Windows 11 22H2: Verhunzter Defender Remote Credential Guard?

Windows[English]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser vorige Woche per Mail zugeschickt wurde. Microsoft treibt zwar "viel Aufwand", um die Systeme mit Windows abzusichern. Aber die immer wieder auftretenden Bugs machen das Ganze zum Lotteriespiel. In Windows 11 22H2 deutet es sich an, dass der Remote Credential Guard des Windows Defender, der das Stehlen von Anmeldeinformationen auf Terminalservern verhindert soll, nur unter speziellen Konstellationen funktioniert. Administratoren, die das testen können, werden gebeten, da mal einen Blick drauf zu werfen und hier Rückmeldung zu geben.


Anzeige

Remote Credential Guard

Anmeldeinformationen von Administratoren sind hoch privilegiert und deren Schutz bekommt eine hohe Bedeutung. Microsoft hat daher bereits in Windows 10, Version 1607, den Windows Defender Remote Credential Guard eingeführt. Das Sicherheitsfeature hilft dabei, Anmeldeinformationen über eine Remotedesktopverbindung zu schützen. Dazu leitet der Remote Credential Guard des Windows Defender Kerberos-Anfragen an das Gerät zurück, das die Verbindung anfordert.

Der Windows Defender Remote Credential Guard stellt sicher, dass die Anmeldedaten, die für die Verbindung während einer Remotedesktopsitzung verwendet werden, geschützt sind. Das gilt sogar für die Fälle, in denen das Zielgerät kompromittiert wird, da sowohl die Anmeldedaten als auch die Ableitungen der Anmeldedaten niemals über das Netzwerk an das Zielgerät weitergeleitet werden. Außerdem ermöglicht das Feature eine einmalige Anmeldung für Remotedesktopsitzungen. Microsoft beschreibt die Details des Windows Defender Remote Credential Guard in diesem Support-Beitrag. Wolfgang Sommergut hat die Funktion und deren Aktivierung z.B. in diesem Beitrag beschrieben.

Leser berichtet von Problemen

Blog-Leser W. A. hat mich zum 8. Juni 2023 per Mail kontaktiert (wegen Feier- und Brückentag komme ich es heute dazu, das aufzubereiten). Der Leser schreibt:

Servus Herr Born!

Vielleicht ist dieser Umstand einen Bericht wert:

ein von Microsoft wärmstens empfohlenes Sicherheitsfeature wird offenbar kaum genutzt.

Und zwar: Remote Credential Guard, welches das Stehlen von Anmeldeinformationen auf Terminalservern unmöglich machen soll [siehe die obigen Erklärung]. Eigentlich eine feine Sache.

Ich habe festgestellt, dass es nur genau dann mit Microsofts neuestem Windows (11 22H2) funktioniert, wenn man auch auf der anderen Seite der RDP-Verbindung ebenfalls Windows 11 22H2 hat.

Andernfalls lässt Windows zwar die Anmeldung zu, aber die eigentliche Funktion von Remote Credential Guard, nämlich die Umleitung der Autorisierungsanfragen an den Rechner von dem man ursprünglich kommt, ist nicht mehr gegeben: Single-Sign-On (SSO) ist zerstört und man muss sich stets re-authentifizieren.

Das ist schon ein dicker Bock, denn auch Windows-11-Nutzer werden ja mitunter Terminalserver nutzen und da läuft dann ein Server OS (2016/2019/2022) und mit keinem von diesen funktioniert dann SSO mehr. Will man von den Servern aus also auf Domänen-Ressourcen rauf, muss man sich jedes Mal re-authentifizieren.

Hier wäre die Frage an Administratoren, ob dies so bestätigt werden kann. Insgesamt scheint das Feature Microsoft nicht wirklich genutzt zu werden, denn der Leser schreibt dazu:


Anzeige

Das eigentlich Erstaunliche ist aus meiner Sicht aber, dass dies offenbar niemanden stört. Ich habe den Sachverhalt nun schon in 4 Foren geschildert (administrator.de, experts-exchange.com, 4sysops.com, Microsoft Q&A ) und nirgendwo kam auch nur eine einzige Antwort.

