Remote Credential Guard beskytter Remote Desktop-legitimasjon

Innholdsfortegnelse:

Remote Credential Guard beskytter Remote Desktop-legitimasjon
Remote Credential Guard beskytter Remote Desktop-legitimasjon

Video: Remote Credential Guard beskytter Remote Desktop-legitimasjon

Video: Remote Credential Guard beskytter Remote Desktop-legitimasjon
Video: What To Do If Lost Usb Dongle Of mouse ??? #wirelessmouse - YouTube 2024, Mars
Anonim

Alle systemadministratorens brukere har en veldig ekte bekymring - sikring av legitimasjon over en eksternt skrivebordstilkobling. Dette skyldes at skadelig programvare kan finne veien til en hvilken som helst annen datamaskin over skrivebordet og dermed utgjøre en potensiell trussel mot dataene dine. Det er derfor Windows OS blinker en advarsel "Pass på at du stoler på denne PCen, og det kan koble til en usikker datamaskin som kan skade PCen din" når du prøver å koble til et eksternt skrivebord. I dette innlegget vil vi se hvordan Remote Credential Guard funksjon, som har blitt introdusert i Windows 10 v1607, kan bidra til å beskytte eksterne skrivebordsopplysninger i Windows 10 Enterprise og Windows Server 2016.

Remote Credential Guard i Windows 10

Funksjonen er designet for å eliminere trusler før den utvikler seg til en alvorlig situasjon. Det hjelper deg med å beskytte legitimasjonene dine via en eksternt skrivebordstilkobling ved å omdirigere Kerberos Be om tilbake til enheten som ber om tilkoblingen. Det gir også enkle påloggingsopplevelser for eksternt skrivebordssesjon.

I tilfelle av ulykke hvor målenheten er kompromittert, blir ikke legitimasjonene til brukeren eksponert fordi begge legitimasjons- og legitimasjonsderivater aldri sendes til målenheten.

Den modus operandi av Remote Credential Guard er svært lik beskyttelsen som tilbys av Credential Guard på en lokal maskin, med unntak av Credential Guard, beskytter også lagrede domenevilkår via Credential Manager.
Den modus operandi av Remote Credential Guard er svært lik beskyttelsen som tilbys av Credential Guard på en lokal maskin, med unntak av Credential Guard, beskytter også lagrede domenevilkår via Credential Manager.

En person kan bruke Remote Credential Guard på følgende måter -

  1. Siden administratorens legitimasjon er svært privilegert, må de beskyttes. Ved å bruke Remote Credential Guard, kan du være trygg på at legitimasjonene dine er beskyttet fordi det ikke tillater at legitimasjonsinformasjon overføres over nettverket til målenheten.
  2. Helpdesk-ansatte i organisasjonen din må koble til domenekoblede enheter som kan bli kompromittert. Med Remote Credential Guard kan helpdeskmedarbeider bruke RDP til å koble til målenheten uten å ødelegge deres legitimasjon til skadelig programvare.

Krav til maskinvare og programvare

For å muliggjøre en jevn funksjon av den eksterne godkjenningsgruppen, må du sikre at følgende krav til eksternt skrivebordsklient og server er oppfylt.

  1. Fjernklientsklienten og -serveren må være sluttet til et Active Directory-domene
  2. Begge enhetene må enten være med i det samme domenet, eller Remote Desktop-serveren må være sluttet til et domene med et tillitsforhold til klientenhetens domene.
  3. Kerberos-autentiseringen burde vært aktivert.
  4. Remote Desktop-klienten må kjøre minst Windows 10, versjon 1607 eller Windows Server 2016.
  5. Applikasjonen for eksternt skrivebord Universal Windows Platform støtter ikke Remote Credential Guard, så bruk Windows-appen for eksternt skrivebord.

Aktiver Remote Credential Guard via Register

Hvis du vil aktivere Remote Credential Guard på målenheten, åpner du Registerredigering og går til følgende nøkkel:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa

Legg til en ny DWORD-verdi som heter DisableRestrictedAdmin. Angi verdien av denne registerinnstillingen til 0 for å slå på Remote Credential Guard.

Lukk Registerredigering.

Du kan aktivere Remote Credential Guard ved å kjøre følgende kommando fra en forhøyet CMD:

reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Slå på Remote Credential Guard ved å bruke Gruppepolicy

Det er mulig å bruke Remote Credential Guard på klientenheten ved å angi en gruppepolicy eller ved å bruke en parameter med eksternt skrivebordstilkobling.

Fra konsernpolitikkstyringskonsollen navigerer du til Computer Configuration> Administrative Malls> System> Credentials Delegation.

Dobbeltklikk nå Begrens delegering av legitimasjon til eksterne servere for å åpne Egenskaper-boksen.

Nå i Bruk følgende begrensede modus boks, velg Krever Remote Credential Guard. Det andre alternativet Begrenset admin modus er også til stede. Dens betydning er at når Remote Credential Guard ikke kan brukes, vil det bruke Begrenset Admin-modus.

Under ingen omstendigheter vil verken Remote Credential Guard eller Restricted Admin-modus sendes legitimasjon i klar tekst til Remote Desktop-serveren.

Tillat Remote Credential Guard, ved å velge 'Foretrekker Remote Credential Guard'Alternativet.

Klikk på OK og avslutt konsernets konsol for konsernpolitikk.

Image
Image

Nå, kjør fra en kommandoprompt gpupdate.exe / force for å sikre at gruppepolitikkobjektet blir brukt.

Bruk Remote Credential Guard med en parameter til eksternt skrivebordstilkobling

Hvis du ikke bruker Gruppepolicy i organisasjonen din, kan du legge til RemoteGuard-parameteren når du starter Fjernbordsforbindelse for å slå på Remote Credential Guard for den forbindelsen.

mstsc.exe /remoteGuard

Ting du bør huske på når du bruker Remote Credential Guard

  1. Remote Credential Guard kan ikke brukes til å koble til en enhet som er tilknyttet Azure Active Directory.
  2. Remote Desktop Credential Guard fungerer bare med RDP-protokollen.
  3. Remote Credential Guard inkluderer ikke enhetskrav. Hvis du for eksempel prøver å få tilgang til en filserver fra fjernkontrollen og filserveren krever enhetskrav, blir tilgang nektet.
  4. Serveren og klienten må godkjenne ved hjelp av Kerberos.
  5. Domenene må ha et tillitsforhold, eller både klienten og serveren må være tilknyttet det samme domenet.
  6. Remote Desktop Gateway er ikke kompatibel med Remote Credential Guard.
  7. Ingen legitimasjonsbeskrivelser er lekket til målenheten. Imidlertid kjøper målenheten fortsatt Kerberos Service Billetter på egen hånd.
  8. Til slutt må du bruke legitimasjonene til brukeren som er logget inn i enheten. Det er ikke tillatt å bruke lagrede legitimasjon eller legitimasjon som er annerledes enn ditt.

Du kan lese mer om dette på Technet.

Anbefalt: