Remote Credential Guard suojaa etätyöpöytäkirjoitustietoja

Sisällysluettelo:

Remote Credential Guard suojaa etätyöpöytäkirjoitustietoja
Remote Credential Guard suojaa etätyöpöytäkirjoitustietoja

Video: Remote Credential Guard suojaa etätyöpöytäkirjoitustietoja

Video: Remote Credential Guard suojaa etätyöpöytäkirjoitustietoja
Video: Windows 10 : Create Website shortcut on your desktop | NETVN - YouTube 2024, Marraskuu
Anonim

Kaikilla järjestelmänvalvojien käyttäjillä on yksi varsinainen huolenaihe - tunnistetietojen hankkiminen etätyöpöytäyhteyden kautta. Tämä johtuu siitä, että haittaohjelmat voivat löytää tietonsa mille tahansa muulle tietokoneelle työpöydän yhteydellä ja aiheuttaa mahdollisen uhkan tietojasi. Siksi Windows-käyttöjärjestelmä välähtää varoituksen "Varmista, että luotat tähän tietokoneeseen, jos yhteys epäluotettavaan tietokoneeseen saattaa vahingoittaa tietokonetta", kun yrität muodostaa yhteyden etäpöydälle. Tässä viestissä näemme, miten Remote Credential Guard ominaisuus, joka on otettu käyttöön Windows 10 v1607, voi auttaa suojaamaan etätietokoneen käyttöoikeuksia Windows 10 Enterprise ja Windows Server 2016.

Remote Credential Guard -ohjelma Windows 10: ssä

Ominaisuus on suunniteltu poistamaan uhkat ennen kuin se muuttuu vakavaksi tilanteeksi. Sen avulla voit suojata tunnistetietojasi etätyöpöytäyhteyden kautta Kerberos pyytää yhteyttä siihen laitteeseen, joka pyytää yhteyttä. Se tarjoaa myös yhden kirjautumisen kokemuksia etätyöpöytäkohteista.

Jos onneton onnettomuus, jossa kohdelaite on vaarantunut, käyttäjän tunnistetietoja ei altisteta, koska sekä tunnistetietoja että tunnistetietojohdannaisia ei koskaan lähetetä kohdelaitteelle.

Remote Credence Guardin toimintatapa on hyvin samanlainen kuin Credential Guardin tarjoama suojaus paikallisessa koneessa lukuunottamatta Credential Guardin suojaamaa myös tallennettuja verkkotunnisteita Credential Managerin kautta.
Remote Credence Guardin toimintatapa on hyvin samanlainen kuin Credential Guardin tarjoama suojaus paikallisessa koneessa lukuunottamatta Credential Guardin suojaamaa myös tallennettuja verkkotunnisteita Credential Managerin kautta.

Yksilö voi käyttää Remote Credence Guardia seuraavilla tavoilla:

  1. Koska järjestelmänvalvojan oikeudet ovat erittäin etuoikeutettuja, ne on suojattava. Käyttämällä Remote Credential Guardia voit olla varma, että tunnistetietosi ovat suojattuja, koska se ei salli valtuutusten siirtää verkkoa kohdelaitteelle.
  2. Organisaation Helpdesk-työntekijöiden on yhdistettävä verkkotunnukseen liitettyihin laitteisiin, jotka saattavat vaarantua. Remote Credential Guard -toiminnon avulla helpdesk-työntekijä voi käyttää RDP-yhteyttä yhteydenpidossa kohdelaitteeseen vaarantamatta niiden tunnistetietoja haittaohjelmiin.

Laitteisto- ja ohjelmistovaatimukset

Varmista, että etätyöpöytäpalvelimen toiminta toimii moitteettomasti. Varmista, että seuraavat etätyöpöytäpalvelimen ja -palvelimen vaatimukset täyttyvät.

  1. Remote Desktop Client ja palvelin on liitettävä Active Directory -verkkotunnukseen
  2. Molempien laitteiden on joko liittyä samaan verkkotunnukseen tai etätietokoneen palvelin on liitettävä verkkotunnukseen, jolla on luottamussuhde asiakaslaitteen verkkotunnukseen.
  3. Kerberos-todennuksen olisi pitänyt olla käytössä.
  4. Etätyöpöytä-työasemaohjelmassa on oltava vähintään Windows 10, versio 1607 tai Windows Server 2016.
  5. Etätyöpöytä Universal Windows Platform -sovellus ei tue Remote Credential Guard -ohjelmaa, joten käytä Remote Desktop classic Windows -sovellusta.

