Remote Credential Guard chroni poświadczenia Remote Desktop
Wszyscy administratorzy systemu mają jeden bardzo poważny problem — zabezpieczenie poświadczeń przez połączenie pulpitu(Desktop) zdalnego . Dzieje się tak, ponieważ złośliwe oprogramowanie może znaleźć drogę do dowolnego innego komputera przez połączenie z komputerem stacjonarnym i stanowić potencjalne zagrożenie dla Twoich danych. Dlatego system operacyjny Windows(Windows OS) wyświetla ostrzeżenie „ Upewnij się, że ufasz temu komputerowi, łączenie się z niezaufanym komputerem może uszkodzić Twój komputer(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ” podczas próby połączenia z pulpitem zdalnym.
W tym poście zobaczymy, jak funkcja Remote Credential Guard , która została wprowadzona w systemie Windows 10(Windows 10) , może pomóc w ochronie poświadczeń pulpitu zdalnego w systemach Windows 10 Enterprise(Windows 10 Enterprise) i Windows Server .
Zdalna ochrona poświadczeń(Remote Credential Guard) w systemie Windows 10(Windows 10)
Ta funkcja ma na celu eliminowanie zagrożeń, zanim rozwinie się w poważną sytuację. Pomaga chronić poświadczenia za pośrednictwem połączenia pulpitu(Desktop) zdalnego , przekierowując żądania Kerberos z powrotem do urządzenia żądającego połączenia. Zapewnia również jednokrotne logowanie w sesjach pulpitu zdalnego .(Remote Desktop)
W przypadku jakiegokolwiek nieszczęścia, w którym urządzenie docelowe zostanie naruszone, poświadczenia użytkownika nie są ujawniane, ponieważ zarówno poświadczenia, jak i pochodne poświadczeń nigdy nie są wysyłane do urządzenia docelowego.
Sposób działania Remote Credential Guard jest bardzo podobny do ochrony oferowanej przez Credential Guard na komputerze lokalnym, z wyjątkiem tego, że Credential Guard chroni również przechowywane poświadczenia domeny za pośrednictwem Credential Manager .
Osoba fizyczna może korzystać ze zdalnej ochrony poświadczeń(Remote Credential Guard) na następujące sposoby:
- Ponieważ poświadczenia administratora(Administrator) są wysoce uprzywilejowane, muszą być chronione. Używając Remote Credential Guard , możesz mieć pewność, że Twoje poświadczenia są chronione, ponieważ nie pozwalają na przekazywanie poświadczeń przez sieć do urządzenia docelowego.
- Pracownicy działu(Helpdesk) pomocy technicznej w Twojej organizacji muszą łączyć się z urządzeniami przyłączonymi do domeny, które mogą zostać naruszone. Dzięki Remote Credential Guard pracownik działu pomocy technicznej może używać protokołu RDP(RDP) do łączenia się z urządzeniem docelowym bez narażania swoich danych uwierzytelniających na złośliwe oprogramowanie.
Wymagania sprzętowe i programowe
Aby umożliwić płynne działanie funkcji Remote Credential Guard , upewnij się, że spełnione są następujące wymagania klienta i serwera pulpitu zdalnego .(Remote Desktop)
- Klient pulpitu zdalnego(Remote Desktop Client) i serwer muszą być przyłączone do domeny Active Directory
- Oba urządzenia muszą albo być przyłączone do tej samej domeny, albo serwer pulpitu(Remote Desktop) zdalnego musi być przyłączony do domeny z relacją zaufania z domeną urządzenia klienckiego.
- Uwierzytelnianie Kerberos powinno być włączone.
- Klient pulpitu zdalnego(Remote Desktop) musi działać co najmniej w systemie Windows 10(Windows 10) w wersji 1607 lub Windows Server 2016 .
- Aplikacja Remote Desktop Universal Windows Platform nie obsługuje Remote Credential Guard , więc użyj klasycznej aplikacji Remote Desktop dla (Remote Desktop)systemu Windows(Windows) .
Włącz zdalną ochronę poświadczeń(Remote Credential Guard) za pośrednictwem rejestru(Registry)
Aby włączyć Remote Credential Guard na urządzeniu docelowym, otwórz Edytor rejestru(Registry Editor) i przejdź do następującego klucza:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Dodaj nową wartość DWORD o nazwie DisableRestrictedAdmin . Ustaw wartość tego ustawienia rejestru na 0 , aby włączyć funkcję Remote Credential Guard .
Zamknij Edytor rejestru.
Funkcję Remote Credential Guard(Remote Credential Guard) można włączyć , uruchamiając następujące polecenie z podwyższonego CMD:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Włącz funkcję Remote Credential Guard(Remote Credential Guard) za pomocą zasad grupy(Group Policy)
Na urządzeniu klienckim można używać funkcji Remote Credential Guard , ustawiając (Remote Credential Guard)zasady grupy(Group Policy) lub używając parametru w przypadku usługi Podłączanie pulpitu zdalnego(Remote Desktop Connection) .
W konsoli zarządzania zasadami grupy(Group Policy Management Console) przejdź do opcji Computer Configuration > Administrative Templates > System > Credentials Delegation.
