[English]Ich greife mal ein Thema auf, welches mir von einem Blog-Leser vorige Woche per Mail zugeschickt wurde. Microsoft treibt zwar "viel Aufwand", um die Systeme mit Windows abzusichern. Aber die immer wieder auftretenden Bugs machen das Ganze zum Lotteriespiel. In Windows 11 22H2 deutet es sich an, dass der Remote Credential Guard des Windows Defender, der das Stehlen von Anmeldeinformationen auf Terminalservern verhindert soll, nur unter speziellen Konstellationen funktioniert. Administratoren, die das testen können, werden gebeten, da mal einen Blick drauf zu werfen und hier Rückmeldung zu geben.
Anzeige
Remote Credential Guard
Anmeldeinformationen von Administratoren sind hoch privilegiert und deren Schutz bekommt eine hohe Bedeutung. Microsoft hat daher bereits in Windows 10, Version 1607, den Windows Defender Remote Credential Guard eingeführt. Das Sicherheitsfeature hilft dabei, Anmeldeinformationen über eine Remotedesktopverbindung zu schützen. Dazu leitet der Remote Credential Guard des Windows Defender Kerberos-Anfragen an das Gerät zurück, das die Verbindung anfordert.
Der Windows Defender Remote Credential Guard stellt sicher, dass die Anmeldedaten, die für die Verbindung während einer Remotedesktopsitzung verwendet werden, geschützt sind. Das gilt sogar für die Fälle, in denen das Zielgerät kompromittiert wird, da sowohl die Anmeldedaten als auch die Ableitungen der Anmeldedaten niemals über das Netzwerk an das Zielgerät weitergeleitet werden. Außerdem ermöglicht das Feature eine einmalige Anmeldung für Remotedesktopsitzungen. Microsoft beschreibt die Details des Windows Defender Remote Credential Guard in diesem Support-Beitrag. Wolfgang Sommergut hat die Funktion und deren Aktivierung z.B. in diesem Beitrag beschrieben.
Leser berichtet von Problemen
Blog-Leser W. A. hat mich zum 8. Juni 2023 per Mail kontaktiert (wegen Feier- und Brückentag komme ich es heute dazu, das aufzubereiten). Der Leser schreibt:
Servus Herr Born!
Vielleicht ist dieser Umstand einen Bericht wert:
ein von Microsoft wärmstens empfohlenes Sicherheitsfeature wird offenbar kaum genutzt.
Und zwar: Remote Credential Guard, welches das Stehlen von Anmeldeinformationen auf Terminalservern unmöglich machen soll [siehe die obigen Erklärung]. Eigentlich eine feine Sache.
Ich habe festgestellt, dass es nur genau dann mit Microsofts neuestem Windows (11 22H2) funktioniert, wenn man auch auf der anderen Seite der RDP-Verbindung ebenfalls Windows 11 22H2 hat.
Andernfalls lässt Windows zwar die Anmeldung zu, aber die eigentliche Funktion von Remote Credential Guard, nämlich die Umleitung der Autorisierungsanfragen an den Rechner von dem man ursprünglich kommt, ist nicht mehr gegeben: Single-Sign-On (SSO) ist zerstört und man muss sich stets re-authentifizieren.
Das ist schon ein dicker Bock, denn auch Windows-11-Nutzer werden ja mitunter Terminalserver nutzen und da läuft dann ein Server OS (2016/2019/2022) und mit keinem von diesen funktioniert dann SSO mehr. Will man von den Servern aus also auf Domänen-Ressourcen rauf, muss man sich jedes Mal re-authentifizieren.
Hier wäre die Frage an Administratoren, ob dies so bestätigt werden kann. Insgesamt scheint das Feature Microsoft nicht wirklich genutzt zu werden, denn der Leser schreibt dazu:
Das eigentlich Erstaunliche ist aus meiner Sicht aber, dass dies offenbar niemanden stört. Ich habe den Sachverhalt nun schon in 4 Foren geschildert (administrator.de, experts-exchange.com, 4sysops.com, Microsoft Q&A ) und nirgendwo kam auch nur eine einzige Antwort.
