RDP Verbindungen mit Windows Defender Remote Credential Guard absichern

Windows Defender Credential Guard und Mimikatz

Beim Aufbau einer Remoteverbindung zu einem entfernten Host, werden die Anmeldedaten normalerweise über das Netzwerk an das Zielsystem übermittelt.

Angreifer können unter diesen Umständen mithilfe von PtH (Pass-the-Hash) die zwischengespeicherten Anmeldedaten weiterverwenden.

Das erste Bild zeigt den Restricted Admin Mode, der zur Aufgabe hat, privilegierte Anmeldedaten zu sichern. Dabei wird die Remote-Desktop-Verbindungs-Sitzung in eine lokale Admin-Sitzung umgeswitcht. Der Benutzer muss zur Nutzung von RAM der Gruppe der lokalen Administratoren, auf dem Zielsystem, angehören.

Restricted Admin Mode

Bei der Nutzung des Windows Defender Remote Credential Guards, werden keine Anmeldedaten über das Netzwerk an das Zielsystem übermittelt. Die Anmeldung (Kerberos) erfolgt mittels Umleitung an den RDP-Client. Der Benutzer muss auf dem Zielsystem lediglich Mitglied der Gruppe Remotedesktopbenutzer sein.

Windows Defender Remote Credential Guard

Und ohne Schutz sind wir Pass-the-Hash und anderen Angriffen schutzlos ausgesetzt.

Remote Desktop connection to a server without Windows Defender Remote Credential Guard

Hier ein Beispiel wie leicht das Passwort ausgelesen werden kann.

Windows Defender Credential Guard und Mimikatz

Wie ihr euch schützen könnt erfahrt ihr in dieser Anleitung inkl. Troubleshooting bei fehlerhafter Umsetzung. Zu den Anforderungen, um Credential Gurard umzusetzen, hat Microsoft eine tolle Seite.

Windows Defender Remote Credential Guard Mimikatz

Windows Authentifizierungsmethoden kurz und knapp erklärt