{"id":282448,"date":"2023-06-12T15:51:00","date_gmt":"2023-06-12T13:51:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=282448"},"modified":"2023-06-12T16:06:38","modified_gmt":"2023-06-12T14:06:38","slug":"windows-11-22h2-verhunzter-defender-remote-credential-guard","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/06\/12\/windows-11-22h2-verhunzter-defender-remote-credential-guard\/","title":{"rendered":"Windows 11 22H2: Verhunzter Defender Remote Credential Guard?"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Windows\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" width=\"200\" align=\"left\"\/>[English]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser vorige Woche per Mail zugeschickt wurde. Microsoft treibt zwar \"viel Aufwand\", um die Systeme mit Windows abzusichern. Aber die immer wieder auftretenden Bugs machen das Ganze zum Lotteriespiel. In Windows 11 22H2 deutet es sich an, dass der Remote Credential Guard des Windows Defender, der das Stehlen von Anmeldeinformationen auf Terminalservern verhindert soll, nur unter speziellen Konstellationen funktioniert. Administratoren, die das testen k\u00f6nnen, werden gebeten, da mal einen Blick drauf zu werfen und hier R\u00fcckmeldung zu geben.<\/p>\n<p><!--more--><\/p>\n<h2>Remote Credential Guard<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg07.met.vgwort.de\/na\/1db5ba380a1d433fbb5ecdea7700b504\" width=\"1\" height=\"1\"\/>Anmeldeinformationen von Administratoren sind hoch privilegiert und deren Schutz bekommt eine hohe Bedeutung. Microsoft hat daher bereits in Windows 10, Version 1607, den Windows Defender Remote Credential Guard eingef\u00fchrt. Das Sicherheitsfeature hilft dabei, Anmeldeinformationen \u00fcber eine Remotedesktopverbindung zu sch\u00fctzen. Dazu leitet der Remote Credential Guard des Windows Defender Kerberos-Anfragen an das Ger\u00e4t zur\u00fcck, das die Verbindung anfordert. <\/p>\n<p>Der Windows Defender Remote Credential Guard stellt sicher, dass die Anmeldedaten, die f\u00fcr die Verbindung w\u00e4hrend einer Remotedesktopsitzung verwendet werden, gesch\u00fctzt sind. Das gilt sogar f\u00fcr die F\u00e4lle, in denen das Zielger\u00e4t kompromittiert wird, da sowohl die Anmeldedaten als auch die Ableitungen der Anmeldedaten niemals \u00fcber das Netzwerk an das Zielger\u00e4t weitergeleitet werden. Au\u00dferdem erm\u00f6glicht das Feature eine einmalige Anmeldung f\u00fcr Remotedesktopsitzungen. Microsoft beschreibt die Details des Windows Defender Remote Credential Guard in <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/security\/identity-protection\/remote-credential-guard\" target=\"_blank\" rel=\"noopener\">diesem Support-Beitrag<\/a>. Wolfgang Sommergut hat die Funktion und deren Aktivierung z.B. in <a href=\"https:\/\/www.windowspro.de\/wolfgang-sommergut\/rdp-sitzungen-absichern-remote-credential-guard\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> beschrieben.<\/p>\n<h2>Leser berichtet von Problemen<\/h2>\n<p>Blog-Leser W. A. hat mich zum 8. Juni 2023 per Mail kontaktiert (wegen Feier- und Br\u00fcckentag komme ich es heute dazu, das aufzubereiten). Der Leser schreibt:<\/p>\n<blockquote>\n<p>Servus Herr Born! <\/p>\n<p>Vielleicht ist dieser Umstand einen Bericht wert: <\/p>\n<p>ein von Microsoft w\u00e4rmstens empfohlenes Sicherheitsfeature wird offenbar kaum genutzt. <\/p>\n<p>Und zwar: Remote Credential Guard, welches das Stehlen von Anmeldeinformationen auf Terminalservern unm\u00f6glich machen soll [siehe die obigen Erkl\u00e4rung]. Eigentlich eine feine Sache. <\/p>\n<p>Ich habe festgestellt, dass es nur genau dann mit Microsofts neuestem Windows (11 22H2) funktioniert, wenn man auch auf der anderen Seite der RDP-Verbindung ebenfalls Windows 11 22H2 hat. <\/p>\n<p>Andernfalls l\u00e4sst Windows zwar die Anmeldung zu, aber die eigentliche Funktion von Remote Credential Guard, n\u00e4mlich die Umleitung der Autorisierungsanfragen an den Rechner von dem man urspr\u00fcnglich kommt, ist nicht mehr gegeben: Single-Sign-On (SSO) ist zerst\u00f6rt und man muss sich stets re-authentifizieren. <\/p>\n<p>Das ist schon ein dicker Bock, denn auch Windows-11-Nutzer werden ja mitunter Terminalserver nutzen und da l\u00e4uft dann ein Server OS (2016\/2019\/2022) und mit keinem von diesen funktioniert dann SSO mehr. Will man von den Servern aus also auf Dom\u00e4nen-Ressourcen rauf, muss man sich jedes Mal re-authentifizieren.<\/p>\n<\/blockquote>\n<p>Hier w\u00e4re die Frage an Administratoren, ob dies so best\u00e4tigt werden kann. Insgesamt scheint das Feature Microsoft nicht wirklich genutzt zu werden, denn der Leser schreibt dazu: <\/p>\n<blockquote>\n<p>Das eigentlich Erstaunliche ist aus meiner Sicht aber, dass dies offenbar niemanden st\u00f6rt. Ich habe den Sachverhalt nun schon in 4 Foren geschildert (<a href=\"https:\/\/administrator.de\/forum\/remote-credential-guard-win10-nach-win11-buggy-7277488679.html\" target=\"_blank\" rel=\"noopener\">administrator.de<\/a>, experts-exchange.com, 4sysops.com, <a href=\"https:\/\/learn.microsoft.com\/en-us\/answers\/questions\/1295736\/with-remote-credential-guard-active-there-are-auth\" target=\"_blank\" rel=\"noopener\">Microsoft Q&amp;A<\/a> ) und nirgendwo kam auch nur eine einzige Antwort.<\/p>\n<\/blockquote>\n<blockquote>\n<p>Somit sieht es mir so aus, als w\u00fcrde niemand (au\u00dfer uns :-) ) dieses Feature \u00fcberhaupt nutzen. Denn unter Admins wird Windows 11 22H2 ja durchaus schon produktiv genutzt bzw. zumindest schon getestet &#8211; an der OS-Verbreitung sollte es nicht liegen. <\/p>\n<p>\"Alle reden von Sicherheit, aber keiner kriegt es hin?\"<\/p>\n<\/blockquote>\n<p>Das ist nat\u00fcrlich jetzt eine spannende Frage: Ist das Feature wirklich nicht in Benutzung, oder liegt das Problem in der Umgebung des Betroffenen?<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser vorige Woche per Mail zugeschickt wurde. Microsoft treibt zwar \"viel Aufwand\", um die Systeme mit Windows abzusichern. Aber die immer wieder auftretenden Bugs machen das Ganze zum Lotteriespiel. In &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/12\/windows-11-22h2-verhunzter-defender-remote-credential-guard\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[4328,8257],"class_list":["post-282448","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-sicherheit","tag-windows-11"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=282448"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/282448\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=282448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=282448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=282448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}