Remote Credential Guard skyddar Remote Desktop-uppgifter

Alla systemadministratörer har ett mycket genuint problem - säkerställer referenser via en fjärrskrivbordsanslutning. Det beror på att skadlig programvara kan hitta sig till någon annan dator via skrivbordets anslutning och utgöra ett potentiellt hot mot dina data. Det är därför Windows OS blinkar en varning "Se till att du litar på den här datorn, anslutning till en otrolig dator kan skada din dator" när du försöker ansluta till ett fjärrskrivbord. I det här inlägget kommer vi att se hur funktionen Remote Credential Guard , som har introducerats i Windows 10 v1607, kan bidra till att skydda fjärrskrivbordsuppgifter i Windows 10 Enterprise och Windows Server 2016 .

Remote Credential Guard i Windows 10

Funktionen är utformad för att eliminera hot innan den utvecklas till en allvarlig situation. Det hjälper dig att skydda dina uppgifter om en fjärrskrivbordsanslutning genom att omdirigera Kerberos -förfrågningarna tillbaka till den enhet som begär anslutningen. Det ger också enkla inloggningsupplevelser för Remote Desktop-sessioner.

Om det är olyckligt där målenheten är äventyrad utsätts inte användarens användaruppgifter eftersom både referensuppgifter och referensuppgifter inte skickas till målenheten.

Den operativa funktionen för Remote Credential Guard överensstämmer mycket med det skydd som Credential Guard erbjuder på en lokal dator, förutom att Credential Guard skyddar också lagrade domänuppgifter via Credential Manager.

En person kan använda Remote Credential Guard i Följande sätt -

1. Eftersom administratörsuppgifter är mycket privilegierade måste de skyddas. Med hjälp av Remote Credential Guard kan du vara säker på att dina uppgifter är skyddade eftersom det inte tillåter att behörighetsuppgifter överförs via nätverket till målenheten.
2. Hjälpmedarbetare i din organisation måste ansluta till domänförenade enheter som kan äventyras. Med hjälp av Remote Credential Guard kan hjälpdeskans anställda använda RDP för att ansluta till målenheten utan att äventyra deras behörighetsuppgifter till skadlig programvara.

Krav på hårdvara och programvara

För att möjliggöra en fungerande Remote Guard Guard, måste följande krav uppfyllas: Desktop-klienten och servern är uppfyllda.

1. Fjärrskrivbordsklienten och servern måste anslutas till en Active Directory-domän
2. Båda enheterna måste antingen vara anslutna till samma domän eller fjärrskrivbordservern måste anslutas till en domän med en Förtroendeförhållande till klientenhetens domän.
3. Kerberos-autentiseringen borde ha varit aktiverad.
4. Klientmaskinen för fjärrskrivbord måste köra minst Windows 10, version 1607 eller Windows Server 2016.
5. Universal Windows-plattformen för fjärrskrivbord app stöder inte Remote Credential Guard så använd fjärrskrivbordsklassisk Windows app.

Aktivera Remote Credential Guard via registret

För att aktivera Remote Credential Guard på målenheten, öppna Re gistry Editor och gå till följande nyckel:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Lägg till ett nytt DWORD-värde med namnet DisableRestrictedAdmin . Ange värdet för denna registerinställning till 0 för att aktivera Remote Credential Guard.

Stäng registret.

Du kan aktivera Remote Credential Guard genom att köra följande kommando från en förhöjd CMD:

reg lägg till HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Slå på Remote Credential Guard genom att använda grupppolicy

Det går att använda Remote Credential Guard på klientenheten genom att konfigurera en grupppolicy eller genom att använda en parameter med fjärrskrivbordsanslutning.

Gå till Koncernpolicyhanteringskonsolen genom att gå till Datorkonfiguration> Administrativa mallar> System> Delegation för delegationer .

Dubbelklicka sedan på Begränsa delegering av behörighetsuppgifter till fjärrservrar för att öppna dess Egenskaper rutan.

Välj nu i rutan Använd följande begränsat läge > Kräv Remote Credential Guard. Det andra alternativet Begränsat Admin-läge är också närvarande. Dess betydelse är att när Remote Credential Guard inte kan användas, kommer det att använda Restriated Admin-läget.

Under inga omständigheter kommer varken Remote Credential Guard eller Restricted Admin-läge att skicka behörighetsuppgifter i klar text till fjärrskrivbordsservern.

Tillåt Remote Credential Guard genom att välja alternativet Prefer Remote Guard Guard.

Klicka på OK och avsluta konsolhanteringsgruppskonsolen.

Kör nu från en kommandoprompt gpupdate.exe / Force för att försäkra sig om att grupppolicyobjektet tillämpas.

Använd fjärrbevakningsskydd med en parameter för fjärrskrivbordsanslutning

Om du inte använder grupppolicy i din organisation kan du lägga till remoteGuard-parametern när du startar fjärrskrivbordsanslutning för att aktivera fjärrkontrollvakten för den anslutningen.

mstsc.exe / remoteGuard

Saker du bör komma ihåg när du använder Remote Credential Guard

1. Remote Credential Guard kan inte användas för att ansluta till en enhet som är ansluten till Azure Active Directory.
2. Remo te Desktop Credential Guard fungerar bara med RDP-protokollet.
3. Remote Credential Guard innehåller inte enhetskrav. Om du till exempel försöker komma åt en filserver från fjärrkontrollen och filservern kräver enhetskrav, kommer åtkomst nekas.
4. Servern och klienten måste verifiera med Kerberos.
5. Domänerna måste ha ett förtroende förhållandet, eller både klienten och servern måste vara anslutna till samma domän.
6. Fjärrskrivbords Gateway är inte kompatibel med Remote Credential Guard.
7. Ingen referensläkningar läckt ut till målenheten. Målanordningen köper emellertid fortfarande Kerberos servicebiljetter.
8. Slutligen måste du använda användaruppgifterna för användaren som är inloggad i enheten. Det går inte att använda sparade uppgifter eller uppgifter som är annorlunda än dina.

Du kan läsa mer om detta på Technet.