Depuis l’activation de Remote Credential Guard (RCG) sous Windows 10/11, le client RDP (mstsc.exe) ne mémorise plus les mots de passe. Découvrez pourquoi, les implications sécurité, et des méthodes concrètes pour rétablir l’enregistrement des identifiants ou rester en SSO sans saisie manuelle.
Problème observé
Sur Windows 10/11, lorsque Remote Credential Guard est activé, la case « M’autoriser à enregistrer mes informations d’identification » du client RDP est grisée ou sans effet. Les mots de passe ne sont plus stockés dans le Gestionnaire d’informations d’identification, et à chaque connexion Bureau à distance il faut saisir le secret à nouveau.
En 30 secondes
- RCG isole vos informations d’identification et ne transmet jamais votre mot de passe au serveur distant.
- C’est voulu : l’objectif est d’empêcher le Pass‑the‑Hash et le vol de secrets côté serveur.
- Tant que RCG est actif, il n’existe aucun réglage permettant de réactiver la sauvegarde locale des mots de passe RDP.
Ce que fait réellement Remote Credential Guard
Remote Credential Guard s’appuie sur Kerberos et l’isolement des secrets pour éviter la délégation de votre mot de passe à la machine distante : les opérations d’authentification restent côté client. De ce fait, le client RDP ne dispose plus d’un « mot de passe à envoyer » qui pourrait être enregistré puis réutilisé ; il se contente de prouver votre identité à distance sans exposer de secret réutilisable.
Ce modèle annule la principale surface d’attaque des sessions RDP classiques (vol de hash, usurpation via Pass‑the‑Hash ou Pass‑the‑Ticket sur la cible). La contrepartie fonctionnelle est claire : plus de mémorisation de mot de passe tant que RCG est exigé.
Impacts côté utilisateur et administrateur
- Le bouton « Enregistrer mes informations d’identification » peut disparaître ou être grisé.
- Les entrées TERMSRV/nom_serveur n’apparaissent plus dans le Gestionnaire d’informations d’identification.
- Les connexions hors domaine (workgroup, comptes locaux) exigent une saisie à chaque connexion si RCG reste activé.
- Dans un environnement AD/Kerberos, Single Sign‑On (SSO) peut éviter la saisie du mot de passe, mais sans l’enregistrer.
Options de remédiation
Deux stratégies robustes existent, chacune avec ses avantages et limites.
| Objectif | Méthode | Étapes clés |
|---|---|---|
| Retrouver la sauvegarde des identifiants | Désactiver Remote Credential Guard | Ouvrir gpedit.msc (ou modifier une GPO). Aller dans : Configuration ordinateur → Modèles d’administration → Système → Délégation d’informations d’identification. Activer Autoriser la délégation des informations d’identification enregistrées puis cliquer sur Afficher… et ajouter TERMSRV/*. Désactiver l’option Utiliser Remote Credential Guard. (Registre, option) : HKLM\Software\Policies\Microsoft\Windows\CredentialsDelegation → RemoteCredentialGuardEnabled=0 (DWORD). Exécuter gpupdate /force ou redémarrer. |
| Conserver RCG sans saisir le mot de passe | Basculer sur l’authentification SSO | Utiliser un compte de domaine Kerberos (PC joint au domaine, ticket valide). Déployer des méthodes sans mot de passe : carte à puce, Windows Hello for Business, FIDO2, etc. Éviter les comptes locaux pour RDP si possible. |
À retenir : on ne peut pas concilier RCG actif et enregistrement automatique d’un mot de passe RDP. Il faut choisir entre sécurité maximale (RCG) et commodité (mot de passe mémorisé).
Procédure détaillée : rétablir l’enregistrement des mots de passe (désactiver RCG)
Via l’Éditeur de stratégie locale (Windows Pro/Enterprise)
- Appuyez sur Win+R, tapez
gpedit.mscet validez. - Parcourez : Configuration ordinateur → Modèles d’administration → Système → Délégation d’informations d’identification.
- Ouvrez Autoriser la délégation des informations d’identification enregistrées et passez le paramètre à Activé.
- Cliquez sur Afficher… (liste des serveurs) et ajoutez
TERMSRV/*pour autoriser tous les hôtes RDP. Vous pouvez spécifier des hôtes précis, par ex.TERMSRV/rdp-srv01.contoso.local. - Ouvrez Utiliser Remote Credential Guard et choisissez Désactivé.
- Fermez, puis exécutez :
gpupdate /force - Relancez
mstsc.exe: la case « Enregistrer mes informations d’identification » doit être disponible. À la première connexion, cochez-la pour créer l’entrée dans le Gestionnaire d’identification.
Via une GPO de domaine (environnement Active Directory)
- Créez ou modifiez une GPO liée aux ordinateurs ciblés.
- Configurez les mêmes paramètres que ci‑dessus dans Configuration ordinateur.