Somit sieht es mir so aus, als würde niemand (außer uns :-) ) dieses Feature überhaupt nutzen. Denn unter Admins wird Windows 11 22H2 ja durchaus schon produktiv genutzt bzw. zumindest schon getestet – an der OS-Verbreitung sollte es nicht liegen.

"Alle reden von Sicherheit, aber keiner kriegt es hin?"

Das ist natürlich jetzt eine spannende Frage: Ist das Feature wirklich nicht in Benutzung, oder liegt das Problem in der Umgebung des Betroffenen?


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

27 Antworten zu Windows 11 22H2: Verhunzter Defender Remote Credential Guard?

  1. Leidensgenosse sagt:

    Wir haben Credential Guard schlicht aus einem Grund nicht in Nutzung, es setzt Kerberos für den remote credential guard voraus. Wäre das schlimm? Nein natürlich nicht aber redundante Connection Broker können mit Boardmitteln nicht "kerberized" werden und sauberes loadbalancing für rdp connection broker in Drittprodukten ist eher ein zustand als eine Lösung. Obendrein wurden credentials in den Sessions mit Remote Credential Guard auch häufig verfworfen (Vermutung kurze Verbindungsunterbrechungen) was vielen Anwendungen mangels ordentlicher reconnect fähigkeit dann nicht so schmeckte.

    Kurzum wir haben credential guard und damit remote credential guard beerdigt. Ein Lösungsansatz wäre die Connection Broker mit einem Service Account laufen zu lassen, einfache Versuche dazu scheiterten (Zeit ist kostbar) und eine offizielle Dokumentation fehlt – entsprechend wohl auch der Support für eine derartige Konfig. Den SPN in einem Failoverprinzip im AD zu pflegen wäre ein weiterer Ansatz um zumindest die Ausfallsicherheit herzustellen aber nunja…Bastellösung die aber zumindest erfolgreich getestet wurde aber das Thema mit verlorenen Credentials in den Sitzungen zu Remotesystemen bleibt.
    Wir hatten dazu auch längere Sessions mit RDS Gurus (Schleichwerbung) aber auch denen ist keine Lösung dazu bekannt. Für die eigentlich Verbindung zum Session Host wird dann wieder Kerberos genutzt weil halt alles da ist was es dazu braucht, passender spn inklusive auf einer Maschine ohen Service Account.

    Dass sich die ganzen Citrix Freunde darum nicht scheren ist schnell erklärt, der Citrix Client nutzt (remote) credential guard schon gar nicht :)

    Das aber nicht erst seit Windows 11 sondern schon vorher.

    Alles in allem "Ist das Feature wirklich nicht in Benutzung"
    Nicht in Nutzung und aufgrund der fehlenden Artikel, Hilfen in Foren usw. gehe ich davon aus dass, das feature zwar toll wäre aber zu viele tücken aufweist als das es breit genutzt werden würde.

  2. Florian sagt:

    Wir nutzen das Feature Remote Credential Guard auch gar nicht.
    Gut wir haben zwar Citrix für die User, aber für die Server Administration kommt häufiger RDP zum Einsatz.

    Das Gefühl "Somit sieht es mir so aus, als würde niemand (außer uns :-) ) dieses Feature überhaupt nutzen." ging es mir vor Jahren beim Versuch der Einführung von Group Managed Service Accounts. Jede Software bei der ich es versucht habe, konnte damit einfach nicht umgehen und hat dann wieder ein normales AD-Konto mit einem KW das nicht abläuft bekommen :(

    Das Schlimme daran ist, dass es seitens meiner Vorgesetzten keine Forderung in Richtung Software Hersteller gibt.

