Remote Credential Guard

Panoramica

Remote Credential Guard consente di proteggere le credenziali tramite una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che richiede la connessione. Se il dispositivo di destinazione viene compromesso, le credenziali non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai passate in rete al dispositivo di destinazione. Remote Credential Guard offre anche esperienze di accesso Single Sign-On per le sessioni di Desktop remoto.

Questo articolo descrive come configurare e usare Remote Credential Guard.

Importante

Per informazioni sugli scenari di connessione Desktop remoto che coinvolgono il supporto tecnico, vedere Connessioni Desktop remoto e scenari di supporto tecnico in questo articolo.

Confrontare Remote Credential Guard con altre opzioni di connessione

L'uso di una sessione desktop remoto senza Remote Credential Guard ha le implicazioni di sicurezza seguenti:

  • Le credenziali vengono inviate e archiviate nell'host remoto
  • Le credenziali non sono protette dagli utenti malintenzionati nell'host remoto
  • L'utente malintenzionato può usare le credenziali dopo la disconnessione

I vantaggi di sicurezza di Remote Credential Guard includono:

  • Le credenziali non vengono inviate all'host remoto
  • Durante la sessione remota, è possibile connettersi ad altri sistemi usando l'accesso SSO
  • Un utente malintenzionato può agire per conto dell'utente solo quando la sessione è in corso

I vantaggi della sicurezza della modalità Di amministrazione con restrizioni includono:

  • Le credenziali non vengono inviate all'host remoto
  • La sessione desktop remoto si connette ad altre risorse come identità dell'host remoto
  • Un utente malintenzionato non può agire per conto dell'utente e qualsiasi attacco è locale nel server

Usare la tabella seguente per confrontare diverse opzioni di sicurezza della connessione Desktop remoto:

Funzionalità Desktop remoto Remote Credential Guard Modalità di amministrazione con restrizioni
Single Sign-On (SSO) ad altri sistemi come utente connesso
RDP multi hop
Impedire l'uso dell'identità dell'utente durante la connessione
Impedire l'uso delle credenziali dopo la disconnessione
Impedisci pass-the-hash (PtH)
Autenticazione supportata Qualsiasi protocollo negoziabile Solo Kerberos Qualsiasi protocollo negoziabile
Credenziali supportate dal dispositivo client desktop remoto - Credenziali di accesso
- Credenziali fornite
- Credenziali salvate
- Credenziali di accesso
- Credenziali fornite
- Credenziali di accesso
- Credenziali fornite
- Credenziali salvate
Accesso RDP concesso con Appartenenza al gruppo Utenti desktop remoto nell'host remoto Appartenenza al gruppo Utenti desktop remoto nell'host remoto Appartenenza al gruppo Administrators nell'host remoto

Requisiti di Remote Credential Guard

Per usare Remote Credential Guard, l'host remoto e il client devono soddisfare i requisiti seguenti.

Host remoto:

  • Deve consentire all'utente di accedere tramite connessioni Desktop remoto
  • Deve consentire la delega di credenziali non esportabili al dispositivo client

Il dispositivo client:

  • Deve eseguire l'applicazione Windows Desktop remoto. L'applicazione UWP (Universal Windows Platform) desktop remoto non supporta Remote Credential Guard
  • Deve usare l'autenticazione Kerberos per connettersi all'host remoto. Se il client non riesce a connettersi a un controller di dominio, RDP tenta di eseguire il fallback a NTLM. Remote Credential Guard non consente il fallback NTLM perché espone le credenziali al rischio

Requisiti di licenza ed edizione di Windows

La tabella seguente elenca le edizioni di Windows che supportano Remote Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza di Remote Credential Guard sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Abilitare la delega delle credenziali non esportabili negli host remoti

Questo criterio è necessario negli host remoti per supportare Remote Credential Guard e la modalità di amministrazione con restrizioni. Consente all'host remoto di delegare le credenziali non esportabili al dispositivo client.
Se si disabilita o non si configura questa impostazione, la modalità Amministratore con restrizioni e Remote Credential Guard non è supportata. Gli utenti devono passare le credenziali all'host, esponendole al rischio di furto di credenziali da parte di utenti malintenzionati nell'host remoto.

Per abilitare la delega delle credenziali non esportabili negli host remoti, è possibile usare:

  • Microsoft Intune/MDM
  • Criteri di gruppo
  • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Delega delle credenziali di sistema > dei modelli amministrativi > L'host remoto consente la delega di credenziali non esportabili Abilitato

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.

Impostazione
- URI OMA:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials
- Tipo di dati: stringa
- Valore:<enabled/>

Configurare la delega delle credenziali nei client

Per abilitare Remote Credential Guard nei client, è possibile configurare un criterio che impedisce la delega delle credenziali agli host remoti.

Suggerimento

Se non si vuole configurare i client per applicare Remote Credential Guard, è possibile usare il comando seguente per usare Remote Credential Guard per una sessione RDP specifica:

mstsc.exe /remoteGuard

Se il server ospita il ruolo Host Servizi Desktop remoto, il comando funziona solo se l'utente è un amministratore dell'host remoto.

