RDP-Sitzungen absichern mit Remote Credential Guard

Remote Credential Guard ist nach dem Restricted Admin Mode eine weitere Technik, welche die Anmeldung an einem RDP-Host erlaubt, ohne dafür die Login-Daten an denselben zu übertragen. Dazu leitet es die Kerberos-Requests zurück an den Client, der die Verbindung aufbauen möchte.

Im Unterschied dazu verwendet der Restricted Admin Mode die Anmeldedaten eines lokalen Administrators auf dem Remote-Host. Entsprechend wichtig ist dort der Schutz dieser Konten mittels LAPS.

Während Remote Credential Guard erwartungsgemäß nur die Authentifizierung mittels Kerberos zulässt, unterstützt der Restricted Admin Mode auch NTLM. Weitere Unterschiede zwischen den beiden Verfahren sind:

• Wie der Namen schon nahelegt, verlangt der Restricted Admin Mode, dass der Benutzer am RDP-Server Mitglied der lokalen Administratoren sein muss. Remote Credential Guard eignet sich für alle User, die am Host Mitglied in der Gruppe Remote­verwaltungs­benutzer ("Remote Desktop Users") sind.
• Remote Credential Guard bietet ein SSO für den lokal angemeldeten Benutzer, eine Authentifizierung unter einem anderen Account ist nicht möglich. Der Restricted Admin Mode kennt diese Einschränkung nicht.
• Wenn man vom Remote Host auf andere Ressourcen im Netz zugreifen möchte, dann erfolgt dies beim Restricted Admin Mode unter dem Konto des Remotedesktop-Hosts. Daraus resultiert ein Multi-Hop-Problem, wenn dem Computer-Account die nötigen Berechtigungen fehlen. Der Remote Credential Guard verbindet den Benutzer dagegen immer unter dessen eigener Identität.
• Der Restricted Admin Mode ist die ältere Technik und war bereits für Windows 7 oder Server 2008 R2 (mit einem entsprechenden Patch-Level) verfügbar. Remote Credential Guard benötigt hingegen sowohl auf dem Client als auch dem Server mindestens Windows 10 1607 oder Server 2016. Außerdem unterstützt er nur den herkömmlichen Client mstsc.exe, aber nicht die UWP-App.

Nachdem beide Technologien mehr oder weniger dem gleichen Zweck dienen, stellt sich die Frage, ob Remote Credential Guard den Restricted Admin Mode ersetzt. Wie man aber dem obigen Vergleich entnehmen kann, eignen sich die beiden Technologien für verschiedene Szenarien.

Daher wird man je nach Anforderung zu einer der beiden Optionen greifen. Microsoft rät etwa davon ab, für die Remote-Unterstützung, bei welcher der Helpdesk administrative Privilegien benötigt, Remote Credential Guard zu verwenden. Falls der PC des Users kompromittiert ist, könnte ein Angreifer in diesem Fall den RDP-Kanal missbrauchen, um eine Verbindung im Namen des Benutzers herzustellen.

Remote Credential Guard aktivieren

Das Feature muss für Client und Server getrennt konfiguriert werden. Auf dem Server muss man dazu einen Schlüssel in der Registry anlegen, der gleichzeitig auch den Restricted Admin Mode freischaltet. Dazu kann man folgenden Code in einer .reg-Datei speichern und ausführen:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "DisableRestrictedAdmin"=dword:00000000

In verwalteten Umgebungen wird man den Key wahrscheinlich über Group Policy Preferences zentral verteilen.

Für den Client existiert eine Gruppenrichtlinie, die nicht nur den Remote Credential Guard aktiviert, sondern auch das Zusammenspiel mit dem Restricted Admin Mode steuert. Sie heißt Delegierung von Anmeldeinformationen an Remoteserver einschränken ("Restrict delegation of credentials to remote servers") und findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => System => Delegierung von Anmeldeinformationen.

Die Option Delegierung von Anmeldeinformationen einschränken bewirkt, dass zwar bevorzugt der Remote Credential Guard zum Einsatz kommt, aber wenn das nicht möglich ist, dann wird die Verbindung mittels Restricted Admin Mode aufgebaut.

Die beiden anderen Auswahl­möglichkeiten legen sich auf jeweils eine der Techniken fest und verweigern eine Verbindung, wenn sich diese nicht verwenden lässt.

Mit Hilfe dieser Einstellung können Admins gewährleisten, dass Benutzer grundsätzlich keine RDP-Verbindungen mit einer unsicheren Authentifizierung mehr aufbauen können. In Umgebungen, wo man Remote Credential Guard indes nur ad hoc einsetzen möchte, kann man diesen über einen Schalter des RDP-Clients aktivieren:

mstsc.exe /remoteGuard

Für den Restricted Admin Mode ist übrigens der Schalter /restrictedAdmin vorgesehen.

Startet man die Session mittels Remote Credential Guard, dann zeigt sich, dass man im RDP-Client das Benutzerkonto nicht ändern kann, vielmehr erfolgt ein Single-sign-on und die Eingabe eines Passworts entfällt.

Fazit

Mit dem Remote Credential Guard sichert Microsoft RDP-Verbindungen um ein weiteres Verfahren ab. Es nutzt ausschließlich Kerberos und setzt neuere Versionen des Betriebs­systems voraus.

Für Anwender ist nicht ganz leicht zu erkennen, für welche Szenarien sich eine der beiden Funktionen eignet. Der Remote Credential Guard bringt vor allem einen großen Fortschritt für Standardbenutzer, während der Restricted Admin Mode primär der Systemverwaltung dient.

Aber wenn die Voraussetzungen für eine der beiden Techniken nicht gegeben sind, etwa wegen des Multi-Hop-Problems beim Restricted Admin Mode, dann hilft möglicherweise der Rückgriff auf die alternative Methode.