RDP-Sitzungen absichern mit Remote Credential Guard


    Tags: , ,

    Remote Credential Guard startenDie Über­tragung von Anmelde­daten über das Netz­werk bietet An­greifern die Gelegen­heit, die Iden­tität eines Users zu über­nehmen. Das gilt besonders für RDP-Verbindungen mit ihrer Anfällig­keit für Pass-the-Hash-Attacken. Remote Creden­tial Guard schützt davor, weil es keine Login-Daten über das Netz zum Host sendet.

    Windows 10 und Server ab 2016 bieten ein Feature namens Credential Guard, das Anmeldedaten vor Diebstahl schützt. Dabei handelt es sich um eine Variante von Virtualization based Security, die nur den Namen mit dem hier besprochenen RDP-Schutz gemeinsam hat.

    Ergänzung zu Restricted Admin Mode

    Remote Credential Guard ist nach dem Restricted Admin Mode eine weitere Technik, welche die Anmeldung an einem RDP-Host erlaubt, ohne dafür die Login-Daten an denselben zu übertragen. Dazu leitet es die Kerberos-Requests zurück an den Client, der die Verbindung aufbauen möchte.

    Im Unterschied dazu verwendet der Restricted Admin Mode die Anmeldedaten eines lokalen Administrators auf dem Remote-Host. Entsprechend wichtig ist dort der Schutz dieser Konten mittels LAPS.

    Der Restricted Admin Mode sendet keine Anmeldedaten an den Host. Der Benutzer muss dort administrative Rechte haben.

    Während Remote Credential Guard erwartungsgemäß nur die Authentifizierung mittels Kerberos zulässt, unterstützt der Restricted Admin Mode auch NTLM. Weitere Unterschiede zwischen den beiden Verfahren sind:

    • Wie der Namen schon nahelegt, verlangt der Restricted Admin Mode, dass der Benutzer am RDP-Server Mitglied der lokalen Administratoren sein muss. Remote Credential Guard eignet sich für alle User, die am Host Mitglied in der Gruppe Remote­verwaltungs­benutzer ("Remote Desktop Users") sind.
    • Remote Credential Guard bietet ein SSO für den lokal angemeldeten Benutzer, eine Authentifizierung unter einem anderen Account ist nicht möglich. Der Restricted Admin Mode kennt diese Einschränkung nicht.
    • Wenn man vom Remote Host auf andere Ressourcen im Netz zugreifen möchte, dann erfolgt dies beim Restricted Admin Mode unter dem Konto des Remotedesktop-Hosts. Daraus resultiert ein Multi-Hop-Problem, wenn dem Computer-Account die nötigen Berechtigungen fehlen. Der Remote Credential Guard verbindet den Benutzer dagegen immer unter dessen eigener Identität.
    • Der Restricted Admin Mode ist die ältere Technik und war bereits für Windows 7 oder Server 2008 R2 (mit einem entsprechenden Patch-Level) verfügbar. Remote Credential Guard benötigt hingegen sowohl auf dem Client als auch dem Server mindestens Windows 10 1607 oder Server 2016. Außerdem unterstützt er nur den herkömmlichen Client mstsc.exe, aber nicht die UWP-App.

    Vergleich von Remote Credential Guard und Restricted Admin Mode

    Nachdem beide Technologien mehr oder weniger dem gleichen Zweck dienen, stellt sich die Frage, ob Remote Credential Guard den Restricted Admin Mode ersetzt. Wie man aber dem obigen Vergleich entnehmen kann, eignen sich die beiden Technologien für verschiedene Szenarien.

    Daher wird man je nach Anforderung zu einer der beiden Optionen greifen. Microsoft rät etwa davon ab, für die Remote-Unterstützung, bei welcher der Helpdesk administrative Privilegien benötigt, Remote Credential Guard zu verwenden. Falls der PC des Users kompromittiert ist, könnte ein Angreifer in diesem Fall den RDP-Kanal missbrauchen, um eine Verbindung im Namen des Benutzers herzustellen.

    Remote Credential Guard aktivieren

    Das Feature muss für Client und Server getrennt konfiguriert werden. Auf dem Server muss man dazu einen Schlüssel in der Registry anlegen, der gleichzeitig auch den Restricted Admin Mode freischaltet. Dazu kann man folgenden Code in einer .reg-Datei speichern und ausführen:

    In verwalteten Umgebungen wird man den Key wahrscheinlich über Group Policy Preferences zentral verteilen.

    Für den Client existiert eine Gruppenrichtlinie, die nicht nur den Remote Credential Guard aktiviert, sondern auch das Zusammenspiel mit dem Restricted Admin Mode steuert. Sie heißt Delegierung von Anmeldeinformationen an Remoteserver einschränken ("Restrict delegation of credentials to remote servers") und findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Delegierung von Anmeldeinformationen.

    Einstellung in den Gruppenrichtlinien für die Verwaltung von Remote Credential Guard

    Die Option Delegierung von Anmeldeinformationen einschränken bewirkt, dass zwar bevorzugt der Remote Credential Guard zum Einsatz kommt, aber wenn das nicht möglich ist, dann wird die Verbindung mittels Restricted Admin Mode aufgebaut.

    Die beiden anderen Auswahl­möglichkeiten legen sich auf jeweils eine der Techniken fest und verweigern eine Verbindung, wenn sich diese nicht verwenden lässt.

    Mit Hilfe dieser Einstellung können Admins gewährleisten, dass Benutzer grundsätzlich keine RDP-Verbindungen mit einer unsicheren Authentifizierung mehr aufbauen können. In Umgebungen, wo man Remote Credential Guard indes nur ad hoc einsetzen möchte, kann man diesen über einen Schalter des RDP-Clients aktivieren:

    mstsc.exe /remoteGuard

    Für den Restricted Admin Mode ist übrigens der Schalter /restrictedAdmin vorgesehen.

    Startet man die Session mittels Remote Credential Guard, dann zeigt sich, dass man im RDP-Client das Benutzerkonto nicht ändern kann, vielmehr erfolgt ein Single-sign-on und die Eingabe eines Passworts entfällt.

    Remote Credential Guard erlaubt die Verbindung zum Host nur über den lokal angemeldeten Benutzer.

    Fazit

    Mit dem Remote Credential Guard sichert Microsoft RDP-Verbindungen um ein weiteres Verfahren ab. Es nutzt ausschließlich Kerberos und setzt neuere Versionen des Betriebs­systems voraus.

    Für Anwender ist nicht ganz leicht zu erkennen, für welche Szenarien sich eine der beiden Funktionen eignet. Der Remote Credential Guard bringt vor allem einen großen Fortschritt für Standardbenutzer, während der Restricted Admin Mode primär der Systemverwaltung dient.

    Aber wenn die Voraussetzungen für eine der beiden Techniken nicht gegeben sind, etwa wegen des Multi-Hop-Problems beim Restricted Admin Mode, dann hilft möglicherweise der Rückgriff auf die alternative Methode.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links