Somit sieht es mir so aus, als würde niemand (außer uns :-) ) dieses Feature überhaupt nutzen. Denn unter Admins wird Windows 11 22H2 ja durchaus schon produktiv genutzt bzw. zumindest schon getestet – an der OS-Verbreitung sollte es nicht liegen.
"Alle reden von Sicherheit, aber keiner kriegt es hin?"
Das ist natürlich jetzt eine spannende Frage: Ist das Feature wirklich nicht in Benutzung, oder liegt das Problem in der Umgebung des Betroffenen?
2015
Wir haben Credential Guard schlicht aus einem Grund nicht in Nutzung, es setzt Kerberos für den remote credential guard voraus. Wäre das schlimm? Nein natürlich nicht aber redundante Connection Broker können mit Boardmitteln nicht "kerberized" werden und sauberes loadbalancing für rdp connection broker in Drittprodukten ist eher ein zustand als eine Lösung. Obendrein wurden credentials in den Sessions mit Remote Credential Guard auch häufig verfworfen (Vermutung kurze Verbindungsunterbrechungen) was vielen Anwendungen mangels ordentlicher reconnect fähigkeit dann nicht so schmeckte.
Kurzum wir haben credential guard und damit remote credential guard beerdigt. Ein Lösungsansatz wäre die Connection Broker mit einem Service Account laufen zu lassen, einfache Versuche dazu scheiterten (Zeit ist kostbar) und eine offizielle Dokumentation fehlt – entsprechend wohl auch der Support für eine derartige Konfig. Den SPN in einem Failoverprinzip im AD zu pflegen wäre ein weiterer Ansatz um zumindest die Ausfallsicherheit herzustellen aber nunja…Bastellösung die aber zumindest erfolgreich getestet wurde aber das Thema mit verlorenen Credentials in den Sitzungen zu Remotesystemen bleibt.
Wir hatten dazu auch längere Sessions mit RDS Gurus (Schleichwerbung) aber auch denen ist keine Lösung dazu bekannt. Für die eigentlich Verbindung zum Session Host wird dann wieder Kerberos genutzt weil halt alles da ist was es dazu braucht, passender spn inklusive auf einer Maschine ohen Service Account.
Dass sich die ganzen Citrix Freunde darum nicht scheren ist schnell erklärt, der Citrix Client nutzt (remote) credential guard schon gar nicht :)
Das aber nicht erst seit Windows 11 sondern schon vorher.
Alles in allem "Ist das Feature wirklich nicht in Benutzung"
Nicht in Nutzung und aufgrund der fehlenden Artikel, Hilfen in Foren usw. gehe ich davon aus dass, das feature zwar toll wäre aber zu viele tücken aufweist als das es breit genutzt werden würde.
Wir nutzen das Feature Remote Credential Guard auch gar nicht.
Gut wir haben zwar Citrix für die User, aber für die Server Administration kommt häufiger RDP zum Einsatz.
Das Gefühl "Somit sieht es mir so aus, als würde niemand (außer uns :-) ) dieses Feature überhaupt nutzen." ging es mir vor Jahren beim Versuch der Einführung von Group Managed Service Accounts. Jede Software bei der ich es versucht habe, konnte damit einfach nicht umgehen und hat dann wieder ein normales AD-Konto mit einem KW das nicht abläuft bekommen :(
Das Schlimme daran ist, dass es seitens meiner Vorgesetzten keine Forderung in Richtung Software Hersteller gibt.
Nachträgliche Ergänzung: genaues Lesen hilft! W. A. geht es nicht um die Anmeldung am RDP-Server, sondern um den Zugriff auf weitere Ressourcen auf anderen Servern. Da sehe ich das Problem auch.
Kann ich nicht bestätigen (bzw. doch, siehe Ergänzung oben!). Ich verwende Remote Credential Guard normalerweise nicht, habe es aber gerade ausprobiert und es hat auf Anhieb funktioniert.
