![\"Windows\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" "\\"Windows\\"")
[English]Ich greife nochmals ein Thema auf, welches mir im Sommer 2023 von einem Blog-Leser zugeschickt wurde. In Windows 11 22H2 deutet es sich an, dass der Remote Credential Guard des Windows Defender, der das Stehlen von Anmeldeinformationen auf Terminalservern verhindert soll, nur unter speziellen Konstellationen funktioniert. Ich hatte Administratoren gebeten, das zu testen. Inzwischen habe ich die R\u00fcckmeldung, was das Problem war.<\/p>\n
<\/p>\n
Anmeldeinformationen von Administratoren sind hoch privilegiert und deren Schutz bekommt eine hohe Bedeutung. Microsoft hat daher bereits in Windows 10, Version 1607, den Windows Defender Remote Credential Guard eingef\u00fchrt. Das Sicherheitsfeature hilft dabei, Anmeldeinformationen \u00fcber eine Remotedesktopverbindung zu sch\u00fctzen. Dazu leitet der Remote Credential Guard des Windows Defender Kerberos-Anfragen an das Ger\u00e4t zur\u00fcck, das die Verbindung anfordert. <\/p>\n
Der Windows Defender Remote Credential Guard stellt sicher, dass die Anmeldedaten, die f\u00fcr die Verbindung w\u00e4hrend einer Remotedesktopsitzung verwendet werden, gesch\u00fctzt sind. Das gilt sogar f\u00fcr die F\u00e4lle, in denen das Zielger\u00e4t kompromittiert wird, da sowohl die Anmeldedaten als auch die Ableitungen der Anmeldedaten niemals \u00fcber das Netzwerk an das Zielger\u00e4t weitergeleitet werden. Au\u00dferdem erm\u00f6glicht das Feature eine einmalige Anmeldung f\u00fcr Remotedesktopsitzungen. Microsoft beschreibt die Details des Windows Defender Remote Credential Guard in diesem Support-Beitrag<\/a>. Wolfgang Sommergut hat die Funktion und deren Aktivierung z.B. in diesem Beitrag<\/a> beschrieben. <\/p>\n Blog-Leser W. A. hat mich zum 8. Juni 2023 per Mail kontaktiert. Der Leser schrieb dazu, dass ein von Microsoft w\u00e4rmstens empfohlenes Sicherheitsfeature offenbar kaum genutzt werde. <\/p>\n Und zwar: Remote Credential Guard, welches das Stehlen von Anmeldeinformationen auf Terminalservern unm\u00f6glich machen soll [siehe die obigen Erkl\u00e4rung]. Eigentlich eine feine Sache. <\/p>\n Ich habe festgestellt, dass es nur genau dann mit Microsofts neuestem Windows (11 22H2) funktioniert, wenn man auch auf der anderen Seite der RDP-Verbindung ebenfalls Windows 11 22H2 hat. <\/p>\n Andernfalls l\u00e4sst Windows zwar die Anmeldung zu, aber die eigentliche Funktion von Remote Credential Guard, n\u00e4mlich die Umleitung der Autorisierungsanfragen an den Rechner von dem man urspr\u00fcnglich kommt, ist nicht mehr gegeben: Single-Sign-On (SSO) ist zerst\u00f6rt und man muss sich stets re-authentifizieren. <\/p>\n Das ist schon ein dicker Bock, denn auch Windows-11-Nutzer werden ja mitunter Terminalserver nutzen und da l\u00e4uft dann ein Server OS (2016\/2019\/2022) und mit keinem von diesen funktioniert dann SSO mehr. Will man von den Servern aus also auf Dom\u00e4nen-Ressourcen rauf, muss man sich jedes Mal re-authentifizieren.<\/p>\n<\/blockquote>\n Ich hatte dies im Beitrag Windows 11 22H2: Verhunzter Defender Remote Credential Guard?