Teraz kliknij dwukrotnie Ogranicz delegowanie poświadczeń do serwerów zdalnych,(Restrict delegation of credentials to remote servers) aby otworzyć okno Właściwości.
Teraz w polu Użyj następującego trybu ograniczonego(Use the following restricted mode) wybierz opcję Wymagaj zdalnej ochrony poświadczeń. ( Require Remote Credential Guard. )Obecna jest również inna opcja Tryb ograniczonego administratora . (Restricted Admin mode)Jego znaczenie polega na tym, że gdy nie można użyć Remote Credential Guard , użyje trybu Zastrzeżonego administratora .(Restricted Admin)
W każdym razie ani Remote Credential Guard , ani tryb administratora z ograniczeniami(Restricted Admin) nie będą wysyłać poświadczeń w postaci zwykłego tekstu do serwera usług pulpitu(Remote Desktop) zdalnego.
Zezwól na Remote Credential Guard(Allow Remote Credential Guard) , wybierając opcję „ Preferuj Remote Credential Guard ”.(Prefer Remote Credential Guard)
Kliknij OK(Click OK) i zamknij konsolę zarządzania zasadami grupy(Group Policy Management Console) .
Teraz z wiersza polecenia uruchom gpupdate.exe /force aby upewnić się, że obiekt zasad grupy(Group Policy) jest stosowany.
Użyj funkcji Remote Credential Guard(Use Remote Credential Guard) z parametrem połączenia z pulpitem zdalnym(Remote Desktop)
Jeśli nie używasz zasad grupy(Group Policy) w swojej organizacji, możesz dodać parametr remoteGuard podczas uruchamiania Podłączania pulpitu(Desktop Connection) zdalnego, aby włączyć Remote Credential Guard dla tego połączenia.
mstsc.exe /remoteGuard
O czym należy pamiętać podczas korzystania ze zdalnej ochrony poświadczeń(Remote Credential Guard)
- Remote Credential Guard nie może być używany do łączenia się z urządzeniem, które jest przyłączone do Azure Active Directory .
- Remote Desktop Credential Guard działa tylko z protokołem RDP .
- Remote Credential Guard nie obejmuje oświadczeń dotyczących urządzeń. Na przykład, jeśli próbujesz uzyskać dostęp do serwera plików ze zdalnego, a serwer plików wymaga żądania urządzenia, dostęp zostanie odmówiony.
- Serwer i klient muszą uwierzytelnić się przy użyciu protokołu Kerberos(Kerberos) .
- Domeny muszą mieć relację zaufania lub zarówno klient, jak i serwer muszą być przyłączone do tej samej domeny.
- Brama usług pulpitu zdalnego(Remote Desktop Gateway) nie jest zgodna z funkcją Remote Credential Guard(Remote Credential Guard) .
- Żadne poświadczenia nie zostały ujawnione na urządzeniu docelowym. Jednak urządzenie docelowe nadal samodzielnie uzyskuje bilety (Tickets)usługi Kerberos(Kerberos Service) .
- Na koniec musisz użyć poświadczeń użytkownika, który jest zalogowany na urządzeniu. Używanie zapisanych poświadczeń lub poświadczeń innych niż Twoje jest niedozwolone.
Możesz przeczytać więcej na ten temat w Technet .
Powiązane(Related) : Jak zwiększyć liczbę połączeń pulpitu zdalnego(increase the number of Remote Desktop Connections) w systemie Windows 10.
Related posts
Zwiększ liczbę połączeń pulpitu zdalnego w systemie Windows 11/10
Klawisz Windows zablokowany po przełączeniu z sesji pulpitu zdalnego
Nie można skopiować i wkleić w sesji pulpitu zdalnego w systemie Windows 10
Wystąpił błąd uwierzytelniania, Żądana funkcja nie jest obsługiwana
Utwórz skrót Podłączanie pulpitu zdalnego w systemie Windows 11/10
Jak włączyć Pulpit zdalny w systemie Windows 10 (lub Windows 7)
Włącz Pulpit zdalny w systemie Windows 10 w ciągu 2 minut
Najlepsze bezpłatne oprogramowanie pulpitu zdalnego dla systemu Windows 10
Proste pytania: co to są połączenia pulpitu zdalnego?
Ulterius: bezpłatne oprogramowanie Remote Desktop do zdalnego zarządzania komputerami
Najlepsze darmowe oprogramowanie pulpitu zdalnego dla systemu Windows 10
Napraw kod błędu pulpitu zdalnego 0x204 w systemie Windows 11/10
Uzyskaj zdalny dostęp do komputera za pomocą Pulpitu zdalnego Chrome
Aplikacja Microsoft Remote Desktop dla Windows 11/10
Jak wysłać Ctrl+Alt+Delete w sesji zdalnego pulpitu?
Wystąpił błąd wewnętrzny Błąd połączenia pulpitu zdalnego
Połącz się z komputerem z systemem Windows z Ubuntu za pomocą połączenia pulpitu zdalnego
Brak serwerów licencji usług pulpitu zdalnego; Sesja zdalna rozłączona
Aplikacja pulpitu zdalnego czy TeamViewer Touch — która aplikacja jest lepsza?
Pulpit zdalny nie działa lub nie łączy się w systemie Windows 11/10