Удаленный Credential Guard
Обзор
Remote Credential Guard помогает защитить учетные данные через подключение к удаленному рабочему столу (RDP), перенаправляя запросы Kerberos обратно на устройство, которое запрашивает подключение. Если целевое устройство скомпрометировано, учетные данные не предоставляются, так как учетные данные и производные учетные данные никогда не передаются по сети целевому устройству. Remote Credential Guard также предоставляет возможности единого входа для сеансов удаленного рабочего стола.
В этой статье описывается настройка и использование Remote Credential Guard.
Важно.
Сведения о сценариях подключения к удаленному рабочему столу с поддержкой службы поддержки см. в разделе Подключения к удаленному рабочему столу и сценарии поддержки службы поддержки в этой статье.
Сравнение remote Credential Guard с другими параметрами подключения
Использование сеанса удаленного рабочего стола без Remote Credential Guard имеет следующие последствия для безопасности:
- Учетные данные отправляются и сохраняются на удаленном узле
- Учетные данные не защищены от злоумышленников на удаленном узле
- Злоумышленник может использовать учетные данные после отключения
Преимущества безопасности remote Credential Guard включают в себя:
- Учетные данные не отправляются на удаленный узел
- Во время удаленного сеанса вы можете подключаться к другим системам с помощью единого входа.
- Злоумышленник может действовать от имени пользователя только в том случае, если сеанс продолжается.
К преимуществам безопасности режима ограниченного администратора относятся:
- Учетные данные не отправляются на удаленный узел
- Сеанс удаленного рабочего стола подключается к другим ресурсам в качестве удостоверения удаленного узла
- Злоумышленник не может действовать от имени пользователя, и любая атака является локальной для сервера
Используйте следующую таблицу для сравнения различных параметров безопасности подключения к удаленному рабочему столу:
Функция | Удаленный рабочий стол | Удаленный Credential Guard | Режим ограниченного администратора |
---|---|---|---|
Единый вход (SSO) в других системах при входе пользователя | ✅ | ✅ | ❌ |
RDP с несколькими прыжками | ✅ | ✅ | ❌ |
Запретить использование удостоверения пользователя во время подключения | ❌ | ❌ | ✅ |
Запретить использование учетных данных после отключения | ❌ | ✅ | ✅ |
Предотвращение передачи хэша (PtH) | ❌ | ✅ | ✅ |
Поддерживаемая проверка подлинности | Любой оборотный протокол | Только Kerberos | Любой оборотный протокол |
Учетные данные, поддерживаемые клиентским устройством удаленного рабочего стола | — учетные данные для входа — предоставленные учетные данные — Сохраненные учетные данные |
— учетные данные для входа — предоставленные учетные данные |
— учетные данные для входа — предоставленные учетные данные — Сохраненные учетные данные |
Доступ по протоколу RDP предоставляется с помощью | Членство в группе "Пользователи удаленного рабочего стола" на удаленном узле | Членство в группе "Пользователи удаленного рабочего стола" на удаленном узле | Членство в группе администраторов на удаленном узле |
Требования к remote Credential Guard
Чтобы использовать Remote Credential Guard, удаленный узел и клиент должны соответствовать следующим требованиям.
Удаленный узел:
- Должен разрешать пользователю доступ через подключения к удаленному рабочему столу
- Должен разрешать делегирование неисключимых учетных данных клиентскому устройству
Клиентское устройство:
- Должно выполняться приложение Windows для удаленного рабочего стола. Приложение универсальной платформы Windows (UWP) удаленного рабочего стола не поддерживает Remote Credential Guard
- Для подключения к удаленному узлу необходимо использовать проверку подлинности Kerberos. Если клиенту не удается подключиться к контроллеру домена, RDP пытается вернуться к NTLM. Remote Credential Guard не разрешает резервный вариант NTLM, так как он подвергает учетные данные риску
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие Remote Credential Guard:
Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
---|---|---|---|
Да | Да | Да | Да |
Права на лицензии Remote Credential Guard предоставляются следующими лицензиями:
Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
---|---|---|---|---|
Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Включение делегирования неисключимых учетных данных на удаленных узлах
Эта политика требуется на удаленных узлах для поддержки режима удаленного управления учетными данными и ограниченного администратора. Это позволяет удаленному узлу делегировать неисключимые учетные данные клиентскому устройству.
Если этот параметр отключен или не настроен, режим ограниченного администратора и удаленного защитника учетных данных не поддерживается. Пользователи должны передать свои учетные данные на узел, подвергая их риску кражи учетных данных у злоумышленников на удаленном узле.
Чтобы включить делегирование неисключимых учетных данных на удаленных узлах, можно использовать:
- Microsoft Intune/MDM
- Групповая политика
- Реестр
Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
Категория | Имя параметра | Значение |
---|---|---|
Административные шаблоны > Делегирование учетных данных системы > | Удаленный узел разрешает делегирование неисключимых учетных данных | Enabled |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.
Параметр |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - Тип данных: string - Ценность: <enabled/> |
Настройка делегирования учетных данных на клиентах
Чтобы включить Remote Credential Guard на клиентах, можно настроить политику, которая запрещает делегирование учетных данных удаленным узлам.