<\/a> aufgegriffen und Administratoren gefragt, ob dies so best\u00e4tigt werden kann. <\/p>\n Mark Heitbrink hatte mich im Nachgang per Mail kontaktiert und schrieb: \"ich habe gerade beim Kunden eine Baustelle und die passt zu deinem obigen Artikel\". In seiner Mail schrieb er, dass der Remote Credential Guard in Windows 11 22H2 ist nicht kaputt ist. Er konnte es komplett in der Demo Umgebung nachstellen, suchte aber noch nach dem (seinem) Fehler und fragte: \"Vielleicht kannst du deinem Leser informieren, der dir es gemeldet hat.\"<\/p>\n Mark schrieb: Wird nur der Remote Credential Guard per GPO konfiguriert, funktioniert er. In Kombination weiterer H\u00e4rtungsma\u00dfnahmen kommt es zum Fehler. Die Frage ist, welche Richtlinie macht es kaputt? Ich baue gerade alles R\u00fcckw\u00e4rts im Auschlussverfahren, bzw. sobald es kaputt ist, kann ich es nicht mehr reparieren. Egal, ob ich die GPOs entferne oder nicht. Es muss ein \"Preference\" Eintrag sein, oder Dienst … <\/em><\/p>\n Bei seinem Kunden musste er explizit den Credential Guard von Windows 11 deaktivieren, da deren NAC sonst nicht funktioniert. Seine GPO: <\/p>\n Remote Credential Guard per GPO, ohne Credential Guard wegen der NAC Es sind nur diese 3 Richtlinien aktiv, die direkt ordentlich durchgereicht werden. Ees kommt zu einem SSO des Windows Benutzers, wenn er auf der Ziel Maschine das Recht hat, sich per RDP anzumelden. Alles so, wie der Remote Credential Guard arbeiten sollte. Mark hatte mir obige Information f\u00fcr den Leser, der oben berichtete, geschickt. <\/p>\n Er hat allerdings ein weiteres Problem, nachdem er seine H\u00e4rtungsrichtlinien anwendet: Der Ziel Client meldet einen RPC Fehler und wird stumpf nach ca. 1 Minute neu gestartet. Sp\u00e4ter meldete er sich mit: \"ich habe den Verursacher. Ein Eigentor. Wenn man ihn dann findet ist er leider erkl\u00e4rbar und halbwegs logisch.\" In seiner Kundenumgebung wurde ein ben\u00f6tigter Dienst abgeschaltet.<\/p>\n UmRdpService = Anschlussumleitung f\u00fcr Remotedesktopdienst im Benutzermodus (Startmodus: Deaktiviert) <\/p>\n<\/blockquote>\n Das CIS und Tenable sagen: Deaktivieren Die Anschlussumleitung macht wohl auch das Redirect der Credentials. Die Umleitungsverhinderung von Anschl\u00fcssen kann man auch \u00fcber \"normale\" Richtlinien absichern. Nat\u00fcrlich ist das Abschalten des Dienstes der einfachere Weg, da \"Ein klick = Aus\" daf\u00fcr sorgt, das der Rest nicht konfigurieren muss. Aber das macht leider einiges kaputt. <\/p>\n Klare Empfehlung von Mark: Die Anschl\u00fcsse \u00fcber die Policies steuern. <\/em><\/p>\n In einer Folgemail schrieb mir Mark noch, dass noch eine Kollision in den GPOs gefunden habe und nach der L\u00f6sung suche. Er kann mich mit einem AD User per RDP anmelden. Aber sobald er den .\\Admimistrator verwendet, damit er LAPS und das Tiering verewnden kann, bekommt erh am Rechner wieder die identische Fehlermeldung wie mit dem \"CredSSP\"<\/a>. Alles was man dazu per Google findet, beziehe sich nat\u00fcrlich auf den Fehler, der mit der Oracle Problematik zu tun hatte. <\/p>\n Das Problem war Mark bisher mir noch nicht aufgefallen, da die meine Kunden nur den .