Alle Benutzer von Systemadministratoren haben ein sehr ernstes Anliegen – die Sicherung von Anmeldeinformationen über eine Remotedesktopverbindung^(Desktop) . Denn Malware kann über die Desktop-Verbindung auf jeden anderen Computer gelangen und eine potenzielle Bedrohung für Ihre Daten darstellen. Aus diesem Grund zeigt das Windows-Betriebssystem^{(Windows OS)} eine Warnung „ Stellen Sie sicher, dass Sie diesem PC vertrauen, eine Verbindung zu einem nicht vertrauenswürdigen Computer kann Ihren PC beschädigen^{(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)} “ auf, wenn Sie versuchen, eine Verbindung zu einem Remote-Desktop herzustellen.

In diesem Beitrag werden wir sehen, wie die Remote Credential Guard- Funktion, die in  Windows 10 eingeführt wurde , dazu beitragen kann, Remote-Desktop-Anmeldeinformationen in Windows 10 Enterprise und Windows Server zu schützen .

Remote Credential Guard in Windows 10

Die Funktion soll Bedrohungen eliminieren, bevor sie sich zu einer ernsten Situation entwickeln. Es hilft Ihnen, Ihre Anmeldeinformationen über eine Remotedesktopverbindung zu schützen , indem es die ^(Desktop)Kerberos -Anforderungen zurück an das Gerät umleitet , das die Verbindung anfordert. Es bietet auch Single-Sign-On-Erlebnisse für Remotedesktopsitzungen^{(Remote Desktop)} .

Im Falle eines Unglücks, bei dem das Zielgerät kompromittiert wird, werden Anmeldeinformationen des Benutzers nicht offengelegt, da sowohl Anmeldeinformationen als auch Anmeldeinformationen niemals an das Zielgerät gesendet werden.

Der Modus Operandi von Remote Credential Guard ist dem Schutz sehr ähnlich, den Credential Guard auf einem lokalen Computer bietet, mit der Ausnahme, dass Credential Guard auch gespeicherte Domänenanmeldeinformationen über den Credential Manager schützt .

Eine Person kann Remote Credential Guard auf folgende Weise verwenden:

1. Da Administrator -Anmeldeinformationen sehr privilegiert sind, müssen sie geschützt werden. Durch die Verwendung von Remote Credential Guard können Sie sicher sein, dass Ihre Anmeldeinformationen geschützt sind, da Anmeldeinformationen nicht über das Netzwerk an das Zielgerät übertragen werden können.
2. Helpdesk -Mitarbeiter in Ihrer Organisation müssen eine Verbindung zu domänengebundenen Geräten herstellen, die kompromittiert werden könnten. Mit Remote Credential Guard kann der Helpdesk-Mitarbeiter RDP verwenden , um eine Verbindung zum Zielgerät herzustellen, ohne seine Anmeldeinformationen für Malware zu gefährden.

Hardware- und Softwareanforderungen

Um ein reibungsloses Funktionieren von Remote Credential Guard zu ermöglichen, stellen Sie sicher, dass die folgenden Anforderungen von Remote Desktop -Client und -Server erfüllt sind.

1. Der Remotedesktop-Client und -Server müssen einer Active Directory-Domäne beitreten
2. Beide Geräte müssen entweder derselben Domäne beigetreten sein, oder der Remotedesktopserver^{(Remote Desktop)} muss einer Domäne mit einer Vertrauensstellung zur Domäne des Clientgeräts beigetreten sein.
3. Die Kerberos- Authentifizierung sollte aktiviert sein.
4. Auf dem Remotedesktopclient^{(Remote Desktop)} muss mindestens Windows 10 , Version 1607 oder Windows Server 2016 ausgeführt werden .
5. Die universelle Windows-Plattform^{(Remote Desktop Universal Windows Platform)} - App für Remotedesktop unterstützt Remote ^{(Remote Desktop)}Credential Guard^{(Remote Credential Guard)} nicht. Verwenden Sie daher die klassische Windows - App für Remotedesktop.

Aktivieren Sie Remote Credential Guard über die Registrierung^(Registry)

Um Remote Credential Guard auf dem Zielgerät zu aktivieren, öffnen Sie den Registrierungseditor^{(Registry Editor)} und gehen Sie zu folgendem Schlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Fügen Sie einen neuen DWORD-Wert namens DisableRestrictedAdmin hinzu^{(DisableRestrictedAdmin)} . Setzen Sie den Wert dieser Registrierungseinstellung auf 0 , um Remote Credential Guard zu aktivieren .

Schließen Sie den Registrierungseditor.

Sie können Remote Credential Guard aktivieren, indem Sie den folgenden Befehl von einer CMD mit erhöhten Rechten ausführen:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Aktivieren Sie Remote Credential Guard mithilfe von Gruppenrichtlinien^{(Group Policy)}

Es ist möglich, Remote Credential Guard auf dem Clientgerät zu verwenden, indem Sie eine Gruppenrichtlinie festlegen^{(Group Policy)} oder einen Parameter mit Remotedesktopverbindung^{(Remote Desktop Connection)} verwenden .

