启用Credential Guard后远程桌面凭据委派(SSO)失效的解决方案

本文详细分析了在Windows Server启用Credential Guard后远程桌面单点登录失效的原因,并提供了通过配置Remote Credential Guard组策略来恢复SSO功能的完整解决方案,涵盖跳板机和目标服务器的配置步骤。

远程桌面凭据委派(SSO)在启用Credential Guard后失效

问题描述

远程桌面凭据委派(RDP单点登录)允许用户无需重新输入凭据即可连接到其他计算机的RDP会话。然而,在Windows服务器上启用Credential Guard后,SSO将不再工作,并显示错误消息:“您的凭据无效。登录尝试失败。”

Credential Guard概述

Credential Guard是Windows安全功能,通过基于虚拟化的隔离保护凭据(如NTLM哈希和Kerberos票证),防止即使是特权系统进程访问它们。隔离进程名为lsaiso.exe(Lsa-Isolated),需要具有虚拟化支持和安全启动的硬件。

SSO失效原因

启用Credential Guard后,传统凭据委派组策略无法将凭据转发到远程主机,因为凭据现在存储在另一个进程lsaIso.exe中。

解决方案

在跳板机上启用Remote Credential Guard

  1. 在组策略中启用"要求远程凭据保护"选项

    • 路径:计算机配置 -> 策略 -> 管理模板 -> 系统 -> 凭据委派 -> 限制向远程服务器委派凭据

  2. 如果不再有任何传统跳板服务器,可以从GPO中删除凭据委派选项

  3. 重启服务器使更改生效

在目标服务器上启用Remote Credential Guard支持

  1. 启用"远程主机允许委派不可导出凭据"选项

    • 路径:计算机配置 -> 策略 -> 管理模板 -> 系统 -> 凭据委派

  2. 将此GPO应用于所有目标服务器(无需重启)

Windows Server 2016特殊处理

对于Windows Server 2016,需要通过注册表命令启用该功能:

1

reg.exe add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

总结

正确配置Credential Guard和Remote Credential Guard需要两个组策略:一个仅应用于跳板服务器,另一个针对所有目标服务器。组织如果尚未启用Credential Guard,建议启用并使用此安全功能。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次