- Définissez explicitement
TERMSRV/*(ou une liste d’hôtes autorisés) pour Autoriser la délégation des informations d’identification enregistrées. - Positionnez Utiliser Remote Credential Guard sur Désactivé.
- Forcez l’application sur les postes :
gpupdate /force gpresult /h C:\gpo-rcg.htmlOuvrez le rapport pour vérifier la GPO appliquée.
Via le Registre (Windows Home ou script)
Si l’éditeur de stratégie locale n’est pas disponible :
- Ouvrez
regedit.exe. - Accédez à :
HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation. - Créez (ou modifiez) la valeur DWORD
RemoteCredentialGuardEnabled=0. - Redémarrez la machine (ou fermez/relancez la session).
Remarque : pour la liste des hôtes autorisés à utiliser des identifiants enregistrés (TERMSRV/*), il est recommandé de passer par la GPO. Les clés associées (AllowSavedCredentials) contiennent une liste ordonnée ; un déploiement centralisé réduit les erreurs.
Vérifier côté client RDP
- Lancez
mstsc.exe. - Allez dans Afficher les options → Avancé → Paramètres….
- Assurez‑vous que Utiliser Credential Guard pour la connexion distante est décoché. Ce réglage équivaut à la GPO ci‑dessus.
- Revenez à l’onglet Général, saisissez le nom du serveur (
TERMSRV/…implicite), votre nom d’utilisateur, cochez « Enregistrer mes informations d’identification » puis connectez‑vous.
Attention : désactiver RCG restaure la commodité, mais enlève la protection contre la capture d’identifiants si le serveur RDP est compromis. N’appliquez cela que pour des hôtes de confiance, segmentés et maintenus à jour.
Alternative recommandée : rester en RCG avec SSO
Si vous souhaitez éviter la saisie du mot de passe sans le stocker, conservez RCG et appuyez‑vous sur le SSO Kerberos ou des méthodes modernes d’authentification :
- Compte de domaine et poste joint au domaine : un ticket Kerberos valide permet une connexion RDP sans mot de passe explicite.
- Windows Hello for Business ou FIDO2 : authentification forte sans mot de passe, compatible avec les scénarios SSO.
- Carte à puce : délégation d’identité par certificat, sans divulguer de secret réutilisable.
Dans les environnements hors domaine (workgroup) ou lorsque Kerberos n’est pas possible, le choix se résume à :
- Maintenir RCG (sécurité maximale) et saisir manuellement les identifiants à chaque connexion ;
- Désactiver RCG pour rétablir la mémorisation des mots de passe (commodité accrue, risque plus élevé en cas de serveur compromis).
Scénarios et points d’attention
Environnement d’entreprise
- Si RCG est imposé via GPO, un réglage local ne suffira pas. Demandez une exception ou créez un groupe dynamique d’ordinateurs autorisés à mémoriser les identifiants pour des cas d’usage strictement justifiés.
- Documentez le périmètre (TERMSRV/* vs liste d’hôtes), mettez en place une surveillance accrue (journaux RDP, EDR) et fixez une durée maximum d’enregistrement (rotation d’identifiants).
Administrateurs et sauts RDP
- Évitez la « chaîne RDP » (client → bastion → serveur) avec des identifiants enregistrés. Privilégiez RCG + SSO jusqu’au bastion, puis Just‑In‑Time sur la cible.
- Ne stockez jamais d’identifiants à privilèges élevés dans le Gestionnaire d’identification.
Vérifier l’état de RCG et diagnostiquer
Commandes utiles
gpresult /h C:\rapport-gpo.html
start C:\rapport-gpo.html
Le rapport listera les paramètres Délégation d’informations d’identification appliqués. Vous pouvez également interroger le Registre :
reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation" /v RemoteCredentialGuardEnabled
Valeur attendue : 0x0 pour désactivé, 0x1 pour activé.
Vérification dans le client RDP
- Onglet Avancé → Paramètres… : l’option Utiliser Credential Guard pour la connexion distante doit être décochée si vous voulez mémoriser un mot de passe.
- Onglet Général : la case Enregistrer mes informations d’identification doit être disponible.
Fichier .RDP et paramètres courants
Les paramètres du fichier .rdp (enablecredsspsupport:i:1, prompt for credentials:i:0, etc.) ne peuvent pas forcer l’enregistrement d’un mot de passe si RCG est exigé par stratégie. Ils contrôlent l’expérience utilisateur, pas la politique de délégation des identifiants.
| Paramètre .RDP | Rôle | Impact avec RCG actif |
|---|---|---|
enablecredsspsupport:i:1 | Active CredSSP/NLA | Aucun enregistrement de mot de passe si RCG est exigé par GPO |
prompt for credentials:i:0 | Évite l’invite si des infos existent | Sans identifiant stocké, une invite sera affichée |
username:s, domain:s | Préremplissage du nom d’utilisateur | Ne change pas la politique RCG |
FAQ rapide
Puis‑je enregistrer un mot de passe tout en gardant RCG ?
Non. Par conception, RCG empêche la conservation et l’envoi d’un mot de passe réutilisable. Toute solution qui prétend concilier les deux revient à désactiver RCG sur le chemin de confiance.
RCG est‑il identique à « Credential Guard » ?
Non : Credential Guard (noyau/hyperviseur) protège les secrets sur la machine locale. Remote Credential Guard s’applique aux sessions RDP et empêche la délégation de vos informations d’identification vers l’hôte distant.
Le Gestionnaire d’informations d’identification affiche déjà une entrée TERMSRV/… mais RDP continue de demander un mot de passe.
Si RCG est actif (GPO ou paramètre client), l’entrée stockée sera ignorée. Désactivez RCG côté client ou retirez la GPO pour rétablir l’usage de cette entrée.
Que se passe‑t‑il si le serveur RDP n’est pas membre du domaine ?
Le SSO Kerberos ne s’applique pas. Avec RCG : saisie manuelle à chaque connexion. Sans RCG : possibilité d’enregistrer un mot de passe si la délégation enregistrée est autorisée (TERMSRV/*).
Comment inverser proprement la décision ?
Rétablissez l’état précédent des GPO, supprimez l’entrée RemoteCredentialGuardEnabled ou remettez‑la à 1, puis gpupdate /force. Côté utilisateurs, vous pouvez supprimer les identifiants obsolètes via Panneau de configuration → Gestionnaire d’identification.
Bonnes pratiques sécurité
- Préférez RCG + SSO partout où c’est possible (postes joints au domaine, WHfB).
- Si vous devez autoriser l’enregistrement, limitez la liste des hôtes (TERMSRV/serveur‑critique plutôt que TERMSRV/*), segmentez le réseau RDP et surveillez les connexions.
- Mettez en place une politique de rotation des mots de passe et évitez d’utiliser des comptes à privilèges élevés pour l’accès quotidien.
- Activez NLA (Authentification au niveau du réseau) et chiffrement fort.
Checklist décisionnelle
| Contexte | Recommandation | Motif |
|---|---|---|
| PC joint au domaine, serveurs RDP membres du domaine | Garder RCG + SSO Kerberos | Aucune saisie, protection maximale |
| Serveur hors domaine, besoin d’auto‑connexion | Désactiver RCG et autoriser TERMSRV/serveur | Rétablit l’enregistrement du mot de passe |
| Comptes à privilèges élevés | Interdire l’enregistrement, privilégier RCG | Réduit le risque de compromission latérale |
Informations complémentaires utiles
- Client RDP : dans
mstsc.exe, onglet Avancé → bouton Paramètres…, décocher « Utiliser Credential Guard pour la connexion distante » atteint le même but que la GPO. - Sécurité vs confort : désactiver RCG rétablit la commodité mais retire la protection contre la capture d’identifiants sur le serveur.
- Si l’environnement est hors domaine ou ne peut pas utiliser Kerberos, le choix se résume à :
- Maintenir RCG (sécurité maximale, saisie manuelle à chaque connexion) ;
- Désactiver RCG (commodité, risque accru si le serveur est compromis).
Scripts prêts à l’emploi (à utiliser avec prudence)
PowerShell : désactiver RCG côté machine
# Lancer en tant qu'administrateur
$base = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation"
If (-not (Test-Path $base)) { New-Item -Path $base -Force | Out-Null }
New-ItemProperty -Path $base -Name "RemoteCredentialGuardEnabled" -PropertyType DWord -Value 0 -Force | Out-Null
Write-Host "Remote Credential Guard désactivé. Exécutez 'gpupdate /force' ou redémarrez."
Invite de commandes : forcer l’application des stratégies
gpupdate /force
Rappel : pour autoriser la délégation des identifiants enregistrés, définissez la liste des hôtes via GPO (TERMSRV/* ou hôtes nominatifs). Évitez de déployer cette liste par scripts Registre si vous n’êtes pas certain de la structure exacte des clés dans votre version de Windows.
Conclusion
Le comportement « les mots de passe RDP ne se mémorisent plus » n’est pas un bug : c’est la conséquence directe de Remote Credential Guard, conçu pour bloquer la délégation de secrets vers les hôtes distants et contrer les attaques de type Pass‑the‑Hash. Vous avez le choix : maintenir RCG et privilégier SSO (idéal en entreprise), ou bien désactiver RCG pour retrouver la mémorisation des identifiants — en acceptant le compromis de sécurité associé. Dans tous les cas, ciblez précisément les hôtes autorisés (TERMSRV/* si nécessaire), conservez NLA activé et surveillez vos accès RDP.