Navigieren Sie in der Gruppenrichtlinien-Verwaltungskonsole zu ^{(Group Policy Management Console)}Computer Configuration > Administrative Templates > System > Credentials Delegation.

Doppelklicken Sie nun auf Delegierung von Anmeldeinformationen an Remoteserver beschränken^{(Restrict delegation of credentials to remote servers)} , um das Eigenschaftenfeld zu öffnen.

Wählen Sie nun im Feld Folgenden eingeschränkten Modus verwenden die ^{(Use the following restricted mode)}Option Require Remote Credential Guard aus. ^{( Require Remote Credential Guard. )}Die andere Option Eingeschränkter Admin-Modus^{(Restricted Admin mode)} ist ebenfalls vorhanden. Seine Bedeutung besteht darin, dass der eingeschränkte Administratormodus^{(Restricted Admin)} verwendet wird, wenn Remote Credential Guard nicht verwendet werden kann .

In jedem Fall werden weder im Remote Credential Guard noch im eingeschränkten Administratormodus^{(Restricted Admin)} Anmeldeinformationen im Klartext an den Remotedesktopserver^{(Remote Desktop)} gesendet.

Lassen Sie Remote Credential Guard zu^{(Allow Remote Credential Guard)} , indem Sie die Option „ Remote Credential Guard bevorzugen “ auswählen.^{(Prefer Remote Credential Guard)}

Klicken Sie auf OK^{(Click OK)} und beenden Sie die Gruppenrichtlinien-Verwaltungskonsole^{(Group Policy Management Console)} .

Führen Sie nun an einer Eingabeaufforderung gpupdate.exe /force aus, um sicherzustellen, dass das Gruppenrichtlinienobjekt^{(Group Policy)} angewendet wird.

^{(Use Remote Credential Guard)}Verwenden Sie Remote Credential Guard mit einem Parameter für die Remotedesktopverbindung^{(Remote Desktop)}

Wenn Sie in Ihrer Organisation keine Gruppenrichtlinie^{(Group Policy)} verwenden , können Sie den remoteGuard-Parameter hinzufügen, wenn Sie die Remotedesktopverbindung starten ,^{(Desktop Connection)} um Remote Credential Guard für diese Verbindung zu aktivieren.

mstsc.exe /remoteGuard

Dinge, die Sie bei der Verwendung von Remote Credential Guard^{(Remote Credential Guard)} beachten sollten

1. Remote Credential Guard kann nicht verwendet werden, um eine Verbindung mit einem Gerät herzustellen, das mit Azure Active Directory verbunden ist .
2. Remote Desktop Credential Guard funktioniert nur mit dem RDP -Protokoll.
3. Remote Credential Guard enthält keine Geräteansprüche. Wenn Sie beispielsweise versuchen, von der Remote aus auf einen Dateiserver zuzugreifen, und der Dateiserver einen Geräteanspruch erfordert, wird der Zugriff verweigert.
4. Server und Client müssen sich mit Kerberos authentifizieren .
5. Die Domänen müssen über eine Vertrauensstellung verfügen, oder sowohl der Client als auch der Server müssen derselben Domäne angehören.
6. Remote Desktop Gateway ist nicht mit Remote Credential Guard kompatibel .
7. Es werden keine Anmeldeinformationen an das Zielgerät weitergegeben. Das Zielgerät ruft die Kerberos Service Tickets jedoch weiterhin selbst ab.
8. Schließlich müssen Sie die Anmeldeinformationen des Benutzers verwenden, der am Gerät angemeldet ist. Die Verwendung gespeicherter Anmeldedaten oder anderer Anmeldedaten als Ihren ist nicht gestattet.

Mehr dazu können Sie bei Technet nachlesen .

Verwandte^(Related) : So erhöhen Sie die Anzahl der Remotedesktopverbindungen^{(increase the number of Remote Desktop Connections)} in Windows 10.

Remote Credential Guard protects Remote Desktop credentials

All system administrator users have one very genuine concern – securing credentials over a Remote Desktop connection. This is because malware can find іts way tо any other comрuter over the desktop connection and pose a potential threat to your data. That is why Windows OS flashes a warning “Make sure you trust this PC, connecting to an untrusted computer might harm your PC” when you try to connect to a remote desktop.

In this post, we will see how the Remote Credential Guard feature, which has been introduced in Windows 10, can help protect remote desktop credentials in Windows 10 Enterprise and Windows Server.

Remote Credential Guard in Windows 10

The feature is designed to eliminate threats before it develops into a serious situation. It helps you protect your credentials over a Remote Desktop connection by redirecting the Kerberos requests back to the device that’s requesting the connection. It also provides single sign-on experiences for Remote Desktop sessions.

In the event of any misfortune where the target device is compromised, credentials of the user are not exposed because both credential and credential derivatives are never sent to the target device.

