽略參數。 Windows 會改為強制執行原則設定，並使用遠端 Credential Guard。

若要設定用戶端，您可以使用：

• Microsoft Intune/MDM
• 群組原則

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

Intune/CSP

若要使用 Microsoft Intune 設定裝置， 請建立 [設定] 目錄原則 ，並使用下列設定：

類別	設定名稱	值
系統管理 > 範本系統 > 認證委派	限制委派認證至遠端伺服器	選 取 [已啟用 ]，然後在下拉式清單中選取其中一個選項： - 限制認證委派 - 需要遠端 Credential Guard

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者，您可以使用 自定義 原則搭配原則 CSP 來設定裝置。

設定
- OMA-URI：./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - 數據類型： 字串 - 價值：<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> 的可能值 RestrictedRemoteAdministrationDrop 為： - 0：禁用 - 1：需要受限制的系統管理員 - 2：需要遠端 Credential Guard - 3：限制認證委派

GPO

若要設定具有組策略的裝置，請使用本地 組原則編輯器。 若要設定多個已加入 Active Directory 的裝置，請 (GPO) 建立或編輯 組策略物件，並使用下列設定：

組策略路徑	組策略設定	值
計算機設定\系統管理範本\系統\認證委派	限制委派認證至遠端伺服器	已啟用 ，然後在下拉式清單中選取其中一個選項： - 限制認證委派 - 需要遠端 Credential Guard

組策略可以 連結 至網域或組織單位、 使用安全組進行篩選，或 使用WMI篩選器進行篩選。

登錄

未記載。

使用者體驗

一旦用戶端收到原則，您可以開啟遠端桌面客戶 mstsc.exe 端 () ，以使用遠端 Credential Guard 連線到遠端主機。 使用者會自動向遠端主機進行驗證：

注意

使用者必須獲得授權，才能使用遠端桌面通訊協定連線到遠端伺服器，例如，身為遠端主機上遠端桌面用戶本地組的成員。

遠端桌面連線和技術服務台支援案例

針對人員需要透過遠端桌面會話進行系統管理存取的技術支援案例，不建議使用遠端 Credential Guard。 如果 RDP 工作階段起始至已遭入侵的客戶端，攻擊者可以使用該開啟通道代表使用者建立會話。 在會話中斷連線之後，攻擊者可以在有限的時間記憶體取任何用戶的資源。

建議您改用 [受限制的系統管理模式] 選項。 針對技術支援案例，RDP 連線應該只使用 參數來 /RestrictedAdmin 起始。 這有助於確保認證和其他用戶資源不會公開給遭入侵的遠端主機。 如需詳細資訊，請參閱 減輕傳遞哈希和其他認證竊取 v2。

為了進一步強化安全性，我們也建議您在 LAPS) (實作 Windows 本機系統管理員密碼解決方案，以自動化本機系統管理員密碼管理。 當客戶在其所有計算機上使用相同的系統管理本機帳戶和密碼組合時，LAPS 可降低橫向升級和其他網路攻擊的風險。

如需LAPS的詳細資訊，請參閱 什麼是Windows LAPS。

考慮

以下是遠端 Credential Guard 的一些考慮：

• 遠端 Credential Guard 不支援復合驗證。 例如，如果您嘗試從需要裝置宣告的遠端主機存取檔案伺服器，則會拒絕存取
• 遠端 Credential Guard 只能在連線到已加入 Active Directory 網域的裝置時使用。 聯機到聯結至 Microsoft Entra ID 的遠端裝置時，無法使用此識別碼
• 只要用戶端可以使用 Kerberos 進行驗證，即可從已加入 Microsoft Entra 的用戶端使用 Remote Credential Guard 連線到已加入 Active Directory 的遠端主機
• Remote Credential Guard 只適用於 RDP 通訊協定
• 不會將認證傳送至目標裝置，但目標裝置仍會自行取得 Kerberos 服務票證
• 伺服器和客戶端必須使用 Kerberos 進行驗證
• 只有直接連線到目標機器時，才支援 Remote Credential Guard。 它不支援透過遠端桌面連線代理人和遠端桌面閘道的連線