I criteri possono avere valori diversi, a seconda del livello di sicurezza che si vuole applicare:

  • Disabilitato: l'amministratore con restrizioni e la modalità Remote Credential Guard non vengono applicati e il client Desktop remoto può delegare le credenziali ai dispositivi remoti

  • Richiedi amministratore con restrizioni: il client Desktop remoto deve usare l'amministratore con restrizioni per connettersi agli host remoti

  • Richiedi Remote Credential Guard: Il client Desktop remoto deve usare Remote Credential Guard per connettersi agli host remoti

  • Limitare la delega delle credenziali: il client Desktop remoto deve usare l'amministratore con restrizioni o Remote Credential Guard per connettersi agli host remoti. In questa configurazione è preferibile Remote Credential Guard, ma usa la modalità di amministrazione con restrizioni (se supportata) quando Remote Credential Guard non può essere usato

    Nota

    Quando l'opzione Limita delega credenziali è abilitata, l'opzione /restrictedAdmin verrà ignorata. Windows applica invece la configurazione dei criteri e usa Remote Credential Guard.

Per configurare i client, è possibile usare:

  • Microsoft Intune/MDM
  • Criteri di gruppo

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Delega delle credenziali di sistema > dei modelli amministrativi > Limitare la delega delle credenziali ai server remoti Selezionare Abilitato e nell'elenco a discesa selezionare una delle opzioni seguenti:
- Limitare la delega delle credenziali
- Richiedi Remote Credential Guard

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione criteri.

Impostazione
- URI OMA:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration
- Tipo di dati: stringa
- Valore:<enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/>

I valori possibili per RestrictedRemoteAdministrationDrop sono:
- 0:Disabile
- 1: Richiedi amministratore con restrizioni
- 2: Richiedi Remote Credential Guard
- 3: Limitare la delega delle credenziali

Esperienza utente

Dopo che un client riceve i criteri, è possibile connettersi all'host remoto usando Remote Credential Guard aprendo il client Desktop remoto (mstsc.exe). L'utente viene autenticato automaticamente nell'host remoto:

Nota

L'utente deve essere autorizzato a connettersi al server remoto usando il protocollo Desktop remoto, ad esempio facendo parte del gruppo locale Utenti desktop remoto nell'host remoto.

Scenari di supporto di connessioni desktop remoto e supporto tecnico

Per gli scenari di supporto tecnico in cui il personale richiede l'accesso amministrativo tramite sessioni desktop remoto, non è consigliabile usare Remote Credential Guard. Se viene avviata una sessione RDP a un client già compromesso, l'utente malintenzionato potrebbe usare tale canale aperto per creare sessioni per conto dell'utente. L'utente malintenzionato può accedere a qualsiasi risorsa dell'utente per un periodo di tempo limitato dopo la disconnessione della sessione.

È consigliabile usare invece l'opzione Modalità di amministrazione con restrizioni. Per gli scenari di supporto tecnico, le connessioni RDP devono essere avviate solo tramite il /RestrictedAdmin commutatore. Ciò consente di garantire che le credenziali e altre risorse utente non siano esposte a host remoti compromessi. Per altre informazioni, vedere Mitigating Pass-the-Hash e Other Credential Theft v2.For more information, see Mitigating Pass-the-Hash and Other Credential Theft v2.

Per migliorare ulteriormente la sicurezza, è anche consigliabile implementare Laps (Local Administrator Password Solution) di Windows, che automatizza la gestione delle password dell'amministratore locale. LAPS riduce il rischio di escalation laterale e altri attacchi informatici facilitati quando i clienti usano la stessa combinazione di account locale amministrativo e password in tutti i computer.

Per altre informazioni su LAPS, vedere Che cos'è Windows LAPS.

Considerazioni

Ecco alcune considerazioni per Remote Credential Guard:

  • Remote Credential Guard non supporta l'autenticazione composta. Ad esempio, se si sta tentando di accedere a un file server da un host remoto che richiede un'attestazione del dispositivo, l'accesso viene negato
  • Remote Credential Guard può essere usato solo quando ci si connette a un dispositivo aggiunto a un dominio di Active Directory. Non può essere usato per la connessione a dispositivi remoti aggiunti a Microsoft Entra ID
  • Remote Credential Guard può essere usato da un client aggiunto a Microsoft Entra per connettersi a un host remoto aggiunto ad Active Directory, purché il client possa eseguire l'autenticazione tramite Kerberos
  • Remote Credential Guard funziona solo con il protocollo RDP
  • Non vengono inviate credenziali al dispositivo di destinazione, ma il dispositivo di destinazione acquisisce comunque i ticket di servizio Kerberos autonomamente
  • Il server e il client devono eseguire l'autenticazione tramite Kerberos
  • Remote Credential Guard è supportato solo per le connessioni dirette ai computer di destinazione. Non è supportata per le connessioni tramite Gestore connessione Desktop remoto e Gateway Desktop remoto