Konfiguration: Host Windows Server 2022, DisableRestrictedAdmin=0 gesetzt, Client Windows 11 22H2, mit einem Domänenuser angemeldet, der in der Remotedesktopbenutzer-Gruppe ist, RDP-Client mit mstsc.exe /remoteGuard gestartet. Damit werde ich direkt durchverbunden, ohne erneut Credentials eingeben zu müssen.
"Credential Guard" und "Remote Credential Guard" haben übrigens m. E. außer dem ähnlichen Namen nichts miteinander zu tun. "Remote Credential Guard" ist eine Art Kerberos-single-sign-on für Remotedesktop-Verbindungen, während "Credential Guard" mittels Virtualisierung das Auslesen von Credentials aus dem Client-Hauptspeicher à la Mimikatz erschwert.
Zu "Credential Guard" habe ich übrigens eine sehr interessante Beobachtung gemacht. Bisher war dieses Feature ja nur in den Enterprise-Clients freigeschaltet. Unter Windows 11 22H2 Pro und Pro Education (NICHT Enterprise) läuft bei mir jedoch ebenfalls der lsalso.exe-Prozess und auch msinfo32.exe zeigt den Credential Guard unter "Virtualisierungsbasierte Sicherheit – ausgeführte Dienste" an. Die Einträge im Eventlog sind allerdings widersprüchlich.
Kann das jemand bestätigen? Eine offizielle Ankündigung dafür habe ich noch nicht gefunden. Es wäre aber sehr erfreulich (um nicht zu sagen: überfällig), wenn mit 22H2 Credential Guard jetzt auch in Windows 11 Pro freigeschaltet ist.
Mit lokal aktivem Credential Guard auf Clientseite kein durchreichen der RDP Anmeldeinfos ohne Remote Credential Guard, kurzum kein SSO ;)
Kerberos SSO funktioniert per RDP auch grundlegend ohne Remote Credential Guard – letzteres setzt aber eben Kerberos voraus.
Auch bei uns aktiv und ich suche gerade, wie ich den Mist los werde, da alle Mitarbeiter von dem ständigen re-authentifizieren genervt sind und sich ein funktionierendes SSO zurückwünschen.
Verbindungsabbrüche haben wir tatsächlich auch seit kurzem mit den RDP Sessions.
Ich hoffe, dass sich diese Abbrüche auch bei uns mit dem Abschalten des Credential Guards beheben lassen.
Sicherheit hin oder her – Komfort sieht anders aus und lässt sich sicherlich auch ohne Kerberos gestalten.
Habt ihr Credential Guard (also nicht remote credential guard) auf den Clients aktiv und mit UEFI Lock aktiviert?
Ich wünsche viel spaß
https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage#disabling-windows-defender-credential-guard-with-uefi-lock
Jeder Anwender muss auf dem physischen Monitor des Gerätes die Änderung bestätigen (heißt bei Laptop mit dock, Laptop aufklappen!)
Und auch hier der Hinweis, Kerberos kann man trotzdem verwenden inklusive SSO! Sollte man auch, NTLM ist einfach abfall.
Ok, ich habe nun zwei Bestätigungen, dass es nicht geht (hatte aber auch keine Zweifel, da es an leeren Systemen / frischen Labordomänen auch nicht geht). Ich werde einen Supportfall bei Microsoft eröffnen und rechne gegen Weihnachten mit einer Reaktion.
Microsoft Support teilte mir heute endlich mit:
—
that the issue was being investigated by our SEE, a request has been submitted to the Servicing Division Unit to investigate the behavior issue and that this problem is known issue "code defect" and is being handled by our Servicing Division Unit (SDU)
The good news is, The SDU informed us that there is cumulative update preview is available (11D), to be published last week of November, however this is an ETA "Estimated time of arrival" and not a guaranteed release date, as the release date can change, and we don't provide any engagement on the release date
—
Sprich: Bug erkannt, preview-Patch Ende November, Fix voraussichtlich im Dezember CU. Ergo: ich lag mit meiner Einschätzung "zu Weihnachten" fast richtig.
Neuigkeiten: der Fix ist im Preview Update doch noch nicht drin. Ich halte weiter auf dem Laufenden.
Hallo,
gibt es dazu bereits etwas neues?