\\Administrator zum RunAs auf den Rechnern nutzen. Und dann kam jemand, der auch RDP wollte. Mark meinte dann dazu: \"Ich bin nah dran das zu ignorieren und dem Kunden zu sagen, das er anders arbeiten muss, weil ich sowieso schon den \"Zugriff \u00fcber das Netzwerk\" (User Rights Assignment) wieder f\u00fcr lokale Konten freigeben muss. Was ich eigentlich nicht m\u00f6chte. \"<\/p>\n Die Erkl\u00e4rung f\u00fcr das oben in den Abschnitten beschriebene Verhalten hat Mark mir dann in einer Folgemail geliefert, da er beim Kunden auf die L\u00f6sung stie\u00df. <\/p>\n Mark erl\u00e4uterte, dass bei diesem Kunde der Credential Guard in der Enterprise explizit deaktiviert ist, da er die Anmeldung an der NAC verhindert. Mark erg\u00e4nzte dann, dass er den Credential Guard schon \u00f6fter ausschalten musste, z.B. bei SSO an einem \"Novell Netware\" (oder wie auch immer es jetzt hei\u00dft) und auch SSO in einem WiFi mit zus\u00e4tzlicher User Authentication. Sobald<\/p>\n HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa <\/p>\n auf DisableRestrictedAdmin = 0 <\/em>gesetzt wird und dann von einer Source aus \"mstsc \/remoteGuard\" aufgerufen wird, fliegt es dem Nutzer mit obigen Fehlern um die Ohren, schrieb Mark. Wenn die Verbindung mit dem RCGuard per GPO erzwungen wird passiert es ebenso. <\/p>\n Restrict delegation of credentials to remote servers = Laut Mark funktioniert mstsc \/RestrictedAdmin <\/em>(siehe diesen Microsoft-Beitrag<\/a>). Vielleicht helfen die obigen Erkenntnisse von Mark etwas weiter – mein oben verlinkter Artikel bekommt ja immer Kommentare von Administratoren, die in Probleme laufen.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Ich greife nochmals ein Thema auf, welches mir im Sommer 2023 von einem Blog-Leser zugeschickt wurde. In Windows 11 22H2 deutet es sich an, dass der Remote Credential Guard des Windows Defender, der das Stehlen von Anmeldeinformationen auf Terminalservern verhindert … Weiterlesen Ein Leser berichtet von Problemen<\/h2>\n<\/p>\n
\n
Noch eine Problemmeldung von Mark<\/h2>\n<\/p>\n
\n
a) System\/Delegierung von Anmeldeinformationen
Delegierung von Anmeldeinformationen an Remoteserver einschr\u00e4nken
Aktiviert
Verwenden Sie den folgenden eingeschr\u00e4nkten Modus: Delegierung von
Anmeldeinformationen einschr\u00e4nken (Alternativ: Remote Credential Guard anfordern, geht beides)
Remotehost erm\u00f6glicht die Delegierung nicht exportierbarer
Anmeldeinformationen Aktiviert
b) System\/Device Guard
Virtualisierungsbasierte Sicherheit aktivieren Aktiviert
Plattform-Sicherheitsstufe ausw\u00e4hlen: Sicherer Start und DMA-Schutz
Virtualisierungsbasierter Schutz der Codeintegrit\u00e4t: Ohne Sperre aktiviert
UEFI-Speicherattributtabelle erforderlich Deaktiviert
Credential Guard-Konfiguration: Deaktiviert
Sichere Startkonfiguration: Nicht konfiguriert
Hardware-erzwungener Stack-Schutz im Kernel-Modus: Aktiviert im
Erzwingungsmodus
c) per GPP Registry:
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa
DisableRestrictedAdmin = REG_DWORD 0x0 <\/p>\n<\/blockquote>\n![\"Reboot-Meldung\"](\"https:\/\/i.postimg.cc\/mDc9mXWy\/image.png\"\/ "\\"Reboot-Meldung\\"")
<\/p>\n\n
\n
Microsoft sagt<\/a>: \"Nicht konfigurieren\" <\/p>\n<\/blockquote>\nComputer Configuration\\Administrative Templates\\Windows-Komponenten\\Remotedesktopdienste\\Remotedesktopsitzungs-Host\\Ger\u00e4te- und Ressourcenumleitung\\ <\/pre>\n
Noch ein Problem<\/h2>\n
![\"RDP-Anmeldung](\"https:\/\/i.postimg.cc\/P5Km6v9K\/image.png\"\/ "\\"RDP-Anmeldung")
<\/p>\nErkl\u00e4rung f\u00fcr das obige Verhalten<\/h2>\n
\n
\n
Require Remote Credential Guard
Computer Configuration\\Administrative Templates\\System\\Credentials Delegation\\ <\/p>\n<\/blockquote>\n