Hallo zusammen,
wir möchten in unserem Unternehmensnetzwerk die Übertragung von Credential Hashes und Kerberos Tickets auf RDP Hosts (primär Server) bei RDP Verbindungen unterbinden.
Hierfür gibt es die Möglichkeit, bei RDP Verbindungen den Remote Credential Guard und den Restricted Admin Mode (als Fallback Lösung für Win Server 2012 und älter) zu verwenden, wodurch keine Anmeldedaten auf das Zielsystem übertragen werden (ich habe mit Mimikatz etwas getestet und war überrascht, wie zuverlässig das funktioniert - man konnte keinerlei Hashes oder Kerberos Tickets aus dem Speicher laden). Die Einrichtung war nicht weiter schwierig, allerdings würde mich interessieren, ob es hier Leute gibt, die die Features ebenfalls nutzen und mir folgende Frage zur Umsetzung beantworten können.
Aktuell testen wir das Ganze, in dem wir die RDP Verbindung vom RDP Client (Admin Workstation / PAW, die wir für die administrative Verwaltung nutzen) manuell mit dem jeweiligen Feature starten. Aktuell via cmd und dem relevanten Argument, also z.B. "mstsc.exe /restrictedadmin". Leider mussten wir feststellen, dass die RDP Sitzung dann im Kontext des Benutzers gestartet wird, mit dem man die cmd geöffnet hat - standardmäßig ist das bei uns der unprivilegierte AD-Benutzer, mit dem wir uns auf der Admin-Workstation angemeldet haben. Dieser Benutzer hat logischerweise keine RDP Berechtigungen auf Severn, geschweige denn Adminrechte.
In einem nächsten Test aktivierten wir die beiden Features via Gruppenrichtlinien auf der Admin-Workstation (somit wird die Unterbindung der Delegierung von Anmeldedaten erzwungen). Auch hier zeigte sich dasselbe Verhalten: die RDP-Sitzung startete automatisch mit dem User, mit dem man auf dem RDP Client angemeldet ist. Und das ist ohne Weiteres nicht abänderbar. Um zu testen, haben wir die cmd dann im Kontext mit dem jeweiligen Admin-Account geöffnet.
Deshalb die Frage an euch:
Wie ist das praktikabel umzusetzen? Müssten wir uns dann mit einem privilegierten Account auf der Admin-Workstation anmelden, der dann auch die nötigen Berechtigugnen auf den Zielservern hat? Oder gibt es bessere Lösungen, die ich bisher übersehen habe? Besten Dank schon mal für eure Hilfe!