  3. Damiel sagt:

    Nachträgliche Ergänzung: genaues Lesen hilft! W. A. geht es nicht um die Anmeldung am RDP-Server, sondern um den Zugriff auf weitere Ressourcen auf anderen Servern. Da sehe ich das Problem auch.

    Kann ich nicht bestätigen (bzw. doch, siehe Ergänzung oben!). Ich verwende Remote Credential Guard normalerweise nicht, habe es aber gerade ausprobiert und es hat auf Anhieb funktioniert.

    Konfiguration: Host Windows Server 2022, DisableRestrictedAdmin=0 gesetzt, Client Windows 11 22H2, mit einem Domänenuser angemeldet, der in der Remotedesktopbenutzer-Gruppe ist, RDP-Client mit mstsc.exe /remoteGuard gestartet. Damit werde ich direkt durchverbunden, ohne erneut Credentials eingeben zu müssen.

    "Credential Guard" und "Remote Credential Guard" haben übrigens m. E. außer dem ähnlichen Namen nichts miteinander zu tun. "Remote Credential Guard" ist eine Art Kerberos-single-sign-on für Remotedesktop-Verbindungen, während "Credential Guard" mittels Virtualisierung das Auslesen von Credentials aus dem Client-Hauptspeicher à la Mimikatz erschwert.

    Zu "Credential Guard" habe ich übrigens eine sehr interessante Beobachtung gemacht. Bisher war dieses Feature ja nur in den Enterprise-Clients freigeschaltet. Unter Windows 11 22H2 Pro und Pro Education (NICHT Enterprise) läuft bei mir jedoch ebenfalls der lsalso.exe-Prozess und auch msinfo32.exe zeigt den Credential Guard unter "Virtualisierungsbasierte Sicherheit – ausgeführte Dienste" an. Die Einträge im Eventlog sind allerdings widersprüchlich.

    Kann das jemand bestätigen? Eine offizielle Ankündigung dafür habe ich noch nicht gefunden. Es wäre aber sehr erfreulich (um nicht zu sagen: überfällig), wenn mit 22H2 Credential Guard jetzt auch in Windows 11 Pro freigeschaltet ist.

    • Leidgenosse sagt:

      Mit lokal aktivem Credential Guard auf Clientseite kein durchreichen der RDP Anmeldeinfos ohne Remote Credential Guard, kurzum kein SSO ;)

      Kerberos SSO funktioniert per RDP auch grundlegend ohne Remote Credential Guard – letzteres setzt aber eben Kerberos voraus.

  4. Christian sagt:

    Auch bei uns aktiv und ich suche gerade, wie ich den Mist los werde, da alle Mitarbeiter von dem ständigen re-authentifizieren genervt sind und sich ein funktionierendes SSO zurückwünschen.
    Verbindungsabbrüche haben wir tatsächlich auch seit kurzem mit den RDP Sessions.
    Ich hoffe, dass sich diese Abbrüche auch bei uns mit dem Abschalten des Credential Guards beheben lassen.

    Sicherheit hin oder her – Komfort sieht anders aus und lässt sich sicherlich auch ohne Kerberos gestalten.

  5. Bernhard Diener sagt:

    Ok, ich habe nun zwei Bestätigungen, dass es nicht geht (hatte aber auch keine Zweifel, da es an leeren Systemen / frischen Labordomänen auch nicht geht). Ich werde einen Supportfall bei Microsoft eröffnen und rechne gegen Weihnachten mit einer Reaktion.

  6. Bernhard Diener sagt:

    Microsoft Support teilte mir heute endlich mit:

    that the issue was being investigated by our SEE, a request has been submitted to the Servicing Division Unit to investigate the behavior issue and that this problem is known issue "code defect" and is being handled by our Servicing Division Unit (SDU)

    The good news is, The SDU informed us that there is cumulative update preview is available (11D), to be published last week of November, however this is an ETA "Estimated time of arrival" and not a guaranteed release date, as the release date can change, and we don't provide any engagement on the release date

    Sprich: Bug erkannt, preview-Patch Ende November, Fix voraussichtlich im Dezember CU. Ergo: ich lag mit meiner Einschätzung "zu Weihnachten" fast richtig.

