Windows Defender Credential Guard: Ursache für Windows 11 22H2 RDP-Probleme?

Windows[English]Seit Wochen beschweren sich Administratoren über Probleme mit Remote Desktop-Verbindungen, die unter Windows 11 22H2 auftreten können. Microsoft hat im Juli 2023 bekannt gegeben, dass man das Problem untersucht, und es gibt wohl einen Workaround. Zufällig hat sich aber ein Blog-Leser gemeldet, der in seinem Fall den Übeltäter für seine RDP-Probleme gefunden hat. Der Windows Defender Credential Guard scheint zu Konflikten mit RDP zu führen.


Anzeige

Die Windows RDP-Probleme

Probleme mit RDP-Verbindungen nach Windows-Updates sind ja nichts neues. Speziell Nutzer von Windows 11 sind da wohl leidgeplagt. Nach der  Installation des Funktionsupdates auf Windows 11 22H2 können die Remote-Desktop-Clients keine Verbindung mehr herstellen, die RDP-Verbindung wird zufällig unterbrochen oder friert unerwartet ein. Hier im Blog schrieb Leser Michael in diesem Kommentar zum Blog-Beitrag Windows 11 22H2: Probleme und Upgrade-Stopper:

Heute installiert und schon Probleme die mich dazu zwangen wieder zurückzugehen.

Meine ganzen gespeicherten Remotedesktop Verbindungen gingen nicht mehr, es kam der Fehler das der Anmeldeversuch gescheitert ist. Man kann ein neues Kennwort eingeben dann geht es, es wird allerdings nicht gespeichert, keine Möglichkeit zu merken.

Meine VPN Verbindungen im Schnellzugriff rechts unten in der Taskleiste sind weg, ein Klick auf das Symbol unten und passiert nix.

Michael vermutete in einem weiteren Post, dass es mit Hyper-V und dem Windows Defender Credential Guard zu tun haben könnte (trifft aber bei Windows 11 Home-Systemen nicht zu). Jedenfalls war der Fehler nach Deinstallation des Funktionsupdates auf Windows 11 Version 22H2 verschwunden. Ich hatte dann im Blog-Beitrag Windows 11 22H2: Microsoft untersucht RDP-Probleme den Stand zusammen gefasst und erwähnt, dass eine offizielle Untersuchung diesbezüglich angelaufen sei.

Defender Credential Guard schuld

Nun hat sich Blog-Leser Jens mit diesem Kommentar zu Wort gemeldet und letztendlich bestätigt, dass es eine Kollision zwischen dem Windows Defender Credential Guard von Windows 11 22H2 und dem Modul zum Aufbauen von RDP-Verbindungen gibt. Dazu schrieb er:

Für alle, die auch über diesen Beitrag stolpern und Windows 11 22H2 installiert haben: Bei mir lag es am Windows Defender Credential Guard. Da auf einem der Zielhosts kein Kerberos läuft, blockierte der Remote Credential Guard die NTLM Authentifizierung.

Das ist eine ziemlich interessante Konstellation und würde erklären, warum nicht alle Administratoren dieses Verhalten bei Windows 11 22H2 Clients und RDP-Clients beobachten. Jens hat auch gleich einen Workaround für dieses Problem geliefert (danke dafür) und schrieb:

Mit Regedit könnt ihr den Credential Guard einfach deaktivieren. Unter:
"Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa"

einen neuen [32-Bit] DWORD-Wert mit dem Namen LsaCfgFlags und dem Wert=0 hinzufügen. Anschließend neustarten. Bei der ersten Anmeldung möchte er die Anmeldedaten noch einmal haben, anschließend nicht mehr.

Vielleicht hilft es dem einen oder anderen Betroffenen, wenn das oben skizzierte Szenario zutrifft.

Der Windows Defender Credential Guard ist eine Sicherheitsfunktion, die die Anmeldeinformationen der Benutzer vom Rest des Betriebssystems isoliert, um deren Diebstahl zu verhindern. Microsoft hat den Defender Credential Guard in Windows 10 Enterprise und Windows Server 2016 eingeführt. Wenn der Windows Defender Credential Guard aktiv ist, kann nur privilegierte Systemsoftware auf die Anmeldedaten der Benutzer zugreifen.

Ab Windows 11 Enterprise Version 22H2 und Windows 11 Education Version 22H2 ist für kompatible Systeme Windows Defender Credential Guard standardmäßig aktiviert. Dieses Feature ändert den Standardstatus des Features in Windows, obwohl Systemadministratoren diesen Aktivierungsstatus weiterhin ändern können.

Der Schutz ist besonders effektiv gegen Pass-the-Hash-Angriffe, da es NT LAN Manager (NTLM) Passwort-Hashes und Kerberos Ticket Granting Tickets schützt, heißt es hier. Microsoft Windows Defender Credential Guard speichert randomisierte Hashes in voller Länge, um sich gegen Trial-and-Error-Bedrohungen wie Brute-Force-Angriffe zu wehren. Darüber hinaus schützt Credential Guard alle Anmeldedaten, die Anwendungen als Domänenanmeldedaten speichern.