Wir haben versucht auf Remote Credential Guard umzustellen, aber scheitern genau an diesem Punkt.
Gibt es einen Workaround?
Hallo, gibt es hier schon was Neues?
Muss mal schauen, von Mark Heitbrink hatte ich erinnerungsmäßig was bekommen. Muss das mal aufbereiten.
Immer noch nichts Neues?
Es ist sehr tief in meinem Mail-Stack – hab die Konversation von August 2023 gefunden. Muss mal schauen, ob ich die hier einstellen kann.
Muss hier noch mal nachhaken.
Danke.
Bin gerade von Win10 Notebook auf Win11 umgestiegen und hab mit Entsetzen festgestellt, dass Win11 ein Problem mit Remote Credential Guard hat. Nachdem ich den switch /remoteguard fast immer verwende, wollte ich hier auch nochmal nachfragen, ob es bezüglich eines FIX weitere Infos gibt? Danke & LG Wolle
Salve.
Microsoft hat gestern ein release preview update (insider) für Win11 22H2 und 23H2 herausgegeben, das den Fehler beheben soll: https://blogs.windows.com/windows-insider/2024/03/21/releasing-windows-11-builds-22621-3371-and-22631-3371-to-the-release-preview-channel/
Zitat: "This update addresses an issue that affects a network resource. You cannot access it from a Remote Desktop session. This occurs when you turn on the Remote Credential Guard feature and the client is Windows 11, version 22H2 or higher."
habe es installiert auf 2 Win11 23H2 – KEINE VERBESSERUNG. Auch im Forenthread auf MS Q&A das selbe negative Echo von einem weiteren: https://learn.microsoft.com/en-us/answers/questions/1294080/windows-11-22h2-remote-credential-guard-(rcg)-hop
Habe daraufhin den Supportfall wieder geöffnet. Erfahrugsgemäß meldet das Pack aber sich nicht vor April bei mir zurück.
Salve.
Microsoft hat gestern ein release preview update (insider) für Win11 22H2 und 23H2 herausgegeben, das den Fehler beheben soll: https://blogs.windows.com/windows-insider/2024/03/21/releasing-windows-11-builds-22621-3371-and-22631-3371-to-the-release-preview-channel/
Zitat: "This update addresses an issue that affects a network resource. You cannot access it from a Remote Desktop session. This occurs when you turn on the Remote Credential Guard feature and the client is Windows 11, version 22H2 or higher."
habe es installiert auf 2 Win11 23H2 – KEINE VERBESSERUNG. Auch im Forenthread auf MS Q&A das selbe negative Echo von einem weiteren: https://learn.microsoft.com/en-us/answers/questions/1294080/windows-11-22h2-remote-credential-guard-(rcg)-hop
Habe daraufhin den Supportfall wieder geöffnet. Erfahrugsgemäß meldet das Pack aber sich nicht vor April bei mir zurück.
Oh diese Kommentarfunktion. Sie bringt mich noch ins Grab. Verschluckt sehr häufig das Geschriebene komplett!
Also: gestern, am 21.3.24 kam ein release preview update für Win11 Insider, was in den releasenotes angab, eben dieses Problem GELÖST zu haben. Hat es aber nicht.
Ich habe heute den Supportfall, den Microsoft natürlich bevor ich den Patch prüfen konnte automatisch schließt, wieder geöffnet und gemeldet, dass der Patch nicht funktioniert. Erfahrundgsgemäß meldet sich Microsoft daraufhin nicht vor April. Somit erneut: ich halte Euch auf dem Laufenden,
Lange hat's gedauert… jetzt ist der Patch da und läuft auch, wie er soll:
Win10 22H2: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5035941
Win11 23H2: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5035942
Was weiterhin nicht läuft ist RCG wenn man sich von Win11 mit Servern (2016/2019/2022) verbindet, aber hier fehlt auch noch der serverseitige Patch. Ich hoffe, dass er im nächsten Patchday kommt.
Es geschehen noch Zeichen und Wunder, die April Updates für Win11 und Win Server fixen das RCG/SSO Problem endlich! :o
So ist es!