Совет
Если вы не хотите настраивать клиенты для применения Remote Credential Guard, можно использовать следующую команду, чтобы использовать Remote Credential Guard для определенного сеанса RDP:
mstsc.exe /remoteGuard
Если на сервере размещается роль узла RDS, команда работает только в том случае, если пользователь является администратором удаленного узла.
Политика может иметь разные значения в зависимости от уровня безопасности, который требуется применить:
Отключено: режим ограниченного администратора и удаленного защитника учетных данных не применяется, и клиент удаленного рабочего стола может делегировать учетные данные удаленным устройствам.
Требовать ограниченного администратора: клиент удаленного рабочего стола должен использовать ограниченного администратора для подключения к удаленным узлам
Требовать remote Credential Guard: клиент удаленного рабочего стола должен использовать Remote Credential Guard для подключения к удаленным узлам
Ограничение делегирования учетных данных. Клиент удаленного рабочего стола должен использовать ограниченный администратор или remote Credential Guard для подключения к удаленным узлам. В этой конфигурации удаленный Credential Guard является предпочтительным, но он использует режим ограниченного администрирования (если поддерживается), когда remote Credential Guard не может быть использован.
Примечание.
Если параметр Ограничить делегирование учетных
/restrictedAdmin
данных включен, параметр будет игнорироваться. Вместо этого Windows применяет конфигурацию политики и использует Remote Credential Guard.
Для настройки клиентов можно использовать:
- Microsoft Intune/MDM
- Групповая политика
Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.
Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:
Категория | Имя параметра | Значение |
---|---|---|
Административные шаблоны > Делегирование учетных данных системы > | Ограничение делегирования учетных данных удаленным серверам | Выберите Включено и в раскрывающемся списке выберите один из параметров: - Ограничение делегирования учетных данных - Требовать remote Credential Guard |
Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.
Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика служб CSP политики.
Параметр |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - Тип данных: string - Ценность: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> Возможные значения для RestrictedRemoteAdministrationDrop :- 0 :Нетрудоспособный- 1 : требовать ограниченного администратора- 2 : требуется удаленный Credential Guard- 3 : ограничение делегирования учетных данных |
Взаимодействие с пользователем
После получения политики клиентом можно подключиться к удаленному узлу с помощью Remote Credential Guard, открыв клиент удаленного рабочего стола (mstsc.exe
). Пользователь автоматически проходит проверку подлинности на удаленном узле:
Примечание.
Пользователь должен быть авторизован для подключения к удаленному серверу по протоколу удаленного рабочего стола, например, будучи членом локальной группы "Пользователи удаленных рабочих столов" на удаленном узле.
Сценарии поддержки подключений к удаленному рабочему столу и службы технической поддержки
Для сценариев поддержки службы поддержки, в которых персоналу требуется административный доступ через сеансы удаленного рабочего стола, не рекомендуется использовать Remote Credential Guard. Если сеанс RDP инициируется для уже скомпрометированного клиента, злоумышленник может использовать этот открытый канал для создания сеансов от имени пользователя. Злоумышленник может получить доступ к любым ресурсам пользователя в течение ограниченного времени после отключения сеанса.
Вместо этого рекомендуется использовать параметр Режим ограниченного администрирования. В сценариях поддержки службы поддержки подключения по протоколу RDP следует инициировать только с помощью /RestrictedAdmin
параметра . Это помогает гарантировать, что учетные данные и другие ресурсы пользователей не будут предоставляться скомпрометируемым удаленным узлам. Дополнительные сведения см. в разделе Устранение проблем с передачей хэша и других кражи учетных данных версии 2.
Чтобы еще больше обеспечить безопасность, мы также рекомендуем реализовать решение windows Local Administrator Password Solution (LAPS), которое автоматизирует управление паролями локального администратора. LAPS снижает риск боковой эскалации и других кибератак, облегчаемых, когда клиенты используют одну и ту же локальную учетную запись администратора и сочетание паролей на всех своих компьютерах.
Дополнительные сведения о LAPS см. в статье Что такое Windows LAPS.
Соображения
Ниже приведены некоторые рекомендации по удаленной проверке учетных данных.
- Remote Credential Guard не поддерживает составную проверку подлинности. Например, если вы пытаетесь получить доступ к файловму серверу с удаленного узла, которому требуется утверждение устройства, доступ будет запрещен.
- Remote Credential Guard можно использовать только при подключении к устройству, присоединенное к домену Active Directory. Его нельзя использовать при подключении к удаленным устройствам, присоединенным к Идентификатору Microsoft Entra
- Remote Credential Guard можно использовать из клиента, присоединенного к Microsoft Entra, для подключения к удаленному узлу, присоединенного к Active Directory, при условии, что клиент может пройти проверку подлинности с помощью Kerberos.
- Remote Credential Guard работает только с протоколом RDP
- Учетные данные не отправляются на целевое устройство, но целевое устройство по-прежнему получает билеты службы Kerberos самостоятельно.
- Сервер и клиент должны пройти проверку подлинности с помощью Kerberos.
- Remote Credential Guard поддерживается только для прямых подключений к целевым компьютерам. Он не поддерживает подключения через брокер подключений к удаленному рабочему столу и шлюз удаленных рабочих столов.