Я столкнулся со странной проблемой: после обновления компьютеров до Windows 11 25H2 некоторые пользователи сообщали, что не могут подключиться к определённым удалённым хостам через протокол удалённого рабочего стола (Remote Desktop Protocol, RDP).
Проблемы с установлением RDP-соединения возникали в следующих случаях:
- Если имя аккаунта для подключения по RDP содержит не-ASCII символы. Эта проблема характерна для локализованных версий Windows, где встроенная учётная запись Administrator может иметь другое имя или включать в себя символы, выходящие за пределы ASCII (например, кириллицу, турецкие символы и т.п.). В таких случаях попытка входа через RDP могла завершаться с ошибкой неверных учётных данных.
- При подключении к удалённому компьютеру по IP-адресу. Между тем подключение к RDP-хосту по полному доменному имени (FQDN) проходило успешно. Это однозначно указывает на то, что подключения с аутентификацией NTLM (по IP) блокировались, тогда как подключения с использованием Kerberos (по FQDN) работали без сбоев.
- Если компьютеры не входят в один и тот же AD лес или находятся в разных рабочих группах.
Мы потратили значительное время на исследование проблемы, включая включение протоколирования событий KDC. В итоге выяснилось, что проблема с RDP в Windows 11 вызвана Credential Guard (а именно — Remote Credential Guard). Эта функция безопасности предназначена для защиты учётных данных пользователей. Credential Guard включён по умолчанию в Windows 11 при условии, что аппаратное обеспечение компьютера соответствует определённым требованиям (TPM + UEFI + SecureBoot + Virtualization-Based Security).
Чтобы проверить, включён ли Credential Guard на устройстве с Windows 11, используйте PowerShell:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
- 0 – защита учётных данных отключена
- 1 – Credential Guard включён
Если Credential Guard активирован на компьютере без включенного UEFI Lock (режима, защищающего от изменений настроек UEFI), эту функцию безопасности можно отключить с помощью групповой политики (GPO) или через реестр:
- Откройте редактор локальной групповой политики (
gpedit.msc) и перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Device Guard. Установите значение параметра Turn on Virtualization Based Security в положение Disabled.
- Затем создайте два параметра в реестре:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
Если UEFI Lock включён, сначала необходимо создать временную загрузочную запись в BCD, чтобы запустить компьютер в режиме, позволяющем отключить Credential Guard и Virtualization-Based Security.
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
Во время загрузки Windows появится консольное окно (Credential Guard Opt-out Tool) с запросом подтвердить отключение Credential Guard. Нажмите F3, чтобы подтвердить отключение.
После выполнения этих действий Credential Guard перестанет блокировать NTLM-аутентификацию при подключении через RDP к удалённому компьютеру.
Проблема с невозможностью подключения по RDP для учётных записей с не-ASCII символами связана с ошибкой ANSI-конвертации в Credential Guard, из-за которой аутентификация не проходит: Credential Guard некорректно обрабатывает имена пользователей с такими символами.