Daljinska vjerodostojna zaštita štiti vjerodajnice Remote Desktopa

Svi korisnici administratora sustava imaju vrlo ozbiljnu zabrinutost - osiguranje vjerodajnica preko veze s udaljenom radnom površinom. To je zato što zlonamjerni softver može pronaći put do bilo kojeg drugog računala preko veze s računalom i predstavljati potencijalnu prijetnju vašim podacima. Zato Windows OS trepće upozorenje "Pazite da imate povjerenja u ovo računalo, povezivanje s nepouzdanim računalom može naštetiti vašem računalu" kada se pokušate povezati s udaljenom radnom površinom. U ovom ćete postu vidjeti kako se značajka Remote Credential Guard koja je uvedena u Windows 10 v1607 može zaštititi vjerodajnice udaljenog računala u Windows 10 Enterprise i Windows Server 2016 .

Remote Credential Guard u sustavu Windows 10

Značajka je dizajnirana da ukloni prijetnje prije nego što se razvije u ozbiljnu situaciju. Poma e vam zaštititi svoje vjerodajnice preko veze Udaljene radne površine preusmjeravanjem Kerberos zahtjeva natrag na uređaj koji zahtijeva vezu. Ujedno pruža iskustva s pojedinačnim prijavljivanjem za sesije udaljene radne površine.

U slučaju nesreće u kojoj je ciljni uređaj ugrožen, vjerodajnice korisnika nisu izložene jer se i vjerodajnički i vjerodajnički izvedeni podaci nikada ne šalju na ciljni uređaj.

Modus operandi Remote Credential Guard je vrlo sličan zaštiti koju nudi Credential Guard na lokalnom računalu, osim što je Credential Guard također štiti pohranjene vjerodajnice domene putem Credential Manager-a.

Pojedinac može koristiti Remote Credential Guard sljedeće načine-

1. Budući da su administratorske vjerodajnice izuzetno privilegirane, one moraju biti zaštićene. Pomoću daljinskog vjerodajnica za zaštitu vjerodajnica možete biti sigurni da su vaše vjerodajnice zaštićene jer ne dopušta da vjerodajnice prenesu mrežu na ciljni uređaj.
2. Zaposlenici Helpdesk-a u vašoj organizaciji moraju se povezati s uređajima povezanim s domeni koji bi mogli biti ugroženi, Pomoću daljinskog vjerodostojnog čuvara, zaposlenik Helpdesk može koristiti RDP za povezivanje s ciljanim uređajem bez ugrožavanja vjerodajnica na zlonamjerni softver.

Zahtjevi hardvera i softvera

Da biste omogućili glatko funkcioniranje Remote Credential Guard, Desktop klijent i poslužitelj zadovoljeni su.

1. Klijent i poslužitelj udaljene radne površine moraju biti pridruženi domeni Active Directory
2. Oba uređaja moraju se pridružiti istoj domeni ili se poslužitelj udaljene radne površine mora pridružiti domeni s
3. Potvrda Kerberos mora biti omogućena.
4. Klijent Remote Desktop mora imati najmanje Windows 10, verziju 1607 ili Windows Server 2016.
5. Universal Desktop Platform za Remote Desktop aplikacija ne podržava Remote Credential Guard, tako da upotrebljavate klasičnu aplikaciju Windows udaljene radne površine.

Omogući udaljenu vjerodostojnu zaštitu preko registra

Da biste omogućili Remote Credential Guard na ciljnom uređaju, otvorite Re i prelazi na sljedeći ključ:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Dodajte novu DWORD vrijednost pod nazivom DisableRestrictedAdmin . Zatvorite Urednik registra. Možete omogućiti Remote Credential Guard pokretanjem sljedeće naredbe s povišenog CMD-a:

Uključite Daljinsku vjerodostojnu karticu pomoću pravila grupe

Daljinsko vjerodostojna zaštita na računalu klijenta moguće je upotrebljavati na sljedećoj adresi:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD < postavljanje pravila grupe ili pomoću parametra s vezom s udaljenom radnom površinom.

Na konzoli za upravljanje grupnim politikama, idite na Konfiguracija računala> Administrativni predlošci> Sustav> Delegacija vjerodajnica

Sada dvaput kliknite

Ograničite delegiranje vjerodajnica na udaljenim poslužiteljima da biste otvorili okvir Svojstva. U okviru

Koristite sljedeći način ograničenog načina rada odaberite Zahtijevajte daljinsku vjerodostojnu zaštitu. Druga opcija Ograničena admin način je također prisutna. Njegovo je značenje da kada Remote Credential Guard ne može biti korišten, koristi se Restricted Admin način rada. U svakom slučaju, ni Daljinsko vjerodostojanstvena zaštita ni način ograničenog administratora neće poslati vjerodajnice u jasan tekst poslužitelju udaljene radne površine.

Dopusti

Kliknite OK (U redu) i izađite iz Console za upravljanje skupinama (Group Policy Management Console). Sada, iz naredbenog retka, pokrenite gpupdate.exe / force

kako bi se osiguralo da se primjenjuje objekt pravila grupe

Koristite udaljeni vjerodoborna zaštita s parametrom za povezivanje s udaljenom radnom površinom Ako ne koristite grupna pravila u svojoj organizaciji, možete dodati parametar remoteGuard kada pokrenete vezu udaljene radne površine za uključivanje Remote Credential Guard za tu vezu. mstsc.exe / remoteGuard

Stvari koje trebate imati na umu prilikom korištenja Remote Credential Guard

Daljinski vjerodostojni čuvar ne može se koristiti za povezivanje uređaj koji je pridružen Azure Active Directory.

Remo Desktop Credential Guard funkcionira samo s RDP protokolom.

Remote Credential Guard ne uključuje zahtjeve za uređaj. Na primjer, ako pokušavate pristupiti datotečnom poslužitelju s daljinskog upravljača, a poslužitelj datoteka zahtijeva zahtjev za uređaj, pristup će biti odbijen.

1. Poslužitelj i klijent moraju autentificirati pomoću Kerberosa.
2. Domene moraju imati povjerenje odnos ili klijent i poslužitelj moraju biti povezani s istom domenom.
3. Remote Desktop Gateway nije kompatibilan s Remote Credential Guard.
4. Nijedan vjerodajnica nije procurila na ciljni uređaj. Međutim, ciljni uređaj samostalno stječe Kerberos servisnu kartu.
5. Na kraju, morate upotrijebiti vjerodajnice korisnika koji je prijavljen na uređaj. Korištenje spremljenih vjerodajnica ili vjerodajnica koje se razlikuju od vaše nije dopušteno.
6. Više o ovome možete pročitati na stranici Technet.