The modus operandi of Remote Credential Guard is very similar to the protection offered by Credential Guard on a local machine except for Credential Guard also protects stored domain credentials via the Credential Manager.

An individual can use Remote Credential Guard in the following ways-

1. Since Administrator credentials are highly privileged, they must be protected. By using Remote Credential Guard, you can be assured that your credentials are protected as it does not allow credentials to pass over the network to the target device.
2. Helpdesk employees in your organization must connect to domain-joined devices that could be compromised. With Remote Credential Guard, the helpdesk employee can use RDP to connect to the target device without compromising their credentials to malware.

Hardware and software requirements

To enable smooth functioning of the Remote Credential Guard, ensure the following requirements of Remote Desktop client and server are met.

1. The Remote Desktop Client and server must be joined to an Active Directory domain
2. Both devices must either joined to the same domain, or the Remote Desktop server must be joined to a domain with a trust relationship to the client device’s domain.
3. The Kerberos authentication should have been enabled.
4. The Remote Desktop client must be running at least Windows 10, version 1607 or Windows Server 2016.
5. The Remote Desktop Universal Windows Platform app doesn’t support Remote Credential Guard so, use Remote Desktop classic Windows app.

Enable Remote Credential Guard via Registry

To enable Remote Credential Guard on the target device, open Registry Editor and go to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Add a new DWORD value named DisableRestrictedAdmin. Set the value of this registry setting to 0 to turn on Remote Credential Guard.

Close the Registry Editor.

You can enable Remote Credential Guard by running the following command from an elevated CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Turn on Remote Credential Guard by using Group Policy

It is possible to use Remote Credential Guard on the client device by setting a Group Policy or by using a parameter with Remote Desktop Connection.

From the Group Policy Management Console, navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation.

Now, double-click Restrict delegation of credentials to remote servers to open its Properties box.

Now in the Use the following restricted mode box, choose Require Remote Credential Guard. The other option Restricted Admin mode is also present. Its significance is that when Remote Credential Guard cannot be used, it will use Restricted Admin mode.

In any case, neither Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

Allow Remote Credential Guard, by choosing ‘Prefer Remote Credential Guard’ option.

Click OK and exit the Group Policy Management Console.

Now, from a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

Use Remote Credential Guard with a parameter to Remote Desktop Connection

If you don’t use Group Policy in your organization, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

Things you should keep in mind when using Remote Credential Guard

1. Remote Credential Guard cannot be used to connect to a device that is joined to Azure Active Directory.
2. Remote Desktop Credential Guard only works with the RDP protocol.
3. Remote Credential Guard does not include device claims. For example, if you’re trying to access a file server from the remote and the file server requires device claim, access will be denied.
4. The server and client must authenticate using Kerberos.
5. The domains must have a trust relationship, or both the client and the server must be joined to the same domain.
6. Remote Desktop Gateway is not compatible with Remote Credential Guard.
7. No credentials are leaked to the target device . However, the target device still acquires the Kerberos Service Tickets on its own.
8. Lastly, you must use the credentials of the user who is logged into the device. Using saved credentials or credentials that are different than yours are not permitted.

You can read more on this at Technet.

Related: How to increase the number of Remote Desktop Connections in Windows 10.

Related posts

• Erhöhen Sie die Anzahl der Remotedesktopverbindungen in Windows 11/10

• Die Windows-Taste bleibt nach dem Wechsel von der Remotedesktopsitzung hängen

• Kopieren und Einfügen in Remotedesktopsitzung in Windows 10 nicht möglich

• Es ist ein Authentifizierungsfehler aufgetreten, die angeforderte Funktion wird nicht unterstützt

• Erstellen Sie eine Verknüpfung zur Remotedesktopverbindung in Windows 11/10

• Führen Sie STRG+ALT+ENTF auf dem Remote-Computer mit Remote Desktop aus

• So senden Sie Strg+Alt+Entf in einer Remotedesktopsitzung

• Beheben Sie den Remotedesktop-Fehlercode 0x204 unter Windows 11/10

• So konfigurieren Sie Remotedesktop über den Router

• Verbinden Sie das iPhone über Microsoft Remote Desktop mit einem Windows 10-PC

• Microsoft Remote Desktop Assistant für Windows 10

• Beste kostenlose Remote-Desktop-Software für Windows 10

• Die Remotedesktopoption ist unter Windows 10 ausgegraut

• So verwenden Sie Remotedesktop in Windows 10

• Microsoft Remotedesktop-App für Windows 11/10

• Keine Remotedesktop-Lizenzserver; Remote-Sitzung getrennt

• Ammyy Admin: Tragbare, sichere Remote-Desktop-Software ohne Konfiguration

• Fix Remote Desktop kann den Computerfehler in Windows 11/10 nicht finden

• Entfernen Sie Verlaufseinträge aus der Remotedesktopverbindung in Windows 11

• So aktivieren Sie Remotedesktop in Windows 10 (oder Windows 7)