Я столкнулся с необычной проблемой: некоторые пользователи, обновившие компьютеры до Windows 11 25H2, сообщали, что не могут установить удалённое подключение к определённым хостам через протокол Remote Desktop Protocol (RDP).
Пользователи не могли установить RDP-соединение в следующих случаях:
- Если имя учётной записи для подключения по RDP содержит символы, не входящие в ASCII. Эта проблема возникает на локализованных версиях Windows, где встроенная учётная запись Администратора имеет другое имя или используется имя пользователя с не-ASCII символами (например, кириллица, турецкие символы и т.д.). В таких случаях попытка входа через RDP могла завершаться ошибкой недействительных учетных данных.
- При подключении к удалённому компьютеру по его IP-адресу. При этом подключение к RDP-хосту по FQDN (полное доменное имя) проходит успешно. Это чётко показывает, что соединения, использующие аутентификацию NTLM (по IP-адресу), блокируются, тогда как подключения с использованием Kerberos (по FQDN) работают нормально.
- Компьютеры не подключены к одному лесу Active Directory или находятся в разных рабочих группах.
Мы потратили немало времени на расследование проблемы, включив журналирование событий KDC. Выяснилось, что неполадки с RDP в Windows 11 вызваны функцией Credential Guard (в частности, Remote Credential Guard). Эта функция безопасности предназначена для защиты учётных данных пользователей. Credential Guard включена по умолчанию в Windows 11, если аппаратное обеспечение компьютера соответствует определённым требованиям (TPM + UEFI + SecureBoot + Virtualization-Based Security).
Проверить, включён ли Credential Guard на устройстве с Windows 11, можно через PowerShell:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
- 0 – защита учётных данных отключена
- 1 – Credential Guard включён
Если Credential Guard активирован на компьютере без включённого режима блокировки UEFI (который защищает от изменений настроек UEFI), эту функцию безопасности можно отключить с помощью групповой политики или через реестр:
- Откройте локальный редактор групповых политик (
gpedit.msc) и перейдите в Конфигурация компьютера –> Административные шаблоны –> Система –> Device Guard. Установите значение параметра Turn on Virtualization Based Security в положение Disabled.
- Далее создайте два ключа в реестре:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
Если же режим блокировки UEFI включён, сначала нужно создать временную запись загрузчика в BCD для запуска компьютера в режиме, который позволяет отключить Credential Guard и Virtualization-Based Security.
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
Во время загрузки Windows появится консольное окно Credential Guard Opt-out Tool с запросом на отключение Credential Guard. Подтвердите операцию, нажав F3.
После выполнения этих действий Credential Guard перестанет блокировать аутентификацию NTLM при подключении к удалённому компьютеру через RDP.
Невозможность подключения через RDP для учётных записей с не-ASCII символами связана с ошибкой ANSI-преобразования в Credential Guard, из-за которой происходит некорректная обработка таких имён пользователей и, как следствие, сбой аутентификации.
.
