Credential Guard remoto
Visão geral
O Credential Guard Remoto ajuda a proteger as credenciais através de uma ligação de Ambiente de Trabalho Remoto (RDP) ao redirecionar os pedidos kerberos de volta para o dispositivo que está a pedir a ligação. Se o dispositivo de destino estiver comprometido, as credenciais não serão expostas porque tanto as credenciais como os derivados de credenciais nunca são transmitidos através da rede para o dispositivo de destino. O Credential Guard Remoto também fornece experiências de início de sessão único para sessões de Ambiente de Trabalho Remoto.
Este artigo descreve como configurar e utilizar o Remote Credential Guard.
Importante
Para obter informações sobre cenários de ligação ao Ambiente de Trabalho Remoto que envolvem suporte técnico, veja Cenários de suporte técnico e ligações ao Ambiente de Trabalho Remoto neste artigo.
Comparar o Remote Credential Guard com outras opções de ligação
Utilizar uma sessão de Ambiente de Trabalho Remoto sem o Remote Credential Guard tem as seguintes implicações de segurança:
- As credenciais são enviadas e armazenadas no anfitrião remoto
- As credenciais não estão protegidas contra atacantes no anfitrião remoto
- O atacante pode utilizar credenciais após a desativação
Os benefícios de segurança do Remote Credential Guard incluem:
- As credenciais não são enviadas para o anfitrião remoto
- Durante a sessão remota, pode ligar a outros sistemas com o SSO
- Um atacante só pode agir em nome do utilizador quando a sessão estiver em curso
Os benefícios de segurança do modo de Administrador Restrito incluem:
- As credenciais não são enviadas para o anfitrião remoto
- A sessão de Ambiente de Trabalho Remoto liga-se a outros recursos como a identidade do anfitrião remoto
- Um atacante não pode agir em nome do utilizador e qualquer ataque é local para o servidor
Utilize a tabela seguinte para comparar diferentes opções de segurança de ligação ao Ambiente de Trabalho Remoto:
Recurso | Área de Trabalho Remota | Credential Guard remoto | Modo de Administrador Restrito |
---|---|---|---|
Início de sessão único (SSO) para outros sistemas como utilizador com sessão iniciada | ✅ | ✅ | ❌ |
RDP de vários saltos | ✅ | ✅ | ❌ |
Impedir a utilização da identidade do utilizador durante a ligação | ❌ | ❌ | ✅ |
Impedir a utilização de credenciais após a desativação | ❌ | ✅ | ✅ |
Impedir Pass-the-Hash (PtH) | ❌ | ✅ | ✅ |
Autenticação suportada | Qualquer protocolo negociável | Apenas Kerberos | Qualquer protocolo negociável |
Credenciais suportadas a partir do dispositivo cliente de ambiente de trabalho remoto | - Credenciais com sessão iniciada - Credenciais fornecidas - Credenciais guardadas |
- Credenciais com sessão iniciada - Credenciais fornecidas |
- Credenciais com sessão iniciada - Credenciais fornecidas - Credenciais guardadas |
Acesso RDP concedido com | Associação do grupo Utilizadores do Ambiente de Trabalho Remoto no anfitrião remoto | Associação do grupo Utilizadores do Ambiente de Trabalho Remoto no anfitrião remoto | Associação do grupo Administradores no anfitrião remoto |
Requisitos do Credential Guard Remoto
Para utilizar o Credential Guard Remoto, o anfitrião remoto e o cliente têm de cumprir os seguintes requisitos.
