Windows Credential Guard und gespeicherte Anmeldedaten für Verbindung auf Remote-Apps auf RDS-Server

[dartzen 22]

Hallo zusammen,

 

ich bin heute erstmals darüber gestolpert, dass in aktuellen Windows 11 Versionen der Credential Guard (der standardmäßig aktiv ist) anscheinend verhindert, dass man sich mit gespeicherten Anmeldedaten an einer RDS Remote-App anmeldet.

Hintergrund: Unser ERP System kann von extern via VPN nicht vernünftig benutzt werden, daher ist die Lösung des Herstellers die Verwendung eines RDS-Servers. Wir haben daher den ERP-Client auf einem Server 2019 mit der RDS Rolle installiert und dann als Remote App freigegeben. Die Benutzer bekommen dann eine entsprechende RDP-Datei auf den Desktop, der Zugriff ist via Zugehörigkeit zu einer bestimmten Sicherheitsgruppe gesteuert. Beim ersten aufrufen der RDP-Datei muss der User zunächst sein Domainpasswort eingeben für die Anmeldung am RDS, danach startet der Client. Da der ERP-Client von sich aus immer eine Abfrage nach dem ERP internen Username/Passwort macht haben wir dann den Leuten gesagt, sie sollen bei dem Windowsanmeldefenster den Haken bei "Anmeldedaten speichern" setzen, damit man halt nicht mehrfach das Passwort eingeben muss. Das funktioniert soweit alles seit mehreren Jahren und hat bisher keine Probleme gemacht.

Jetzt hat sich erstmalig ein Benutzer gemeldet und gemeldet, dass eine Windows Anmeldemaske kommt in der steht "Die Anmeldung war nicht erfolgreich". Weiter oben dann der Hinweis, dass Windows Defender Credential Guard es nicht erlauben würde, die gespeicherten Anmeldedaten zu verwenden. Wird dann das Passwort eingegeben funktioniert es, ist aber halt ein zusätzlicher Schritt, der vorher nicht notwendig war. Das Problem tritt auch nicht an allen Rechnern auf, an meinem eigenen kann ich das nicht nachvollziehen. 

 

Kann man diese Funktion irgendwie konfigurieren, am besten über eine GPO (damit ich nicht alle Rechner manuell anfassen muss)? Credential Guard ganz ausschalten ist problematisch, da das auf den verwendeten Notebooks per UEFI Lock aktiv ist. Das habe ich bei einem anderen Notebook des gleiche Modells schon mal versucht wg. VirtualBox, war aber nach einiger Zeit dann automatisch wieder an.

 

Bin für alle Tipps dankbar.