Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Übersicht
Remote Credential Guard hilft, Anmeldeinformationen über eine Remotedesktopverbindung (RDP) zu schützen, indem Kerberos-Anforderungen an das Gerät zurückgeleitet werden, das die Verbindung anfordert. Wenn das Zielgerät kompromittiert ist, werden die Anmeldeinformationen nicht offengelegt, da weder die Anmeldeinformationen noch deren Ableitungen über das Netzwerk an das Zielgerät übertragen werden. Remote Credential Guard bietet außerdem eine einmalige Anmeldung (Single Sign-On) für Remotedesktopsitzungen.
Dieser Artikel beschreibt, wie Remote Credential Guard konfiguriert und verwendet wird.
Wichtig
Informationen zu Szenarien für Remotedesktopverbindungen mit Helpdeskunterstützung finden Sie in diesem Artikel unter Remotedesktopverbindungen und Helpdesk-Supportszenarien.
Vergleich von Remote Credential Guard mit anderen Verbindungsoptionen
Die Verwendung einer Remotedesktopsitzung ohne Remote Credential Guard hat folgende sicherheitstechnische Auswirkungen:
- Anmeldeinformationen werden an den Remotehost gesendet und dort gespeichert.
- Anmeldeinformationen sind nicht vor Angreifenden auf dem Remotehost geschützt.
- Angreifende können Anmeldeinformationen nach der Trennung weiterhin verwenden.
Die Sicherheitsvorteile von Remote Credential Guard umfassen:
- Anmeldeinformationen werden nicht an den Remotehost gesendet
- Während der Remotesitzung können Sie sich mit anderen Systemen per SSO verbinden.
- Ein Angreifender kann nur während der aktiven Sitzung im Namen des Benutzers handeln.
Die Sicherheitsvorteile des eingeschränkten Admin-Modus umfassen:
- Anmeldeinformationen werden nicht an den Remotehost gesendet
- Die Remotedesktopsitzung stellt als Identität des Remotehosts eine Verbindung zu anderen Ressourcen her.
- Ein Angreifender kann nicht im Namen des Benutzers handeln und Angriffe sind auf den Server lokal beschränkt.
Verwenden Sie die folgende Tabelle, um verschiedene Sicherheitsoptionen für Remotedesktopverbindungen zu vergleichen:
| Feature | Remotedesktop | Remote Credential Guard | Eingeschränkter Admin-Modus |
|---|---|---|---|
| Einmalige Anmeldung (Single Sign-On, SSO) bei anderen Systemen als angemeldeter Benutzer | ✅ | ✅ | ❌ |
| RdP mit mehreren Hops | ✅ | ✅ | ❌ |
| Verwendung der Benutzeridentität während der Verbindung verhindern | ❌ | ❌ | ✅ |
| Verwendung von Anmeldeinformationen nach der Trennung verhindern | ❌ | ✅ | ✅ |
| Pass-the-Hash (PtH) verhindern | ❌ | ✅ | ✅ |
| Unterstützte Authentifizierung | Beliebiges verhandelbares Protokoll | Nur Kerberos | Beliebiges verhandelbares Protokoll |
| Vom Remotedesktopclient unterstützte Anmeldeinformationen | – Angemeldete Anmeldeinformationen – Angegebene Anmeldeinformationen – Gespeicherte Anmeldeinformationen |
– Angemeldete Anmeldeinformationen – Angegebene Anmeldeinformationen |
– Angemeldete Anmeldeinformationen – Angegebene Anmeldeinformationen – Gespeicherte Anmeldeinformationen |
| RDP-Zugriff gewährt mit | Mitgliedschaft in der Gruppe Remotedesktopbenutzer auf dem Remotehost | Mitgliedschaft in der Gruppe Remotedesktopbenutzer auf dem Remotehost | Mitgliedschaft in der Gruppe Admins auf dem Remotehost |
Anforderungen für Remote Credential Guard
Um Remote Credential Guard zu verwenden, müssen der Remotehost und der Client folgende Anforderungen erfüllen.
Der Remotehost:
- Muss dem Benutzer den Zugriff über Remotedesktopverbindungen erlauben.
- Muss die Delegierung nicht exportierbarer Anmeldeinformationen an das Clientgerät zulassen.
Das Clientgerät:
- Die Windows-Remotedesktopanwendung muss ausgeführt werden. Die Anwendung „Universelle Remotedesktop-Windows-Plattform (UWP)“ unterstützt Remote Credential Guard nicht.