Ota etätunnistetietojen hallinta käyttöön rekisterin kautta

Ota evästetiedosto käyttöön kohdelaitteessa avaamalla Rekisterieditori ja siirry seuraavaan avaimeen:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa

Lisää uusi nimetty DWORD-arvo DisableRestrictedAdmin. Aseta tämän rekisteriasetuksen arvo kohtaan 0 ottamalla käyttöön Etäkäyttöoikeudenhallinta.

Sulje Rekisterieditori.

Voit ottaa Remote Credential Guard -ohjelman käyttöön suorittamalla seuraavan komennon korotetusta CMD: stä:

reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Ota Remote Credence Guard käyttöön ryhmäkäytännön avulla

On mahdollista käyttää etäkäyttökirjaa asiakaslaitteessa asettamalla ryhmäkäytäntö tai käyttämällä parametria Remote Desktop Connection -yhteydellä.

Siirry ryhmäkäytännön hallintakonsolista kohtaan Tietokoneen kokoonpano> Hallintomallit> Järjestelmä> Valtuutettujen valtuuskunta.

Nyt kaksoisnapsauta Rajoita valtuutettujen valtuutusten siirtäminen etäpalvelimiin avaa Ominaisuudet-ruutu.

Nyt Käytä seuraavaa rajoitettua tilaa valintasi, valitse Vaadi etätietorekisteri. Toinen vaihtoehto Rajoitettu hallintatila on myös läsnä. Sen merkitys on se, että Remote Credence Guardia ei voida käyttää, vaan se käyttää rajoitettua hallintatilaa.

Joka tapauksessa Etäkäyttäjän tunnistetiedot ja Rajoitettu hallintatila eivät lähetä tunnistetietoja selkeään tekstiin etätyöpöytäpalvelimelle.

Salli Remote Credential Guard, valitsemalla 'Mieluummin etätunnistetietojärjestelmä Vaihtoehto.

Napsauta OK ja sulje ryhmäpolitiikan hallintakonsoli.

Image
Image

Käynnistä sitten komentokehotteesta gpupdate.exe / force jotta varmistetaan, että Group Policy -objektia sovelletaan.

Käytä Remote Credential Guardia parametrilla etätyöpöytäyhteyteen

Jos et käytä ryhmäkäytäntöä organisaatiossasi, voit lisätä RemoteGuard-parametrin, kun käynnistät etätyöpöytäyhteyden, jolloin otat käyttöön Remote Credential Guardin kyseisen yhteyden.

mstsc.exe /remoteGuard

Asiat kannattaa pitää mielessä, kun käytät Remote Credential Guardia

  1. Remote Credential Guardia ei voi käyttää yhteyden muodostamiseen laitteeseen, joka on liitetty Azure Active Directory -palveluun.
  2. Remote Desktop Credential Guard toimii vain RDP-protokollan kanssa.
  3. Remote Credential Guard ei sisällä laitteen vaatimuksia. Jos esimerkiksi yrität käyttää etätietokoneessa olevaa tiedostopalvelinta ja tiedostopalvelin vaatii laitteen vaatimuksen, käyttöoikeus kielletään.
  4. Palvelimen ja asiakkaan on tunnistettava Kerberosin käyttö.
  5. Verkkotunnuksilla on oltava luottamussuhde, tai sekä asiakas että palvelin on yhdistettävä samaan verkkotunnukseen.
  6. Remote Desktop Gateway ei ole yhteensopiva Remote Credential Guardin kanssa.
  7. Kohdelaitteeseen ei vuotaa valtakirjaa. Kohde-laite hankkii kuitenkin Kerberos-palvelulippuja itsenäisesti.
  8. Lopuksi sinun on käytettävä laitteen kirjautuneen käyttäjän tunnistetietoja. Tallennettuja kirjautumistunnuksia tai tunnistetietoja, jotka ovat erilaiset kuin sinun, eivät ole sallittuja.

Voit lukea lisätietoja Technetista.

Suositeltava: