Remote Credential Guard beskytter Remote Desktop credentials

Alle systemadministratorer brukerne har en veldig ekte bekymring - sikre legitimasjon over en eksternt skrivebordstilkobling. Dette skyldes at skadelig programvare kan finne veien til en hvilken som helst annen datamaskin over skrivebordet og dermed utgjøre en potensiell trussel mot dataene dine. Det er derfor Windows OS blinker en advarsel "Pass på at du stoler på denne PCen, og det kan koble til en usikker datamaskin som kan skade PCen din" når du prøver å koble til et eksternt skrivebord. I dette innlegget vil vi se hvordan funksjonen Remote Credential Guard , som har blitt introdusert i Windows 10 v1607, kan bidra til å beskytte eksternt skrivebordslegitimasjon i Windows 10 Enterprise og Windows Server 2016 .

Fjernbevisningsvakt i Windows 10

Funksjonen er designet for å eliminere trusler før den utvikler seg til en alvorlig situasjon. Det hjelper deg med å beskytte legitimasjonene dine via en eksternt skrivebordstilkobling ved å omdirigere Kerberos forespørsler tilbake til enheten som ber om tilkoblingen. Det gir også enkle påloggingsopplevelser for eksternt skrivebordssøkt.

I tilfelle av ulykke hvor målenheten er skadet, blir ikke legitimasjonsinformasjonen til brukeren eksponert, fordi både legitimasjons- og legitimasjonsderivater aldri sendes til målenheten.

Den modus operandi for Remote Credential Guard er svært lik beskyttelsen som tilbys av Credential Guard på en lokal maskin, med unntak av Credential Guard, beskytter også lagrede domeneopplysninger via Credential Manager.

En person kan bruke Remote Credential Guard i Følgende måter -

1. Siden administratorens legitimasjon er svært privilegert, må de beskyttes. Ved å bruke Remote Credential Guard kan du forsikre deg om at legitimasjonene dine er beskyttet fordi det ikke tillates at legitimasjonsinformasjon overføres til nettverket til målenheten.
2. Helpdesk-ansatte i organisasjonen din må koble til domenekoblede enheter som kan bli kompromittert. Med hjelp av Remote Credential Guard kan helpdeskmedarbeider bruke RDP til å koble til målenheten uten å ødelegge deres legitimasjonsbeskrivelser til skadelig programvare.

Krav til maskinvare og programvare

For å muliggjøre jevn funksjon av Remote Credential Guard, må du sikre følgende krav til Remote Skrivebordsklienten og serveren er oppfylt.

1. Fjernklientsklienten og serveren må være tilsluttet et Active Directory-domener
2. Begge enhetene må enten være med i det samme domenet eller Remote Desktop-serveren må bli slått sammen til et domene med en tillit forhold til klientenhetens domene.
3. Kerberos-autentiseringen burde vært aktivert.
4. Klientmaskinen for eksternt skrivebord må kjøre minst Windows 10, versjon 1607 eller Windows Server 2016.
5. Universell Windows-plattform for eksternt skrivebord app støtter ikke Remote Credential Guard så bruk Remote Desktop Classic Windows app.

Aktiver Remote Credential Guard via Register

For å aktivere Remote Credential Guard på målenheten, åpne Re enter editor og gå til følgende nøkkel:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Legg til en ny DWORD-verdi kalt DisableRestrictedAdmin . Angi verdien av denne registretinnstillingen til 0 for å aktivere Remote Credential Guard.

Lukk Registerredigering.

Du kan aktivere Remote Credential Guard ved å kjøre følgende kommando fra en forhøyet CMD:

reg legge til HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Slå på Remote Credential Guard ved å bruke Gruppepolicy

Det er mulig å bruke Remote Credential Guard på klientenheten ved å sette inn en gruppepolicy eller ved å bruke en parameter med eksternt skrivebordstilkobling.

Fra konsernpolitikkstyringskonsollen navigerer du til Datamaskinkonfigurasjon> Administrative maler> System> Godkjenningsdelegering

Dobbeltklikk nå Begrens delegering av legitimasjon til eksterne servere for å åpne Egenskaper-boksen.

Nå i Bruk følgende begrenset modus -kasse, velg Krev Remote Credential Guard. Det andre alternativet Begrenset admin-modus er også tilstede. Betydningen er at når Remote Credential Guard ikke kan brukes, vil det bruke Begrenset Admin-modus.

I alle fall vil verken Remote Credential Guard eller Restricted Admin-modus sende credentials i klar tekst til Remote Desktop-serveren.

Tillat Remote Credential Guard, ved å velge alternativet Prefer Remote Guard Verification.

Klikk OK og avslutt konsernets konsernpolitikk.

Kjør nå gpupdate.exe fra en kommandoprompt / Force for å sikre at gruppepolitikkobjektet blir brukt.

Bruk eksternt verifikasjonsvakt med en parameter til eksternt skrivebordstilkobling

Hvis du ikke bruker gruppepolicy i organisasjonen din, kan du legge til parameteren remoteGuard når du starter Eksternt skrivebordstilkobling for å aktivere Remote Credential Guard for denne tilkoblingen.

mstsc.exe / remoteGuard

Ting du bør huske på når du bruker Remote Credential Guard

1. Remote Credential Guard kan ikke brukes til å koble til en enhet som er tilknyttet Azure Active Directory.
2. Remo Te Desktop Credential Guard fungerer bare med RDP-protokollen.
3. Remote Credential Guard inkluderer ikke enhetskrav. Hvis du for eksempel prøver å få tilgang til en filserver fra fjernkontrollen og filserveren krever enhetskrav, blir tilgang nektet.
4. Serveren og klienten må godkjenne ved hjelp av Kerberos.
5. Domenene må ha tillit forholdet, eller både klienten og serveren må være med i det samme domenet.
6. Eksternt skrivebordsportway er ikke kompatibel med Remote Credential Guard.
7. Ingen legitimasjonsbeskrivelser er lekket til målenheten. Imidlertid kjøper målenheten Kerberos servicekort på egen hånd.
8. Til slutt må du bruke legitimasjonene til brukeren som er logget inn på enheten. Du kan ikke lese mer om dette på Technet.

Bruk av lagrede legitimasjon eller legitimasjon som er annerledes enn din, er ikke tillatt.