Ähnliche Artikel:
Windows 11 22H2: Verhunzter Defender Remote Credential Guard?
Windows Defender Credential Guard Update und Revision (9./15.August 2022)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Problemlösung, Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Windows Defender Credential Guard: Ursache für Windows 11 22H2 RDP-Probleme?

  1. Mark Heitbrink sagt:

    1. niemals RDP mit IP aufbauen. Es kommt zu NTLM, da der Kerberos Realm nicht erkannt werden kann.
    2. niemals RDP mit IP aufbauen. Es kommt zu NTLM, da der Kerberos Realm nicht erkannt werden kann.
    3. niemals RDP mit IP aufbauen. Es kommt zu NTLM, da der Kerberos Realm nicht erkannt werden kann.
    4. NIEMALS. NIE. NICHT

  2. Pau1 sagt:

    Ich mag keine Horror-Filme.
    Aber das hier ist wohl einer der ganz gruseligen Art?

    Man meldet sich per RDP beim Remote Rechner an.
    Schiebt remote ein Update an.
    Fliegt aus dem RDP raus, weil man ja meist komplett booten muss.
    Wartet bis das System wieder oben sein müsste.
    "Ping" er ist wieder Up. aber
    kommt nach dem booten des remote systems nicht mehr an den Rechner weil RDP nicht mehr funktioniert……?
    Setzt sich ins Auto, fährt zum Remote System und deinstalliert das Update mit lokaler Präsenz. Kunde guckt seltsam.
    ???
    Man kneift sich in den Arm, nein, ist kein Alptraum.
    Sag das das nur ein Alp-Traum war oder das das völlig anders ist.

    • Bernd B. sagt:

      In solchen Konstellationen bietet man dem Kunden _immer_ eine KVM/IP-Lösung mit dem Argument "verkürzt Reaktionszeit, spart Anfahrtskosten" an und lässt ihn aktiv "nein, brauchen wir nicht" sagen.

  3. MOM20xx sagt:

    Im Artikel steht ja Windows Defender Credential Guard nur bei Enterprise und Education Version. Bei mir ist das Ding auch auf einer Windows 11 Pro 22H2 aktueller Build von sich aus installiert und aktiv. Gibts das Feature nun auch für Pro? Vor allem was nervt es installiert sich ist aktiv und irgendwann kommen dann nach zig Reboots oder was auch immer ich auslöse folgende Events:

    Event ID 6147 LSA (LSAsrv) Credential Guard is configured to run, but is not licensed. Credential Guard was not started.

    Mir scheint da läuft bei Windows 11 generell irgendwas sehr schräg. Auch ein nervender Bug. Im neuen Datei Manager den Download Ordner so einzustellen, dass die Ordner nach Namen sortiert sind und nicht nach Änderungsdatum gruppiert sortiert sind, ist ein Ding der Unmöglichkeit. Man bekommt den Download Ordner selbst zwar so hin, aber etwaige Unterordner sind dann wieder falsch. Bei Windows 10 konnte man das noch passabel einstellen.

  4. Cerberus sagt:

    Ich sehe solche Probleme bei uns auch mit Windows 11 22H2 Clients (CG Guard ist aktiv), aber nur wenn die Zielserver Windows 2022 sind, Login erfolgreich aber dann Blackscreen. Wenn man die IP Adresse nutzt dann funktioniert ist. Oder Linux Remmina mit FQDN geht auch. Haut man ein Remote Desktop Gateway in die Connection dann geht es auch mit Windows 11 22H2 und FQDN.

  5. franc sagt:

    Danke! Der Eintrag
    LsaCfgFlags (DWORD32) = 0
    in:
    Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

    (und Neustart danach) hat geholfen, jetzt speichert W11 (Ent.) mir endlich meine RD Verbindung mit Passwort zu einem W10 (auch Ent.) PC, im selben lokalen Netzwerk :)

    Wohingegen FQDN nichts geändert hatte, ich hatte tatsächlich vorher immer die IP genommen, wusste das nicht besser.
    Aber mit PC Namen hatte W11 den Login auch nicht gespeichert, kam auch immer:
    "Mit den Anmeldeinformationen konnte keine Verbindung hergestellt werden.
    Windows Defender Credential Guard lässt die Verwendung von gespeicherten Anmeldeinformationen nicht zu. Geben Sie Ihre Anmeldeinformationen ein.
    f
    Kennwort
    Der Anmeldeversuch ist fehlgeschlagen.
    Weitere Optionen"
    Dann musste ich das Passwort doch eingeben und ich kam mit RD erst auf den anderen PC.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.