O anfitrião remoto:
- Tem de permitir que o utilizador aceda através de ligações de Ambiente de Trabalho Remoto
- Tem de permitir a delegação de credenciais não importantes para o dispositivo cliente
O dispositivo cliente:
- Tem de estar a executar a aplicação Ambiente de Trabalho Remoto do Windows. A aplicação Plataforma Universal do Windows (UWP) de Ambiente de Trabalho Remoto não suporta o Remote Credential Guard
- Tem de utilizar a autenticação Kerberos para ligar ao anfitrião remoto. Se o cliente não conseguir ligar a um controlador de domínio, o RDP tentará reverter para o NTLM. O Credential Guard Remoto não permite a contingência NTLM porque exporia credenciais ao risco
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o Remote Credential Guard:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sim | Sim | Sim | Sim |
As licenças remotas do Credential Guard são concedidas pelas seguintes licenças:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Ativar a delegação de credenciais não importantes nos anfitriões remotos
Esta política é necessária nos anfitriões remotos para suportar o Modo de Proteção de Credenciais Remotas e o Modo de Administração Restrita. Permite ao anfitrião remoto delegar credenciais nãoportáveis ao dispositivo cliente.
Se desativar ou não configurar esta definição, o Modo de Administrador Restrito e o Modo de Proteção de Credenciais Remotas não são suportados. Os utilizadores têm de transmitir as respetivas credenciais ao anfitrião, expondo-as ao risco de roubo de credenciais de atacantes no anfitrião remoto.
Para ativar a delegação de credenciais não importantes nos anfitriões remotos, pode utilizar:
- Microsoft Intune/MDM
- Política de grupo
- Registro
As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
Categoria | Nome da configuração | Valor |
---|---|---|
Delegação de Credenciais do Sistema > de Modelos Administrativos > | O anfitrião remoto permite a delegação de credenciais não acessíveis | Habilitada |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP de Política.
Configuração |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/CredentialsDelegation/RemoteHostAllowsDelegationOfNonExportableCredentials - Tipo de dados: cadeia - Valor: <enabled/> |
Configurar a delegação de credenciais nos clientes
Para ativar o Remote Credential Guard nos clientes, pode configurar uma política que impede a delegação de credenciais para os anfitriões remotos.
Dica
Se não quiser configurar os seus clientes para impor o Remote Credential Guard, pode utilizar o seguinte comando para utilizar o Remote Credential Guard para uma sessão RDP específica:
mstsc.exe /remoteGuard
Se o servidor alojar a função de Anfitrião RDS, o comando só funcionará se o utilizador for um administrador do anfitrião remoto.
A política pode ter valores diferentes, consoante o nível de segurança que pretende impor:
Desativado: o modo de Administrador Restrito e o Modo de Proteção de Credenciais Remotas não são impostos e o Cliente de Ambiente de Trabalho Remoto pode delegar credenciais a dispositivos remotos
Exigir Administrador Restrito: o Cliente de Ambiente de Trabalho Remoto tem de utilizar o Administrador Restrito para ligar a anfitriões remotos
Exigir o Remote Credential Guard: o Cliente de Ambiente de Trabalho Remoto tem de utilizar o Remote Credential Guard para ligar a anfitriões remotos
Restringir a delegação de credenciais: o Cliente de Ambiente de Trabalho Remoto tem de utilizar o Administrador Restrito ou o Remote Credential Guard para ligar a anfitriões remotos. Nesta configuração, o Remote Credential Guard é preferido, mas utiliza o modo de Administrador Restrito (se suportado) quando o Remote Credential Guard não pode ser utilizado
Observação
Quando a opção Restringir Delegação de Credenciais estiver ativada, o
/restrictedAdmin
comutador será ignorado. Em vez disso, o Windows impõe a configuração da política e utiliza o Remote Credential Guard.
Para configurar os seus clientes, pode utilizar:
- Microsoft Intune/MDM
- Política de grupo
As instruções seguintes fornecem detalhes sobre como configurar os seus dispositivos. Selecione a opção mais adequada às suas necessidades.
Para configurar dispositivos com o Microsoft Intune, crie uma política de catálogo de Definições e utilize as seguintes definições:
Categoria | Nome da configuração | Valor |
---|---|---|
Delegação de Credenciais do Sistema > de Modelos Administrativos > | Restringir a delegação de credenciais a servidores remotos | Selecione Ativado e, na lista pendente, selecione uma das opções: - Restringir Delegação de Credenciais - Exigir Proteção de Credenciais Remota |
Atribua a política a um grupo que contém como membros os dispositivos ou utilizadores que pretende configurar.