  7. Jürgen sagt:

    Hallo, gibt es hier schon was Neues?

  8. Bernhard Diener sagt:

    Salve.

    Microsoft hat gestern ein release preview update (insider) für Win11 22H2 und 23H2 herausgegeben, das den Fehler beheben soll: https://blogs.windows.com/windows-insider/2024/03/21/releasing-windows-11-builds-22621-3371-and-22631-3371-to-the-release-preview-channel/
    Zitat: "This update addresses an issue that affects a network resource. You cannot access it from a Remote Desktop session. This occurs when you turn on the Remote Credential Guard feature and the client is Windows 11, version 22H2 or higher."

    habe es installiert auf 2 Win11 23H2 – KEINE VERBESSERUNG. Auch im Forenthread auf MS Q&A das selbe negative Echo von einem weiteren: https://learn.microsoft.com/en-us/answers/questions/1294080/windows-11-22h2-remote-credential-guard-(rcg)-hop

    Habe daraufhin den Supportfall wieder geöffnet. Erfahrugsgemäß meldet das Pack aber sich nicht vor April bei mir zurück.

  9. Bernhard Diener sagt:

    Oh diese Kommentarfunktion. Sie bringt mich noch ins Grab. Verschluckt sehr häufig das Geschriebene komplett!

    Also: gestern, am 21.3.24 kam ein release preview update für Win11 Insider, was in den releasenotes angab, eben dieses Problem GELÖST zu haben. Hat es aber nicht.
    Ich habe heute den Supportfall, den Microsoft natürlich bevor ich den Patch prüfen konnte automatisch schließt, wieder geöffnet und gemeldet, dass der Patch nicht funktioniert. Erfahrundgsgemäß meldet sich Microsoft daraufhin nicht vor April. Somit erneut: ich halte Euch auf dem Laufenden,

  10. Bernhard Diener sagt:

    Lange hat's gedauert… jetzt ist der Patch da und läuft auch, wie er soll:
    Win10 22H2: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5035941
    Win11 23H2: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5035942

  11. Bernhard Diener sagt:

    Was weiterhin nicht läuft ist RCG wenn man sich von Win11 mit Servern (2016/2019/2022) verbindet, aber hier fehlt auch noch der serverseitige Patch. Ich hoffe, dass er im nächsten Patchday kommt.

  12. David sagt:

    Es geschehen noch Zeichen und Wunder, die April Updates für Win11 und Win Server fixen das RCG/SSO Problem endlich! :o

  13. David sagt:

    Heute hat sich auf meinem Surface Laptop 6 das 24H2 Win11 Update (Build 26100.863) über Windows Autopatch installiert und was soll ich sagen? Der Bug ist zurück, SSO/Netzwerkanmeldungen über RDP mit RCG sind wieder kaputt! :-o

    Mal ganz davon abgesehen, dass das Update meines Kenntnisstandes nach noch in der Release Preview ist und die Autopatch Policy auf "General Availability channel" steht…

    • David sagt:

      Habe heute die finale Version 24H2 (26100.1742) installiert und ich kann leider bestätigen, dass der Bug zurück ist. Das kann doch echt nicht sein MS…

  14. Olaf Eitner sagt:

    Ich will ja keine Pferde scheu machen (:-), aber bei einigen unserer MS Clients (Win11 Pro 23H2) verabschiedet sich Lsalso.exe seit neuestem (24.07.2024) mit einem BSOD (CRITICAL PROCESS DIED und "Unzulässiger Zugriff auf Speicherbereich"). Also erst mal ausschalten. Meine Literatur dazu [1]: https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/configure

    Übrigens, die Einstellung via Microsoft Defender (Kernisolierung, Speicher…) ignoriert GPO Einstellungen zu "Virtualisierungsbasierter Sicherheit…" muss das so sein? Alles in Ruhe noch mal durchgehen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.