Remote Credential Guard skyddar Remote Desktop-uppgifter i Windows 10
Alla systemadministratörers användare har ett mycket genuint problem - säkrar referenser via en fjärrskrivbordsanslutning. Det beror på att skadlig programvara kan hitta sig till någon annan dator över skrivbordets anslutning och utgöra ett potentiellt hot mot dina data. Det är därför Windows OS blinkar en varning "Se till att du litar på den här datorn, att ansluta till en otrolig dator kan skada datorn" när du försöker ansluta till ett fjärrskrivbord. I det här inlägget ser vi hur Remote Credential Guard funktion som har introducerats i Windows 10 v1607, kan bidra till att skydda fjärrskrivbordsuppgifter i Windows 10 Enterprise och Windows Server 2016.
Remote Credential Guard i Windows 10
Funktionen är utformad för att eliminera hot innan den utvecklas till en allvarlig situation. Det hjälper dig att skydda dina uppgifter om en fjärrskrivbordsanslutning genom att omdirigera Kerberos begär tillbaka till enheten som begär anslutningen. Det ger också enkla inloggningsupplevelser för Remote Desktop-sessioner.
I händelse av olycka där målenheten är äventyrad utsätts inte användarens användaruppgifter för att båda referensuppgifterna och referensuppgifterna aldrig skickas till målenheten.
Funktionssättet för Remote Credential Guard är mycket lik det skydd som Credential Guard erbjuder på en lokal maskin, förutom att Credential Guard skyddar också lagrade domänuppgifter via Credential Manager.
En person kan använda Remote Credential Guard på följande sätt-
- Eftersom administratörsuppgifter är mycket privilegierade måste de skyddas. Genom att använda Remote Credential Guard kan du vara säker på att dina uppgifter är skyddade eftersom det inte tillåter att behörighetsuppgifter skickas över nätverket till målenheten.
- Helpdesk-anställda i din organisation måste ansluta till domänförenade enheter som kan äventyras. Med hjälp av Remote Credential Guard kan helpdeskmedarbetaren använda RDP för att ansluta till målenheten utan att äventyra deras uppgifter till skadlig kod.
Hårdvara och programvara krav
För att möjliggöra en väl fungerande fjärrbevakningsvakt, se till att följande krav på fjärrskrivbordsklient och server är uppfyllda.
- Fjärrskrivbordsklienten och servern måste anslutas till en Active Directory-domän
- Båda enheterna måste antingen vara anslutna till samma domän eller fjärrskrivbordsservern måste anslutas till en domän med ett trustförhållande till klientenhetens domän.
- Kerberos-autentiseringen borde ha varit aktiverad.
- Klienten Fjärrskrivbord måste köra minst Windows 10, version 1607 eller Windows Server 2016.
- Fjärrskrivbordet Universal Windows Platform app stöder inte Remote Credential Guard så använd den klassiska Windows-appen för fjärrskrivbord.
Aktivera Remote Credential Guard via registret
För att aktivera Remote Credential Guard på målenheten, öppna Registry Editor och gå till följande nyckel:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa
Lägg till ett nytt DWORD-värde som heter DisableRestrictedAdmin. Ange värdet för denna registerinställning till 0 för att aktivera Remote Credential Guard.
Stäng registreringsredigeraren.
Du kan aktivera Remote Credential Guard genom att köra följande kommando från en förhöjd CMD:
reg lägg till HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD
Slå på Remote Credential Guard genom att använda Grupprincip
Det är möjligt att använda Remote Credential Guard på klientenheten genom att ange en grupppolicy eller genom att använda en parameter med fjärrskrivbordsanslutning.
Från Koncernpolicyhanteringskonsolen navigerar du till Datorkonfiguration> Administrativa mallar> System> Referensdelegation.
Dubbelklicka nu Begränsa delegering av behörighetsuppgifter till fjärrservrar för att öppna dess Egenskaper rutan.
Nu i Använd följande begränsat läge rutan, välj Kräv Remote Credential Guard. Det andra alternativet Begränsat Admin-läge är också närvarande. Dess betydelse är att när Remote Credential Guard inte kan användas, kommer det att använda Restriated Admin-läge.
Under inga omständigheter skickar inte Remote Credential Guard eller Restricted Admin-läget in credentials i klar text till fjärrskrivbordsservern.
Tillåt Remote Credential Guard, genom att välja "Förbli fjärrkontrollvakten"alternativet.
Klicka på OK och avsluta konsolhanteringsgruppskonsolen.
Nu, från en kommandotolk, springa gpupdate.exe / force för att säkerställa att grupppolicyobjektet tillämpas.
Använd Remote Credential Guard med en parameter för fjärrskrivbordsanslutning
Om du inte använder grupppolicy i din organisation kan du lägga till remoteGuard-parametern när du startar Remote Desktop Connection för att aktivera Remote Credential Guard för den anslutningen.
mstsc.exe / remoteGuard
Saker du bör tänka på när du använder Remote Credential Guard
- Remote Credential Guard kan inte användas för att ansluta till en enhet som är ansluten till Azure Active Directory.
- Remote Desktop Credential Guard fungerar bara med RDP-protokollet.
- Remote Credential Guard innehåller inte enhetskrav. Om du till exempel försöker komma åt en filserver från fjärrkontrollen och filservern kräver enhetskrav, kommer åtkomst nekas.
- Servern och klienten måste verifiera med Kerberos.
- Domänerna måste ha ett förtroendeförhållande, eller både klienten och servern måste vara anslutna till samma domän.
- Remote Desktop Gateway är inte kompatibel med Remote Credential Guard.
- Inga inloggningsuppgifter läckas till målenheten. Målanordningen förvärvar emellertid fortfarande Kerberos service biljetter på egen hand.
- Slutligen måste du använda credentials för användaren som är inloggad i enheten. Det är inte tillåtet att använda sparade uppgifter eller inloggningsuppgifter som är annorlunda än dina.