Remote Credential Guard chroni poświadczenia Remote Desktop

Wszyscy administratorzy systemu mają jeden bardzo poważny problem — zabezpieczenie poświadczeń przez połączenie pulpitu(Desktop) zdalnego . Dzieje się tak, ponieważ złośliwe oprogramowanie może znaleźć drogę do dowolnego innego komputera przez połączenie z komputerem stacjonarnym i stanowić potencjalne zagrożenie dla Twoich danych. Dlatego system operacyjny Windows(Windows OS) wyświetla ostrzeżenie „ Upewnij się, że ufasz temu komputerowi, łączenie się z niezaufanym komputerem może uszkodzić Twój komputer(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ” podczas próby połączenia z pulpitem zdalnym.

W tym poście zobaczymy, jak funkcja Remote Credential Guard , która została wprowadzona w  systemie Windows 10(Windows 10) , może pomóc w ochronie poświadczeń pulpitu zdalnego w systemach Windows 10 Enterprise(Windows 10 Enterprise) i Windows Server .

Zdalna ochrona poświadczeń(Remote Credential Guard) w systemie Windows 10(Windows 10)

Ta funkcja ma na celu eliminowanie zagrożeń, zanim rozwinie się w poważną sytuację. Pomaga chronić poświadczenia za pośrednictwem połączenia pulpitu(Desktop) zdalnego , przekierowując żądania Kerberos z powrotem do urządzenia żądającego połączenia. Zapewnia również jednokrotne logowanie w sesjach pulpitu zdalnego .(Remote Desktop)

W przypadku jakiegokolwiek nieszczęścia, w którym urządzenie docelowe zostanie naruszone, poświadczenia użytkownika nie są ujawniane, ponieważ zarówno poświadczenia, jak i pochodne poświadczeń nigdy nie są wysyłane do urządzenia docelowego.

Zdalna ochrona poświadczeń

Sposób działania Remote Credential Guard jest bardzo podobny do ochrony oferowanej przez Credential Guard na komputerze lokalnym, z wyjątkiem tego, że Credential Guard chroni również przechowywane poświadczenia domeny za pośrednictwem Credential Manager .

Osoba fizyczna może korzystać ze zdalnej ochrony poświadczeń(Remote Credential Guard) na następujące sposoby:

  1. Ponieważ poświadczenia administratora(Administrator) są wysoce uprzywilejowane, muszą być chronione. Używając Remote Credential Guard , możesz mieć pewność, że Twoje poświadczenia są chronione, ponieważ nie pozwalają na przekazywanie poświadczeń przez sieć do urządzenia docelowego.
  2. Pracownicy działu(Helpdesk) pomocy technicznej w Twojej organizacji muszą łączyć się z urządzeniami przyłączonymi do domeny, które mogą zostać naruszone. Dzięki Remote Credential Guard pracownik działu pomocy technicznej może używać protokołu RDP(RDP) do łączenia się z urządzeniem docelowym bez narażania swoich danych uwierzytelniających na złośliwe oprogramowanie.

Wymagania sprzętowe i programowe

Aby umożliwić płynne działanie funkcji Remote Credential Guard , upewnij się, że spełnione są następujące wymagania klienta i serwera pulpitu zdalnego .(Remote Desktop)

  1. Klient pulpitu zdalnego(Remote Desktop Client) i serwer muszą być przyłączone do domeny Active Directory
  2. Oba urządzenia muszą albo być przyłączone do tej samej domeny, albo serwer pulpitu(Remote Desktop) zdalnego musi być przyłączony do domeny z relacją zaufania z domeną urządzenia klienckiego.
  3. Uwierzytelnianie Kerberos powinno być włączone.
  4. Klient pulpitu zdalnego(Remote Desktop) musi działać co najmniej w systemie Windows 10(Windows 10) w wersji 1607 lub Windows Server 2016 .
  5. Aplikacja Remote Desktop Universal Windows Platform nie obsługuje Remote Credential Guard , więc użyj klasycznej aplikacji Remote Desktop dla (Remote Desktop)systemu Windows(Windows) .

Włącz zdalną ochronę poświadczeń(Remote Credential Guard) za pośrednictwem rejestru(Registry)

Aby włączyć Remote Credential Guard na urządzeniu docelowym, otwórz Edytor rejestru(Registry Editor) i przejdź do następującego klucza:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Dodaj nową wartość DWORD o nazwie DisableRestrictedAdmin . Ustaw wartość tego ustawienia rejestru na 0 , aby włączyć funkcję Remote Credential Guard .

Zamknij Edytor rejestru.

Funkcję Remote Credential Guard(Remote Credential Guard) można włączyć , uruchamiając następujące polecenie z podwyższonego CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Włącz funkcję Remote Credential Guard(Remote Credential Guard) za pomocą zasad grupy(Group Policy)

Na urządzeniu klienckim można używać funkcji Remote Credential Guard , ustawiając (Remote Credential Guard)zasady grupy(Group Policy) lub używając parametru w przypadku usługi Podłączanie pulpitu zdalnego(Remote Desktop Connection) .

W konsoli zarządzania zasadami grupy(Group Policy Management Console) przejdź do opcji Computer Configuration > Administrative Templates > System > Credentials Delegation.

Teraz kliknij dwukrotnie Ogranicz delegowanie poświadczeń do serwerów zdalnych,(Restrict delegation of credentials to remote servers) aby otworzyć okno Właściwości.

Teraz w polu Użyj następującego trybu ograniczonego(Use the following restricted mode) wybierz opcję Wymagaj zdalnej ochrony poświadczeń. ( Require Remote Credential Guard. )Obecna jest również inna opcja Tryb ograniczonego administratora . (Restricted Admin mode)Jego znaczenie polega na tym, że gdy nie można użyć Remote Credential Guard , użyje trybu Zastrzeżonego administratora .(Restricted Admin)

W każdym razie ani Remote Credential Guard , ani tryb administratora z ograniczeniami(Restricted Admin) nie będą wysyłać poświadczeń w postaci zwykłego tekstu do serwera usług pulpitu(Remote Desktop) zdalnego.

Zezwól na Remote Credential Guard(Allow Remote Credential Guard) , wybierając opcję „ Preferuj Remote Credential Guard ”.(Prefer Remote Credential Guard)

Kliknij OK(Click OK) i zamknij konsolę zarządzania zasadami grupy(Group Policy Management Console) .

polityka grupy oslony-zdalnej

Teraz z wiersza polecenia uruchom gpupdate.exe /force aby upewnić się, że obiekt zasad grupy(Group Policy) jest stosowany.

Użyj funkcji Remote Credential Guard(Use Remote Credential Guard) z parametrem połączenia z pulpitem zdalnym(Remote Desktop)

Jeśli nie używasz zasad grupy(Group Policy) w swojej organizacji, możesz dodać parametr remoteGuard podczas uruchamiania Podłączania pulpitu(Desktop Connection) zdalnego, aby włączyć Remote Credential Guard dla tego połączenia.

mstsc.exe /remoteGuard

O czym należy pamiętać podczas korzystania ze zdalnej ochrony poświadczeń(Remote Credential Guard)

  1. Remote Credential Guard nie może być używany do łączenia się z urządzeniem, które jest przyłączone do Azure Active Directory .
  2. Remote Desktop Credential Guard działa tylko z protokołem RDP .
  3. Remote Credential Guard nie obejmuje oświadczeń dotyczących urządzeń. Na przykład, jeśli próbujesz uzyskać dostęp do serwera plików ze zdalnego, a serwer plików wymaga żądania urządzenia, dostęp zostanie odmówiony.
  4. Serwer i klient muszą uwierzytelnić się przy użyciu protokołu Kerberos(Kerberos) .
  5. Domeny muszą mieć relację zaufania lub zarówno klient, jak i serwer muszą być przyłączone do tej samej domeny.
  6. Brama usług pulpitu zdalnego(Remote Desktop Gateway) nie jest zgodna z funkcją Remote Credential Guard(Remote Credential Guard) .
  7. Żadne poświadczenia nie zostały ujawnione na urządzeniu docelowym. Jednak urządzenie docelowe nadal samodzielnie uzyskuje bilety (Tickets)usługi Kerberos(Kerberos Service) .
  8. Na koniec musisz użyć poświadczeń użytkownika, który jest zalogowany na urządzeniu. Używanie zapisanych poświadczeń lub poświadczeń innych niż Twoje jest niedozwolone.

Możesz przeczytać więcej na ten temat w Technet .

Powiązane(Related) : Jak zwiększyć liczbę połączeń pulpitu zdalnego(increase the number of Remote Desktop Connections) w systemie Windows 10.



Bruno Błaszczyk

About the author

Jestem profesjonalnym technikiem komputerowym i posiadam ponad 10-letnie doświadczenie w branży. Specjalizuję się w tworzeniu Windows 7 i Windows Apps, a także w projektowaniu Fajnych Stron Internetowych. Mam ogromną wiedzę i doświadczenie w tej dziedzinie i byłbym cennym zasobem dla każdej organizacji, która chce rozwijać swoją działalność.


Related posts