- Muss Kerberos-Authentifizierung verwenden, um eine Verbindung mit dem Remotehost herzustellen. Wenn der Client keine Verbindung zu einem Domänencontroller herstellen kann, versucht RDP, auf NTLM zurückzugreifen. Remote Credential Guard erlaubt keinen NTLM-Fallback, da dadurch Anmeldeinformationen gefährdet würden.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Remote Credential Guard unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Ja | Ja | Ja | Ja |
Remote Credential Guard-Lizenzberechtigungen werden durch die folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Ja | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Delegierung nicht exportierbarer Anmeldeinformationen auf den Remotehosts aktivieren
Diese Richtlinie ist auf den Remotehosts erforderlich, um Remote Credential Guard und den eingeschränkten Admin-Modus zu unterstützen. Sie ermöglicht dem Remotehost, nicht exportierbare Anmeldeinformationen an das Clientgerät zu delegieren.
Wenn diese Einstellung deaktiviert oder nicht konfiguriert ist, werden der eingeschränkte Admin- und der Remote Credential Guard-Modus nicht unterstützt. Benutzer müssen ihre Anmeldeinformationen an den Host übergeben, wodurch diese dem Risiko eines Diebstahls durch Angreifende auf dem Remotehost ausgesetzt sind.
Um die Delegierung nicht exportierbarer Anmeldeinformationen auf den Remotehosts zu aktivieren, können Sie Folgendes verwenden:
- Microsoft Intune/MDM
- Gruppenrichtlinie
- Registrierung
Die folgenden Anweisungen enthalten Einzelheiten dazu, wie Sie Ihre Geräte konfigurieren. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Intune/CSP
GPO
RegistrierungUm Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Administrative Vorlagen > System > Delegierung von Anmeldeinformationen | Remotehost erlaubt die Delegierung nicht exportierbarer Anmeldeinformationen. | Aktiviert |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mit einer benutzerdefinierten Richtlinie und der Richtlinie CSP konfigurieren.
| Einstellung |
|---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials- Datentyp: Zeichenfolge - Wert: <enabled/> |
Delegierung von Anmeldeinformationen auf den Clients konfigurieren
Um Remote Credential Guard auf den Clients zu aktivieren, können Sie eine Richtlinie konfigurieren, die die Delegierung von Anmeldeinformationen an die Remotehosts verhindert.
Tipp
Wenn Sie Ihre Clients nicht so konfigurieren möchten, dass Remote Credential Guard erzwungen wird, können Sie den folgenden Befehl verwenden, um Remote Credential Guard für eine bestimmte RDP-Sitzung zu aktivieren:
mstsc.exe /remoteGuard
Wenn der Server die RDS-Hostrolle ausführt, funktioniert der Befehl nur, wenn der Benutzer Admin des Remotehosts ist.
Die Richtlinie kann je nach gewünschtem Sicherheitsniveau unterschiedliche Werte annehmen:
Deaktiviert: Eingeschränkter Admin und Remote Credential Guard-Modus werden nicht erzwungen, und der Remotedesktopclient kann Anmeldeinformationen an Remotegeräte delegieren.
Eingeschränkter Admin erforderlich: Der Remotedesktopclient muss den eingeschränkten Adminmodus verwenden, um eine Verbindung zu Remotehosts herzustellen.
Remote Credential Guard erforderlich: Der Remotedesktopclient muss Remote Credential Guard verwenden, um eine Verbindung zu Remotehosts herzustellen.
Delegierung von Anmeldeinformationen einschränken: Der Remotedesktopclient muss den eingeschränkten Adminmodus oder Remote Credential Guard verwenden, um eine Verbindung zu Remotehosts herzustellen. In dieser Konfiguration wird Remote Credential Guard bevorzugt, verwendet jedoch den eingeschränkten Adminmodus (sofern unterstützt), wenn Remote Credential Guard nicht verwendet werden kann.
Hinweis
Wenn Delegierung von Anmeldeinformationen einschränken aktiviert ist, wird der
/restrictedAdminSchalter ignoriert. Windows erzwingt stattdessen die Richtlinienkonfiguration und verwendet Remote Credential Guard.
