Pagina principala » ferestre » Remote Guard Credential protejează acreditările desktop la distanță în Windows 10

    Remote Guard Credential protejează acreditările desktop la distanță în Windows 10

    Toți utilizatorii de administratori de sistem au o preocupare foarte autentică - securizarea acreditărilor pe o conexiune la distanță. Acest lucru se datorează faptului că programele malware pot găsi calea către orice alt computer prin conexiunea desktop și pot reprezenta o potențială amenințare pentru datele dvs. Acesta este motivul pentru care sistemul de operare Windows intermitent un avertisment "Asigurați-vă că aveți încredere în acest PC, conectarea la un computer de încredere poate dăuna computerului dvs." atunci când încercați să vă conectați la un desktop de la distanță. În acest post, vom vedea cum Protecția credentialului de la distanță caracteristică, care a fost introdusă în Windows 10 v1607, poate ajuta la protejarea acreditărilor desktop la distanță Windows 10 Enterprise și Windows Server 2016.

    Protecția credentialului la distanță în Windows 10

    Caracteristica este concepută pentru a elimina amenințările înainte de a se dezvolta într-o situație gravă. Vă ajută să vă protejați acreditările printr-o conexiune de la distanță la distanță prin redirecționarea Kerberos solicită înapoi dispozitivului care solicită conexiunea. De asemenea, oferă experiențe single sign-on pentru sesiunile Desktop la distanță.

    În caz de nefericire în cazul în care dispozitivul vizat este compromis, acreditările utilizatorului nu sunt expuse, deoarece atît instrumentele de acreditare, cît și instrumentele de acreditare nu sunt niciodată trimise către dispozitivul destinație.

    Modus operandi de la distanță Credential Guard este foarte asemănător cu protecția oferită de Credential Guard pe o mașină locală, cu excepția faptului că Guardential Guard protejează, de asemenea, acreditările de domeniu stocate prin Credential Manager.

    O persoană poate utiliza Remote Guard Guard în următoarele moduri-

    1. Deoarece acreditările de administrator sunt foarte privilegiate, acestea trebuie să fie protejate. Prin utilizarea funcției Remote Credential Guard, puteți fi siguri că datele dvs. de acreditare sunt protejate deoarece nu permit permisiunilor să treacă prin rețea către dispozitivul vizat.
    2. Personalul de asistență din cadrul organizației dvs. trebuie să se conecteze la dispozitivele asociate domeniului care ar putea fi compromise. Cu ajutorul serviciului Remote Credential Guard, angajatul helpdesk poate folosi RDP pentru a se conecta la dispozitivul țintă fără a compromite acreditările pentru malware.

    Cerințe hardware și software

    Pentru a permite funcționarea fără probleme a serviciului Remote Credential Guard, asigurați-vă că sunt îndeplinite următoarele cerințe ale clientului și ale serverului Remote Desktop.

    1. Clientul Desktop la distanță și serverul trebuie să fie conectate la un domeniu Active Directory
    2. Ambele dispozitive trebuie fie conectate la același domeniu, fie serverul Remote Desktop trebuie să fie asociat unui domeniu cu relații de încredere cu domeniul dispozitivului client.
    3. Autentificarea Kerberos ar fi trebuit activată.
    4. Clientul Remote Desktop trebuie să ruleze cel puțin Windows 10, versiunea 1607 sau Windows Server 2016.
    5. Aplicația platformă Windows Desktop Universal Desktop nu suportă Remote Credential Guard, deci utilizați aplicația Windows Desktop clasică la distanță.

    Activați Îngrijirea de la distanță prin intermediul Registrului

    Pentru a activa funcția Remote Credential Guard pe dispozitivul destinație, deschideți Registry Editor și accesați următoarea cheie:

    HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa

    Adăugați o nouă valoare DWORD numită DisableRestrictedAdmin. Setați valoarea acestei setări de registry la 0 pentru a activa Remote Guard Guard.

    Închideți Editorul de registri.

    Puteți activa funcția Remote Credential Guard executând următoarea comandă dintr-un CMD elevat:

    reg adăugați HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa / vDisplayRestrictedAdmin / d 0 / t REG_DWORD

    Activați Protecția Credentialului la distanță utilizând Politica de grup

    Este posibil să utilizați funcția Remote Credential Guard pe dispozitivul client setând o politică de grup sau utilizând un parametru cu conexiunea la distanță la distanță.

    Din Consola de gestionare a politicii de grup, navigați la Configurare computer> Șabloane administrative> Sistem> Delegații acreditare.

    Acum, faceți dublu clic Limitați delegarea acreditărilor la serverele la distanță pentru a deschide caseta Proprietăți.

    Acum în Utilizați următorul mod restricționat caseta, alegeți Solicitați Garda de avertizare de la distanță. Cealaltă opțiune Mod de administrator restricționat este de asemenea prezent. Semnificația sa este că, atunci când Remote Credential Guard nu poate fi utilizat, va folosi modul Admin restricționat.

    În orice caz, nici modul Remote Credential Guard și nici modul Administrator restricționat nu vor trimite acreditări în text clar pe serverul Desktop la distanță.

    Permiteți Gărzii de avertizare la distanță, alegând "Preferați Guard Guard la distanță' opțiune.

    Faceți clic pe OK și închideți Consola de gestionare a politicii de grup.

    Acum, dintr-un prompt de comandă, rulați gpupdate.exe / force pentru a vă asigura că este aplicat obiectul Policy Group.

    Utilizați protecția la distanță cu un parametru pentru conexiunea la distanță la distanță

    Dacă nu utilizați politica de grup în organizația dvs., puteți adăuga parametrul remoteGuard atunci când porniți conexiunea Desktop la distanță pentru a activa funcția Remote Credential Guard pentru acea conexiune.

    mstsc.exe / remoteGuard

    Lucruri pe care trebuie să le țineți cont atunci când utilizați Garda de gardă la distanță

    1. Remote Credential Guard nu poate fi utilizat pentru a vă conecta la un dispozitiv care este asociat cu Azure Active Directory.
    2. Remote Guard Credential Guard funcționează numai cu protocolul RDP.
    3. Protecția credentialului la distanță nu include revendicările dispozitivului. De exemplu, dacă încercați să accesați un server de fișiere din telecomandă și serverul de fișiere necesită revendicarea dispozitivului, accesul va fi interzis.
    4. Serverul și clientul trebuie să se autentifice utilizând Kerberos.
    5. Domeniile trebuie să aibă o relație de încredere, sau atât clientul, cât și serverul trebuie să fie conectate la același domeniu.
    6. Remote Desktop Gateway nu este compatibil cu Guard Credential Guard.
    7. Nu sunt scurgente acreditări către dispozitivul destinație. Cu toate acestea, dispozitivul țintă încă achiziționează Biletele de servicii Kerberos pe cont propriu.
    8. În cele din urmă, trebuie să utilizați acreditările utilizatorului care este conectat la dispozitiv. Utilizarea acreditărilor sau a acreditărilor salvate care diferă de ale dvs. nu este permisă.
    Puteți citi mai multe despre acest lucru la Technet.