Remote Credential Guard chroni dane logowania na pulpicie

Wszyscy użytkownicy administratorów systemów mają jeden bardzo poważny problem - zabezpieczanie referencji za pośrednictwem połączenia pulpitu zdalnego. Dzieje się tak dlatego, że złośliwe oprogramowanie może znaleźć drogę do dowolnego innego komputera przez połączenie pulpitu i stanowić potencjalne zagrożenie dla danych. Właśnie dlatego system operacyjny Windows wyświetla ostrzeżenie "Upewnij się, że ten komputer, nawiązując połączenie z niezaufanym komputerem może uszkodzić twój komputer" podczas próby połączenia się ze zdalnym pulpitem. W tym poście zobaczymy, jak funkcja Zdalna pomoc w tworzeniu poświadczeń , która została wprowadzona w Windows 10 v1607, może pomóc w ochronie referencji na komputerze zdalnym w Windows 10 Enterprise i Windows Server 2016 .

Zdalna stacja uwierzytelniająca w systemie Windows 10

Ta funkcja została zaprojektowana w celu wyeliminowania zagrożeń, zanim rozwinie się w poważną sytuację. Pomaga chronić dane uwierzytelniające za pośrednictwem połączenia pulpitu zdalnego, przekierowując żądania Kerberos z powrotem na urządzenie żądające połączenia. Zapewnia także możliwość pojedynczego logowania dla sesji pulpitu zdalnego.

W przypadku nieszczęścia, w którym następuje włamanie do urządzenia docelowego, poświadczenia użytkownika nie są ujawniane, ponieważ zarówno poświadczenia, jak i poświadczenia poświadczeń nie są nigdy wysyłane do urządzenia docelowego.

Modus operandi Remote Credential Guard jest bardzo podobny do ochrony oferowanej przez Credential Guard na lokalnej maszynie, z wyjątkiem Credential Guard chroni również przechowywane poświadczenia domeny za pośrednictwem Credential Manager.

Osoba może korzystać z Remote Credential Guard w następujące sposoby-

1. Ponieważ dane uwierzytelniające administratora są bardzo uprzywilejowane, muszą być chronione. Korzystając z usługi Remote Credential Guard, możesz mieć pewność, że twoje poświadczenia są chronione, ponieważ nie pozwalają na przekazywanie poświadczeń przez sieć do urządzenia docelowego.
2. Pracownicy działu pomocy technicznej w Twojej organizacji muszą łączyć się z urządzeniami przyłączonymi do domeny, które mogą zostać naruszone.. Dzięki funkcji Remote Credential Guard pracownik działu pomocy technicznej może korzystać z protokołu RDP do łączenia się z urządzeniem docelowym bez naruszania ich danych uwierzytelniających dla złośliwego oprogramowania.

Wymagania sprzętowe i programowe

Aby umożliwić sprawne funkcjonowanie Remote Credential Guard, należy spełnić następujące wymagania Remote Komputer kliencki i serwer są spełnione.

1. Klient pulpitu zdalnego i serwer muszą zostać przyłączone do domeny Active Directory
2. Oba urządzenia muszą albo zostać połączone z tą samą domeną, albo serwer pulpitu zdalnego musi zostać przyłączony do domeny z relacja zaufania do domeny urządzenia klienckiego.
3. Uwierzytelnianie Kerberos powinno być włączone.
4. Klient pulpitu zdalnego musi być uruchomiony co najmniej Windows 10, wersja 1607 lub Windows Server 2016.
5. Uniwersalna platforma Windows Pulpitu zdalnego aplikacja nie obsługuje funkcji Remote Credential Guard, więc należy użyć klasycznej aplikacji Windows na pulpicie zdalnym.

Włącz zdalną stację uwierzytelniającą za pośrednictwem rejestru

Aby włączyć zdalną stację uwierzytelniającą na urządzeniu docelowym, otwórz Re gistry Editor i przejdź do następującego klucza:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Dodaj nową wartość DWORD o nazwie DisableRestrictedAdmin . Ustaw wartość tego ustawienia rejestru na 0 , aby włączyć Ochronę uwierzytelniania zdalnego.

Zamknij edytor rejestru.

Możesz włączyć Ochronę certyfikatów zdalnych, uruchamiając następujące polecenie z podwyższonej CMD:

reg dodaj HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Włącz zdalną stację uwierzytelniającą za pomocą zasad grupy

Możliwe jest użycie Zdalnej ochrony poświadczeń na urządzeniu klienckim przez ustawianie zasad grupy lub użycie parametru z usługą Podłączanie pulpitu zdalnego.

Z Konsoli zarządzania zasadami grupy przejdź do Konfiguracja komputera> Szablony administracyjne> System> Delegowanie referencji .

Teraz kliknij dwukrotnie Ogranicz delegowanie poświadczeń do serwerów zdalnych , aby otworzyć okno Właściwości.

Teraz w Użyj następującego trybu ograniczonego, wybierz Wymagaj funkcji Remote Credential Guard. Obecna jest także inna opcja Restricted Admin mode. Jego znaczenie jest takie, że gdy nie można użyć Remote Credential Guard, to będzie używać trybu Restricted Admin.

W żadnym wypadku ani tryb Remote Credential Guard, ani Restricted Admin nie będzie wysyłał poświadczeń w postaci zwykłego tekstu do serwera pulpitu zdalnego.

Allow Zdalny moduł ochrony poświadczeń, wybierając opcję Preferuj ochronę zdalną.

Kliknij przycisk OK i zamknij konsolę zarządzania zasadami grupy.

Teraz z wiersza polecenia uruchom polecenie gpupdate.exe / force, aby upewnić się, że obiekt zasad grupy został zastosowany.

Użyj Remote Credential Guard z parametrem Remote Desktop Connection

Jeśli nie używasz Group Policy w twojej organizacji, możesz dodać parametr remoteGuard po uruchomieniu usługi Podłączanie pulpitu zdalnego, aby włączyć Ochronę uwierzytelniania dla tego połączenia.

mstsc.exe / remoteGuard

O czym należy pamiętać przy korzystaniu ze Zdalnej karty uwierzytelniającej

1. Nie można użyć usługi Remote Credential Guard urządzenie podłączone do usługi Azure Active Directory.
2. Remo Te Desktop Credential Guard działa tylko z protokołem RDP.
3. Zdalna stornka poświadczeń nie obejmuje roszczeń dotyczących urządzeń. Na przykład, jeśli próbujesz uzyskać dostęp do serwera plików z poziomu zdalnego, a serwer plików wymaga żądania urządzenia, dostęp zostanie zabroniony.
4. Serwer i klient muszą uwierzytelnić się przy użyciu protokołu Kerberos.
5. Domeny muszą mieć zaufanie relacja lub klient i serwer muszą zostać przyłączeni do tej samej domeny.
6. Brama usług pulpitu zdalnego nie jest zgodna ze zdalną ochroną uwierzytelniającą.
7. Żadne dane uwierzytelniające nie są przekazywane do urządzenia docelowego. Jednak urządzenie docelowe nadal nabywa bilety usługi Kerberos samodzielnie.
8. Na koniec należy użyć poświadczeń użytkownika zalogowanego do urządzenia. Używanie zapisanych poświadczeń lub poświadczeń innych niż twoje jest niedozwolone.

Możesz przeczytać więcej na ten temat w serwisie Technet.