Remote Credential Guard suojaa etätyöpöytätiedostoja

Kaikilla järjestelmänvalvojien käyttäjillä on yksi erittäin tärkeä huolenaihe - valtuutusten varmistaminen etätietokoneen yhteydellä. Tämä johtuu siitä, että haittaohjelmat voivat löytää tietonsa mille tahansa muulle tietokoneelle työpöydän yhteydellä ja aiheuttaa mahdollisen uhkan tietojasi. Siksi Windows-käyttöjärjestelmä välähtää varoituksen "Varmista, että luotat tähän tietokoneeseen, jos yhteys epäluotettavaan tietokoneeseen saattaa vahingoittaa tietokonetta", kun yrität muodostaa yhteyden etäpöydälle. Tässä viestissä näemme, kuinka Windows 10 v1607 -käyttöjärjestelmässä Remote Credential Guard -ominaisuus voi auttaa suojaamaan etätietokoneen käyttöoikeuksia Windows 10 Enterprise ja Windows Server 2016 .

Etäkäyttöoikeudenhallinta Windows 10: ssä

Ominaisuus on suunniteltu poistamaan uhkat ennen kuin se muuttuu vakavaksi tilanteeksi. Sen avulla voit suojata tunnistetietojasi etätyöpöytäyhteyden kautta ohjaamalla Kerberos -pyynnöt takaisin laitteelle, joka pyytää yhteyttä. Se tarjoaa myös yhden kirjautumisen kokemuksia etätietokoneen istuntoihin.

Jos onneton tapaturma, jossa kohdelaite on vaarantunut, käyttäjän tunnistetietoja ei altisteta, koska sekä tunnistetietoja että tunnistetietojohdannaisia ​​ei koskaan lähetetä kohdelaitteeseen.

Remote Credential Guardin toimintatila on hyvin samankaltainen kuin Credential Guardin tarjoama suoja paikallisessa koneessa lukuunottamatta Credential Guardin suojaamaa myös tallennettuja verkkotunnisteita Credential Managerin kautta.

Yksilö voi käyttää Remote Credence Guardia seuraavista tavoista:

1. Koska järjestelmänvalvojan tunnistetiedot ovat erittäin etuoikeutettuja, ne on suojattava. Käyttämällä Remote Credential Guardia voit olla varma, että tunnistetietosi ovat suojattuja, koska se ei salli valtuutusten siirtymistä verkkoon kohdelaitteelle.
2. organisaatiosi Helpdesk-työntekijöillä on oltava yhteys verkkotunnukseen liitettyihin laitteisiin, jotka saattavat vaarantua.

Laitteisto- ja ohjelmistovaatimukset

Etäkäyttöoikeudenhallinnan moitteettoman toiminnan varmistamiseksi on varmistettava, että Remote Desken Guard Guard -palvelun työntekijät voivat käyttää RDP-yhteyttä yhteyden muodostamiseen kohdelaitteeseen vaarantamatta seuraavia kauko-ohjaimen vaatimuksia

1. Remote Desktop Client ja palvelin on yhdistettävä Active Directory -verkkotunnukseen
2. Molemmat laitteet on joko liittyä samaan verkkotunnukseen tai etätietokoneen palvelin on liitettävä verkkotunnukseen, jossa on luottamussuhde asiakkaan laitteen verkkotunnukseen.
3. Kerberos-todennuksen olisi pitänyt olla käytössä.
4. Remote Desktop -asiakkaan on oltava vähintään Windows 10, versio 1607 tai Windows Server 2016.
5. Remote Desktop Universal Windows Platform App ei tue Remote Credential Guard -ohjelmaa, joten käytä etätyöpöytä-klassista Windows-sovellusta.

Enable Remote Credential Guardin rekisteristä

Ota Remote Credential Guard käyttöön kohdelaitteessa gistry Editor ja siirry seuraavaan avaimeen:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Lisää uusi DWORD-arvo nimeltä DisableRestrictedAdmin . Sulje rekisterieditori. Voit ottaa Remote Credential Guard -ohjelman käyttöön suorittamalla seuraavan komennon korotetusta CMD: stä:

reg lisää HKLM SYSTEM CurrentControlSet Ohjaus Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Kytke etätunnistetietojärjestelmä käyttämään ryhmäkäytäntöä

määritä ryhmäkäytäntö tai parametri, jossa on etätyöpöytäyhteys.

Siirry ryhmäkäytäntöhallinnan konsolista kohtaan Tietokoneen kokoonpano> Hallintomallit> Järjestelmä> Velvollisuudet valtuuskunta

. Nyt kaksoisnapsauttamalla

Valtakirjojen valtuutuksen rajoittaminen etäpalvelimiin avaa Ominaisuudet-ruutu. Valitse nyt

Käytä seuraavaa rajoitettua tilaa -ruutuun Vaadi Etäkäyttäjän vartija. Toinen vaihtoehto Rajoitettu hallintatila on myös läsnä. Sen merkitys on se, että Remote Credence Guardia ei voida käyttää rajoitetun hallinnon tilaan. Joka tapauksessa Remote Credential Guard tai Restricted Admin -tila eivät lähetä tunnistetietoja selkeään tekstiin Remote Desktop -palvelimelle.

Salli

Napsauta OK ja poistu ryhmäkäytännön hallintakonsolista. Nyt komentotulkin jälkeen suorita gpupdate.exe / force

Käytä Remote Credential Guardia parametrilla etätyöpöytäyhteyteen Jos et käytä ryhmäkäytäntöä organisaatiossasi, voit lisätä remoteGuard-parametrin kun käynnistät etätyöpöytäyhteyden, joka käynnistää Remote Credential Guardin kyseisen yhteyden. mstsc.exe / remoteGuard

Asiat, jotka kannattaa pitää mielessä, kun käytät Remote Credential Guard

Remote Credential Guardia ei voida käyttää yhteyden muodostamiseen laite, joka on liitetty Azure Active Directory -ohjelmaan.

Remo te Desktop Credential Guard toimii vain RDP-protokollan kanssa.

Remote Credential Guard ei sisällä laitteen vaatimuksia. Esimerkiksi, jos yrität käyttää etätietokonetta palvelimelle ja tiedostopalvelin vaatii laitteen vaatimuksen, käyttöoikeus evätään.

1. Palvelin ja asiakas on todennettava Kerberos-palvelun avulla.
2. Verkkotunnuksilla on oltava luottamus yhteys tai sekä asiakas että palvelin on yhdistettävä samaan verkkotunnukseen.
3. Remote Desktop Gateway ei ole yhteensopiva Remote Credential Guardin kanssa.
4. Kohdelaitteeseen ei pääse antamaan tunnistetietoja. Kohde-laite hankkii edelleen Kerberos-palvelulippuja yksinään.
5. Lopuksi sinun on käytettävä laitteen kirjautuneen käyttäjän tunnistetietoja. Käyttämäsi tallennetut kirjautumistietosi tai -valtakirjat eivät ole sallittuja.
6. Voit lukea lisää tästä osoitteesta Technet.