Win 11 RDP 不允許使用已儲存的憑證

rdp window11 windows defender credential guard

dennislin 2022-10-25 15:32:23 ‧ 4711 瀏覽

分享至

如題，最近小弟的公司剛換一批新桌機 Win11，
有加入AD，原本Win10的時候都可以儲存，
結果新電腦遠端桌面第一次輸入完密碼後，認證管理員也有紀錄
但都跳出來windows defender credential guard 不允許使用已儲存的憑證

接著從微軟的官網中找到確實會被阻擋
https://learn.microsoft.com/zh-tw/windows/security/identity-protection/credential-guard/credential-guard-manage

我使用公司配發的筆電，無AD，本機管理員權限，
從Win10升級成Win11，也是有這個問題，
但照著步驟關閉無論是本機原則或是修改機碼，都關不掉credential guard

請問各位高手有遇過這種情形嗎

-補充一下，小弟我是弱弱的小IT

wiseguy iT邦超人 1 級 ‧ 2022-10-25 15:39:12 檢舉

要跟貴公司管理員確認，是不是在群組原則中強制不可紀錄認證。敝公司就是。因為這是資安政策。

dennislin iT邦新手 4 級 ‧ 2022-10-25 15:43:36 檢舉

原本桌機W10的時候是可以的，是上週採購新電腦系統為Win11就不行了
目前我先在我的筆電測，筆電沒有加入AD，桌機有，感謝提醒我補充一下

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

johncoc

iT邦新手 3 級 ‧ 2022-10-26 11:13:32

最佳解答

把上圖的數值資料都設為 1 , 沒有的就新增

AllowDefaultCredentials
AllowDefCredentialsWhenNTLMOnly
AllowSavedCredentials
AllowSavedCredentialsWhenNTLMOnly
ConcatenateDefaults_AllowDefault
ConcatenateDefaults_AllowDefNTLMOnly
ConcatenateDefaults_AllowSaved
ConcatenateDefaults_AllowSavedNTLMOnly

開啟虛擬化型安全性改成已停用

回應 7
分享
檢舉

看更多先前的回應...收起先前的回應...

dennislin iT邦新手 4 級 ‧ 2022-10-26 14:51:14 檢舉

從機碼看起來是開啟委派認證，這個已經有試過了，沒有效果
剛剛也試了一次也是一樣，但也謝謝您的回答

我認為認證是被windows defender credential guard 這個東西所阻擋，勢必從這個地方下手

johncoc iT邦新手 3 級 ‧ 2022-10-26 14:57:37 檢舉

之前也是升級 win11 遇到這個問題

johncoc iT邦新手 3 級 ‧ 2022-10-26 15:02:50 檢舉

改群組原則沒效果,才會跑去機碼加上這些設定

dennislin iT邦新手 4 級 ‧ 2022-10-26 15:10:39 檢舉

您後來加了這幾組之後就沒問題了嗎？

johncoc iT邦新手 3 級 ‧ 2022-10-26 15:11:12 檢舉

開啟虛擬化型安全性已啟用改成已停用

johncoc iT邦新手 3 級 ‧ 2022-10-26 15:12:11 檢舉

我把有改的都給你
每個都試試看
忘記當初是改哪個導致關掉那個認證

dennislin iT邦新手 4 級 ‧ 2022-10-26 17:35:52 檢舉

我的筆電可能被我改太多次了，不知道哪有怪怪的
測在同事的電腦確實有生效了! 謝謝

登入發表回應

照燒

iT邦新手 4 級 ‧ 2023-04-12 22:28:52

我一直都沒開那個內核保護功能

開起來之後，那遠端要輸入密碼就冒出來了
每次遠端都很麻煩
真的有點智障
最後照著對岸方式 https://www.zhihu.com/question/555206682 關掉
不太能理解，每次重新輸入密碼其實反而比較容易由社交攻擊或者鍵盤側錄抓到值，真正安全的是離開電腦登出，登入電腦用指紋，像apple macos那樣指紋會臉部辨識比較安全。