Fjernbetjeningsbeskyttelse beskytter fjernbordsoplysninger

Alle systemadministratorer har en meget ægte bekymring - sikring af legitimationsoplysninger via en ekstern desktop-forbindelse. Dette skyldes, at malware kan finde vej til enhver anden computer via skrivebordets forbindelse og udgør en potentiel trussel mod dine data. Derfor blinker Windows OS en advarsel "Sørg for, at du stoler på denne pc, hvis du opretter forbindelse til et fjernt skrivebord, kan du oprette forbindelse til en ikke-betroet computer skade din pc". I dette indlæg vil vi se, hvordan funktionen Remote Credential Guard , som er introduceret i Windows 10 v1607, kan hjælpe med at beskytte fjernbordsoplysninger i Windows 10 Enterprise og Windows Server 2016 .

Remote Credential Guard i Windows 10

Funktionen er designet til at eliminere trusler, før den udvikler sig til en alvorlig situation. Det hjælper dig med at beskytte dine legitimationsoplysninger via en eksternt skrivebordstilslutning ved at omdirigere Kerberos anmodninger tilbage til den enhed, der anmoder om forbindelsen. Det giver også single sign-on-oplevelser til Remote Desktop-sessioner.

I tilfælde af ulykke, hvor målenheden er kompromitteret, bliver brugeroplysningerne ikke eksponeret, fordi begge credentials og credential derivater aldrig sendes til målenheden.

Den modus operandi for Remote Credential Guard svarer meget til den beskyttelse, der tilbydes af Credential Guard på en lokal maskine, medmindre credential guard også beskytter gemte domænenavneoplysninger via Credential Manager.

En person kan bruge Remote Credential Guard i Følgende måder -

1. Da administratoroplysninger er meget privilegerede, skal de beskyttes. Ved at bruge Remote Credential Guard kan du være sikker på, at dine legitimationsoplysninger er beskyttet, da det ikke tillader, at legitimationsoplysninger overføres via netværket til målenheden.
2. Helpdesk-medarbejdere i din organisation skal oprette forbindelse til domæneforbundne enheder, der kan blive kompromitteret. Med Remote Credential Guard kan helpdesk-medarbejderen bruge RDP til at oprette forbindelse til målenheden uden at gå på kompromis med deres legitimationsoplysninger til malware.

Krav til hardware og software

For at muliggøre en nemmere funktion af Remote Credential Guard skal du sikre følgende krav til Remote Desktop-klienten og serveren er opfyldt.

1. Fjernskrivebordsklienten og serveren skal være sluttet til et Active Directory-domæne.
2. Begge enheder skal enten være tilsluttet det samme domæne, eller fjernserveren skal være sluttet til et domæne med en tillid forhold til klientenhedens domæne.
3. Kerberos-godkendelsen skulle have været aktiveret.
4. Fjernbetjeningsklienten skal køre mindst Windows 10, version 1607 eller Windows Server 2016.
5. Universal Desktop-platformen for Windows app understøtter ikke Remote Credential Guard, så brug den klassiske Windows app til fjernskrivebordet.

Aktiver fjernbetjeningsbevis via registreringsdatabasen

For at aktivere Remote Credential Guard på målenheden, skal du åbne Re enter editor og gå til følgende nøgle:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Tilføj en ny DWORD-værdi med navnet DisableRestrictedAdmin . Indstil værdien af ​​denne registreringsindstilling til 0 for at aktivere Remote Credential Guard.

Luk registreringseditoren.

Du kan aktivere Remote Credential Guard ved at køre følgende kommando fra en forhøjet CMD:

reg tilføje HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Tænd for fjernbetjeningsgaranti ved at bruge Gruppepolitik

Det er muligt at bruge Remote Credential Guard på klientenheden ved at indstilling af en gruppepolitik eller ved brug af en parameter med eksternt skrivebordstilslutning.

Gå til Koncernpolitikstyringskonsol, gå til Computer Configuration> Administrative Skabeloner> System> Referencer for delegation Dobbeltklik på

Begræns delegering af legitimationsoplysninger til eksterne servere for at åbne dens egenskabs boks. Vælg nu

i feltet Brug følgende begrænsede tilstand > Kræv Remote Credential Guard. Den anden mulighed Begrænset Admin-tilstand er også til stede. Dens betydning er, at når Remote Credential Guard ikke kan bruges, vil den bruge Begrænset Admin-tilstand. Under ingen omstændigheder vil hverken Remote Credential Guard eller Restricted Admin-tilstand sende credentials i klar tekst til Remote Desktop-serveren.

Tillad Remote Credential Guard, ved at vælge `

Foretrukket fjernbetjeningsgaranti `. Klik på OK og afslut konsolforvaltningskonsollen.

Kør nu fra en kommandoprompt

gpupdate.exe / Force for at sikre, at gruppepolitisk objekt anvendes. Brug fjernbetjeningsgaranti med en parameter til eksternt skrivebordstilslutning

Hvis du ikke bruger gruppepolitik i din organisation, kan du tilføje parameteren remoteGuard Når du starter Remote Desktop Connection for at aktivere Remote Credential Guard for den forbindelse.

mstsc.exe / remoteGuard

Ting du skal huske på, når du bruger Remote Credential Guard

Remote Credential Guard kan ikke bruges til at oprette forbindelse til en enhed, der er tilsluttet Azure Active Directory.

1. Remo Te Desktop Credential Guard fungerer kun med RDP-protokollen.
2. Remote Credential Guard omfatter ikke enhedskrav. Hvis du for eksempel forsøger at få adgang til en filserver fra fjernbetjeningen, og filserveren kræver enhedskrav, bliver adgang nægtet.
3. Serveren og klienten skal godkende ved hjælp af Kerberos.
4. Domænerne skal have tillid forhold, eller både klienten og serveren skal være tilsluttet det samme domæne.
5. Remote Desktop Gateway er ikke kompatibel med Remote Credential Guard.
6. Ingen legitimationsoplysninger lækkes til målenheden. Imidlertid erhverver målenheden stadig Kerberos servicekuponer alene.
7. Endelig skal du bruge legitimationsoplysningerne til den bruger, der er logget ind på enheden. Brug af gemte legitimationsoplysninger eller legitimationsoplysninger, der adskiller sig fra din, er ikke tilladt.
8. Du kan læse mere om dette på Technet.