[English]Seit Wochen beschweren sich Administratoren über Probleme mit Remote Desktop-Verbindungen, die unter Windows 11 22H2 auftreten können. Microsoft hat im Juli 2023 bekannt gegeben, dass man das Problem untersucht, und es gibt wohl einen Workaround. Zufällig hat sich aber ein Blog-Leser gemeldet, der in seinem Fall den Übeltäter für seine RDP-Probleme gefunden hat. Der Windows Defender Credential Guard scheint zu Konflikten mit RDP zu führen.
Anzeige
Die Windows RDP-Probleme
Probleme mit RDP-Verbindungen nach Windows-Updates sind ja nichts neues. Speziell Nutzer von Windows 11 sind da wohl leidgeplagt. Nach der Installation des Funktionsupdates auf Windows 11 22H2 können die Remote-Desktop-Clients keine Verbindung mehr herstellen, die RDP-Verbindung wird zufällig unterbrochen oder friert unerwartet ein. Hier im Blog schrieb Leser Michael in diesem Kommentar zum Blog-Beitrag Windows 11 22H2: Probleme und Upgrade-Stopper:
Heute installiert und schon Probleme die mich dazu zwangen wieder zurückzugehen.
Meine ganzen gespeicherten Remotedesktop Verbindungen gingen nicht mehr, es kam der Fehler das der Anmeldeversuch gescheitert ist. Man kann ein neues Kennwort eingeben dann geht es, es wird allerdings nicht gespeichert, keine Möglichkeit zu merken.
Meine VPN Verbindungen im Schnellzugriff rechts unten in der Taskleiste sind weg, ein Klick auf das Symbol unten und passiert nix.
Michael vermutete in einem weiteren Post, dass es mit Hyper-V und dem Windows Defender Credential Guard zu tun haben könnte (trifft aber bei Windows 11 Home-Systemen nicht zu). Jedenfalls war der Fehler nach Deinstallation des Funktionsupdates auf Windows 11 Version 22H2 verschwunden. Ich hatte dann im Blog-Beitrag Windows 11 22H2: Microsoft untersucht RDP-Probleme den Stand zusammen gefasst und erwähnt, dass eine offizielle Untersuchung diesbezüglich angelaufen sei.
Defender Credential Guard schuld
Nun hat sich Blog-Leser Jens mit diesem Kommentar zu Wort gemeldet und letztendlich bestätigt, dass es eine Kollision zwischen dem Windows Defender Credential Guard von Windows 11 22H2 und dem Modul zum Aufbauen von RDP-Verbindungen gibt. Dazu schrieb er:
Für alle, die auch über diesen Beitrag stolpern und Windows 11 22H2 installiert haben: Bei mir lag es am Windows Defender Credential Guard. Da auf einem der Zielhosts kein Kerberos läuft, blockierte der Remote Credential Guard die NTLM Authentifizierung.
Das ist eine ziemlich interessante Konstellation und würde erklären, warum nicht alle Administratoren dieses Verhalten bei Windows 11 22H2 Clients und RDP-Clients beobachten. Jens hat auch gleich einen Workaround für dieses Problem geliefert (danke dafür) und schrieb:
Anzeige
Mit Regedit könnt ihr den Credential Guard einfach deaktivieren. Unter:
"Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"einen neuen [32-Bit] DWORD-Wert mit dem Namen LsaCfgFlags und dem Wert=0 hinzufügen. Anschließend neustarten. Bei der ersten Anmeldung möchte er die Anmeldedaten noch einmal haben, anschließend nicht mehr.
Vielleicht hilft es dem einen oder anderen Betroffenen, wenn das oben skizzierte Szenario zutrifft.
Der Windows Defender Credential Guard ist eine Sicherheitsfunktion, die die Anmeldeinformationen der Benutzer vom Rest des Betriebssystems isoliert, um deren Diebstahl zu verhindern. Microsoft hat den Defender Credential Guard in Windows 10 Enterprise und Windows Server 2016 eingeführt. Wenn der Windows Defender Credential Guard aktiv ist, kann nur privilegierte Systemsoftware auf die Anmeldedaten der Benutzer zugreifen.
Ab Windows 11 Enterprise Version 22H2 und Windows 11 Education Version 22H2 ist für kompatible Systeme Windows Defender Credential Guard standardmäßig aktiviert. Dieses Feature ändert den Standardstatus des Features in Windows, obwohl Systemadministratoren diesen Aktivierungsstatus weiterhin ändern können.
Der Schutz ist besonders effektiv gegen Pass-the-Hash-Angriffe, da es NT LAN Manager (NTLM) Passwort-Hashes und Kerberos Ticket Granting Tickets schützt, heißt es hier. Microsoft Windows Defender Credential Guard speichert randomisierte Hashes in voller Länge, um sich gegen Trial-and-Error-Bedrohungen wie Brute-Force-Angriffe zu wehren. Darüber hinaus schützt Credential Guard alle Anmeldedaten, die Anwendungen als Domänenanmeldedaten speichern.
Ähnliche Artikel:
Windows 11 22H2: Verhunzter Defender Remote Credential Guard?
Windows Defender Credential Guard Update und Revision (9./15.August 2022)
Anzeige
1. niemals RDP mit IP aufbauen. Es kommt zu NTLM, da der Kerberos Realm nicht erkannt werden kann.
2. niemals RDP mit IP aufbauen. Es kommt zu NTLM, da der Kerberos Realm nicht erkannt werden kann.
3. niemals RDP mit IP aufbauen. Es kommt zu NTLM, da der Kerberos Realm nicht erkannt werden kann.
4. NIEMALS. NIE. NICHT
genau
FQDN! FQDN! FQDN!
Bei SMB bspw. einem Netzwerk Scanner kann man den KDC als auch den Realm eintragen, gibt es hier kein Pendant dazu bei RDP?
Andererseits haben wir bisher keine Probleme, trotz aktuell installierter Updates und Verwendung von IP und UPN statt FQDN.
ja, gibt es. nennt sich Namensauflösung. DNS FQDN verwenden oder den Hostnamen, wenn das Suffix in der Suchliste ist.
Danke, guter Hinweis.
Kennt jemand einen Link, wo man den Protokollwechsel nachlesen kann?
Grüße
https://learn.microsoft.com/de-de/windows/security/identity-protection/remote-credential-guard
Ich mag keine Horror-Filme.
Aber das hier ist wohl einer der ganz gruseligen Art?
Man meldet sich per RDP beim Remote Rechner an.
Schiebt remote ein Update an.
Fliegt aus dem RDP raus, weil man ja meist komplett booten muss.
Wartet bis das System wieder oben sein müsste.
"Ping" er ist wieder Up. aber
kommt nach dem booten des remote systems nicht mehr an den Rechner weil RDP nicht mehr funktioniert……?
Setzt sich ins Auto, fährt zum Remote System und deinstalliert das Update mit lokaler Präsenz. Kunde guckt seltsam.
???
Man kneift sich in den Arm, nein, ist kein Alptraum.
Sag das das nur ein Alp-Traum war oder das das völlig anders ist.
In solchen Konstellationen bietet man dem Kunden _immer_ eine KVM/IP-Lösung mit dem Argument "verkürzt Reaktionszeit, spart Anfahrtskosten" an und lässt ihn aktiv "nein, brauchen wir nicht" sagen.
Im Artikel steht ja Windows Defender Credential Guard nur bei Enterprise und Education Version. Bei mir ist das Ding auch auf einer Windows 11 Pro 22H2 aktueller Build von sich aus installiert und aktiv. Gibts das Feature nun auch für Pro? Vor allem was nervt es installiert sich ist aktiv und irgendwann kommen dann nach zig Reboots oder was auch immer ich auslöse folgende Events:
Event ID 6147 LSA (LSAsrv) Credential Guard is configured to run, but is not licensed. Credential Guard was not started.
Mir scheint da läuft bei Windows 11 generell irgendwas sehr schräg. Auch ein nervender Bug. Im neuen Datei Manager den Download Ordner so einzustellen, dass die Ordner nach Namen sortiert sind und nicht nach Änderungsdatum gruppiert sortiert sind, ist ein Ding der Unmöglichkeit. Man bekommt den Download Ordner selbst zwar so hin, aber etwaige Unterordner sind dann wieder falsch. Bei Windows 10 konnte man das noch passabel einstellen.
Ich sehe solche Probleme bei uns auch mit Windows 11 22H2 Clients (CG Guard ist aktiv), aber nur wenn die Zielserver Windows 2022 sind, Login erfolgreich aber dann Blackscreen. Wenn man die IP Adresse nutzt dann funktioniert ist. Oder Linux Remmina mit FQDN geht auch. Haut man ein Remote Desktop Gateway in die Connection dann geht es auch mit Windows 11 22H2 und FQDN.
Danke! Der Eintrag
LsaCfgFlags (DWORD32) = 0
in:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
(und Neustart danach) hat geholfen, jetzt speichert W11 (Ent.) mir endlich meine RD Verbindung mit Passwort zu einem W10 (auch Ent.) PC, im selben lokalen Netzwerk :)
Wohingegen FQDN nichts geändert hatte, ich hatte tatsächlich vorher immer die IP genommen, wusste das nicht besser.
Aber mit PC Namen hatte W11 den Login auch nicht gespeichert, kam auch immer:
"Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.
Windows Defender Credential Guard lässt die Verwendung von gespeicherten Anmeldeinformationen nicht zu. Geben Sie Ihre Anmeldeinformationen ein.
f
Kennwort
Der Anmeldeversuch ist fehlgeschlagen.
Weitere Optionen"
Dann musste ich das Passwort doch eingeben und ich kam mit RD erst auf den anderen PC.
Bei einer RDP wurde bei mir beim Anmelden sogar Umlaute im Benutzernamen "weggefressen" – kein "ä", "ö" usw. mit "ae" "oe" lief es.
Anmelden unmöglich "Benutzername/Kennwort ungültig"..
Nach dem Eintrag (LsaCfgFlags) läufts wieder mit Umlauten.. Danke!!