Protecția la distanță Credential Guard protejează acreditările Desktop Remote

Toți utilizatorii de administratori de sistem au o preocupare foarte autentică - securizarea acreditărilor pe o conexiune la distanță. Acest lucru se datorează faptului că programele malware pot găsi drumul către orice alt computer prin conexiunea desktop și reprezintă o potențială amenințare pentru datele dvs. De aceea, sistemul de operare Windows se aprinde cu un avertisment "Asigurați-vă că aveți încredere în acest PC, conectarea la un computer neautentificat poate dăuna computerului dvs." atunci când încercați să vă conectați la un computer de la distanță. În acest post, vom vedea cum caracteristica Remote Sensitive Guard , introdusă în Windows 10 v1607, poate ajuta la protejarea acreditărilor de la distanță în Windows 10 Enterprise și Windows Server 2016

Protecția credentialului la distanță în Windows 10

Caracteristica este concepută pentru a elimina amenințările înainte ca aceasta să se dezvolte într-o situație gravă. Vă ajută să vă protejați acreditările printr-o conexiune la distanță prin redirecționarea solicitărilor Kerberos înapoi la dispozitivul care solicită conexiunea. De asemenea, oferă experiențe single sign-on pentru sesiunile desktop la distanță.

În caz de nefericire în cazul în care dispozitivul vizat este compromis, datele de identificare ale utilizatorului nu sunt expuse, deoarece atât instrumentele de acreditare, cât și cele de credite nu sunt trimise niciodată dispozitivului destinație.

Modul de operare al Remote Credential Guard este foarte asemănător cu protecția oferită de Credential Guard pe o mașină locală, cu excepția faptului că Guardential Guard protejează și acreditările de domeniu stocate prin Credential Manager.

O persoană poate utiliza Remote Credential Guard în urmatoarele moduri -

1. Deoarece acreditarile de administrator sunt extrem de privilegiate, trebuie sa fie protejate. Utilizând Remote Guard Guard, aveți posibilitatea să fiți sigur că datele dvs. de acreditare sunt protejate, deoarece nu permit ca acreditările să treacă prin rețeaua către dispozitivul țintă.
2. Angajații Helpdesk din organizația dvs. trebuie să se conecteze la dispozitivele asociate domeniului care ar putea fi compromise. Cu ajutorul Remote Custard Guard, angajatul helpdesk poate folosi RDP pentru a se conecta la dispozitivul țintă, fără a compromite acreditările pentru malware.

Cerințe hardware și software

Pentru a permite funcționarea fără probleme a dispozitivului Remote Credential Guard, Clientul și serverul desktop sunt îndeplinite

1. Clientul și serverul de la distanță trebuie conectate la un domeniu Active Directory
2. Ambele dispozitive trebuie să fie conectate la același domeniu sau serverul Desktop la distanță trebuie să fie asociat unui domeniu cu de încredere pentru domeniul dispozitivului client
3. Autentificarea Kerberos ar fi trebuit activată
4. Clientul Remote Desktop trebuie să ruleze cel puțin Windows 10, versiunea 1607 sau Windows Server 2016.
5. Platforma Windows Desktop Universal Windows Aplicația nu acceptă Protecția la distanță pentru creditori, astfel încât să folosească aplicația clasică Windows Desktop la distanță.

Activați Protecția credentialului la distanță prin intermediul registrului

Pentru a activa Remote Sensitive Guard pe dispozitivul destinație, deschideți Re geniul Editor și accesați următoarea cheie:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Adăugați o nouă valoare DWORD numită DisableRestrictedAdmin . Setați valoarea acestei regiștri la 0 pentru a activa funcția Remote Credential Guard

Închideți editorul de registru.

Puteți activa Remote Credential Guard executând următoarea comandă dintr-un CMD elevat:

adăugați reg HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

stabilind o politică de grup sau utilizând un parametru cu Conexiune desktop la distanță

Din Consola de gestionare a politicii de grup, navigați la Configurare computer> Șabloane administrative> Sistem> Delegații acreditare

Acum, faceți dublu clic pe

Restricționați delegarea acreditărilor la serverele la distanță pentru a deschide caseta Proprietăți. Acum, în caseta

> Solicită protecție la credință la distanță Este de asemenea disponibilă și cealaltă opțiune Mod de administrator restricționat . Semnificația ei este că atunci când Remote Credential Guard nu poate fi utilizat, acesta va folosi modul Administrator restricționat. În orice caz, nici modul de protecție la distanță și nici modul de administrator restricționat nu vor trimite acreditări în text clar pe serverul Desktop la distanță. Asigurați-vă că aveți dreptul să alegeți Prefer Remote Guard Credential "

Faceți clic pe OK și ieșiți din Consola de gestionare a politicii de grup

Acum, dintr-un prompt de comandă, executați gpupdate.exe / force pentru a vă asigura că este aplicat obiectul Policy Group.

Utilizați Remote Credential Guard cu un parametru pentru Conexiunea desktop la distanță

Dacă nu utilizați politica de grup în organizația dvs., puteți adăuga parametrul remoteGuard atunci când porniți conexiunea Desktop la distanță pentru a activa funcția Remote Credential Guard pentru acea conexiune. mstsc.exe / remoteGuard Lucruri pe care trebuie să le țineți cont atunci când utilizați Remote Credential Guard

un dispozitiv care este asociat cu Azure Active Directory.

Remo te Desktop Credential Guard funcționează numai cu protocolul RDP.

Remote Credential Guard nu include revendicările dispozitivului. De exemplu, dacă încercați să accesați un server de fișiere de la distanță și serverul de fișiere necesită revendicarea dispozitivului, accesul va fi interzis.

Serverul și clientul trebuie să se autentifice folosind Kerberos.

1. Domeniile trebuie să aibă o încredere relația sau atât clientul, cât și serverul trebuie să fie conectate la același domeniu.
2. Gateway Desktop la distanță nu este compatibil cu Remote Credential Guard
3. Nu sunt scurgeri de acreditare la dispozitivul destinație. Cu toate acestea, dispozitivul țintă încă achiziționează Biletele de servicii Kerberos pe cont propriu.
4. În sfârșit, trebuie să utilizați acreditările utilizatorului care este conectat la dispozitiv. Utilizarea acreditărilor sau a acreditărilor salvate care sunt diferite de ale dvs. nu sunt permise.
5. Puteți afla mai multe despre acest lucru la Technet