Zum Konfigurieren der Clients können Sie Folgendes verwenden:
- Microsoft Intune/MDM
- Gruppenrichtlinie
Die folgenden Anweisungen enthalten Einzelheiten dazu, wie Sie Ihre Geräte konfigurieren. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Administrative Vorlagen > System > Delegierung von Anmeldeinformationen | Delegierung von Anmeldeinformationen auf Remoteserver einschränken | Wählen Sie Aktiviert aus und wählen Sie in der Dropdownliste eine der Optionen aus: - Delegierung von Anmeldeinformationen einschränken - Remote Credential Guard erforderlich |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mit einer benutzerdefinierten Richtlinie und der Richtlinie CSP konfigurieren.
| Einstellung |
|---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration- Datentyp: Zeichenfolge - Wert: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>Mögliche Werte für RestrictedRemoteAdministrationDrop sind:- 0: Deaktiviert- 1: Eingeschränkter Admin erforderlich- 2: Remote Credential Guard erforderlich- 3: Delegierung von Anmeldeinformationen einschränken |
Benutzerfreundlichkeit
Sobald ein Client die Richtlinie erhält, können Sie eine Verbindung zum Remotehost mit Remote Credential Guard herstellen, indem Sie den Remotedesktopclient (mstsc.exe) öffnen. Der Benutzer wird automatisch beim Remotehost authentifiziert:
Hinweis
Der Benutzer muss berechtigt sein, eine Verbindung zum Remoteserver über das Remotedesktopprotokoll herzustellen, beispielsweise als Mitglied der lokalen Gruppe Remotedesktopbenutzer auf dem Remotehost.
Szenarien für Remotedesktopverbindungen und Helpdesk-Support
Für Helpdesk-Supportszenarien, in denen Personal administrativen Zugriff über Remotedesktopsitzungen benötigt, wird die Verwendung von Remote Credential Guard nicht empfohlen. Wenn eine RDP-Sitzung zu einem bereits kompromittierten Client initiiert wird, könnte der Angreifer diesen offenen Kanal nutzen, um Sitzungen im Namen des Benutzers zu erstellen. Der Angreifer kann für eine begrenzte Zeit nach der Trennung der Sitzung auf die Ressourcen des Benutzers zugreifen.
Wir empfehlen stattdessen die Verwendung der Option „Eingeschränkter Adminmodus“. Für Helpdesk-Supportszenarien dürfen RDP-Verbindungen nur mit dem Schalter /RestrictedAdmin initiiert werden. Dies hilft sicherzustellen, dass Anmeldeinformationen und andere Benutzerressourcen nicht für kompromittierte Remotehosts zugänglich sind. Weitere Informationen finden Sie unter Pass-the-Hash und anderen Anmeldeinformationsdiebstahl mildern v2.
Um die Sicherheit weiter zu erhöhen, empfehlen wir außerdem die Implementierung der Windows Local Administrator Password Solution (LAPS), die die Verwaltung lokaler Administratorpasswörter automatisiert. LAPS verringert das Risiko von Lateraleskalation und anderen Cyberangriffen, die entstehen, wenn Kunden auf allen Computern dieselbe Kombination aus lokalem Administratorkonto und Passwort verwenden.
Weitere Informationen zu LAPS finden Sie unter Was ist Windows LAPS.
Überlegungen
Hier einige Hinweise zu Remote Credential Guard:
- Remote Credential Guard unterstützt keine Verbundauthentifizierung. Wenn Sie beispielsweise versuchen, von einem Remotehost auf einen Dateiserver zuzugreifen, der einen Geräteanspruch erfordert, wird der Zugriff verweigert.
- Remote Credential Guard kann nur verwendet werden, wenn eine Verbindung zu einem Gerät hergestellt wird, das mit einer Active Directory-Domäne verbunden ist. Es kann nicht verwendet werden, wenn eine Verbindung zu Remotegeräten hergestellt wird, die mit Microsoft Entra ID verbunden sind.
- Remote Credential Guard kann von einem Microsoft Entra verbundenen Client verwendet werden, um eine Verbindung zu einem in Active Directory eingebundenen Remotehost herzustellen, sofern sich der Client mit Kerberos authentifizieren kann.
- Remote Credential Guard funktioniert nur mit dem RDP-Protokoll.
- Es werden keine Anmeldeinformationen an das Zielgerät gesendet, aber das Zielgerät erwirbt weiterhin eigenständig Kerberos-Diensttickets.
- Server und Client müssen sich mit Kerberos authentifizieren.
- Remote Credential Guard wird nur für direkte Verbindungen zu den Zielcomputern unterstützt. Verbindungen über den Remotedesktop-Verbindungsbroker und das Remotedesktopgateway werden nicht unterstützt.