Em alternativa, pode configurar dispositivos com uma política personalizada com o CSP de Política.
Configuração |
---|
-
OMA-URI:./Device/Vendor/MSFT/Policy/Config/ADMX_CredSsp/RestrictedRemoteAdministration - Tipo de dados: cadeia - Valor: <enabled/><data id="RestrictedRemoteAdministrationDrop" value="2"/> Os valores possíveis para RestrictedRemoteAdministrationDrop são:- 0 : Desativado- 1 : Exigir Administrador Restrito- 2 : Exigir Proteção de Credenciais Remota- 3 : restringir a delegação de credenciais |
Experiência do usuário
Assim que um cliente receber a política, pode ligar-se ao anfitrião remoto através do Remote Credential Guard ao abrir o Cliente de Ambiente de Trabalho Remoto (mstsc.exe
). O utilizador é autenticado automaticamente no anfitrião remoto:
Observação
O utilizador tem de estar autorizado a ligar ao servidor remoto através do protocolo ambiente de trabalho remoto, por exemplo, ao ser membro do grupo local Utilizadores do Ambiente de Trabalho Remoto no anfitrião remoto.
Ligações ao Ambiente de Trabalho Remoto e cenários de suporte técnico
Para cenários de suporte técnico em que o pessoal necessita de acesso administrativo através de sessões de Ambiente de Trabalho Remoto, não é recomendado utilizar o Remote Credential Guard. Se for iniciada uma sessão RDP para um cliente já comprometido, o atacante poderá utilizar esse canal aberto para criar sessões em nome do utilizador. O atacante pode aceder a qualquer um dos recursos do utilizador durante um período de tempo limitado após a sessão se desligar.
Em alternativa, recomendamos que utilize a opção Modo de Administração Restrita. Para cenários de suporte técnico, as ligações RDP só devem ser iniciadas com o /RestrictedAdmin
comutador. Isto ajuda a garantir que as credenciais e outros recursos de utilizador não são expostos a anfitriões remotos comprometidos. Para obter mais informações, veja Mitigating Pass-the-Hash and Other Credential Theft v2 (Mitigar o Pass-the-Hash e Outro Roubo de Credenciais v2).
Para reforçar a segurança, também recomendamos que implemente a Solução de Palavra-passe de Administrador Local do Windows (LAPS), que automatiza a gestão de palavras-passe de administrador local. A LAPS mitiga o risco de escalamento lateral e outros ciberataques facilitados quando os clientes utilizam a mesma conta local administrativa e combinação de palavras-passe em todos os seus computadores.
Para obter mais informações sobre LAPS, consulte O que é o Windows LAPS.
Considerações
Seguem-se algumas considerações sobre o Remote Credential Guard:
- O Credential Guard Remoto não suporta autenticação composta. Por exemplo, se estiver a tentar aceder a um servidor de ficheiros a partir de um anfitrião remoto que requer uma afirmação de dispositivo, o acesso é negado
- O Credential Guard Remoto só pode ser utilizado ao ligar a um dispositivo associado a um domínio do Active Directory. Não pode ser utilizado ao ligar a dispositivos remotos associados ao Microsoft Entra ID
- O Remote Credential Guard pode ser utilizado a partir de um cliente associado ao Microsoft Entra para ligar a um anfitrião remoto associado ao Active Directory, desde que o cliente possa autenticar com o Kerberos
- O Remote Credential Guard só funciona com o protocolo RDP
- Não são enviadas credenciais para o dispositivo de destino, mas o dispositivo de destino ainda adquire os Pedidos de Assistência Kerberos por conta própria
- O servidor e o cliente têm de se autenticar com o Kerberos
- O Credential Guard Remoto só é suportado para ligações diretas aos computadores de destino. Não é suportada para ligações através do Mediador de Ligações do Ambiente de Trabalho Remoto e do Gateway de Ambiente de Trabalho Remoto