Távoli hitelesítő adatok védi a Távoli asztali hitelesítő adatokat

Minden rendszergazdai felhasználónak nagyon komoly aggodalma van - hitelesítő adatok biztosítása távoli asztali kapcsolaton keresztül. Ez azért van, mert a rosszindulatú programok megtalálják az utat az asztali kapcsolat felett bármely más számítógéphez, és potenciális veszélyt jelentenek az Ön adataira. Ezért a Windows operációs rendszer figyelmezteti a figyelmeztetést: "Győződjön meg róla, hogy megbízik ebben a számítógépben, ha egy megbízható számítógéphez csatlakozik, kárt tehet a számítógépen", amikor megpróbál csatlakozni egy távoli asztalhoz. Ebben a bejegyzésben látni fogjuk, hogy a Windows 10 v1607 -ben bevezetett Remote Credential Guard szolgáltatás a Windows 10 Enterprise és Windows Server 2016 .

Távoli Credential Guard a Windows 10 alatt

Ezzel a funkcióval a fenyegetések kiküszöbölhetők, mielőtt súlyos helyzetbe kerülne. Segít megvédeni a hitelesítő adatokat egy távoli asztali kapcsolaton keresztül, átirányítva a Kerberos kéréseket a kapcsolatot kérelmező készülékre. Ezenkívül egyedi bejelentkezési tapasztalatokat is biztosít a Távoli asztali munkamenetekhez.

Ha valamilyen szerencsétlenség van, amikor a célkészülék veszélybe került, a felhasználó hitelesítő adatait nem fedik fel, mert a hitelesítő és a hitelesítő származtatásokat soha nem küldi a célkészüléknek.

A Remote Credential Guard modus operandi nagyon hasonlít a Credential Guard által a helyi gépen nyújtott védelemre, kivéve a Credential Guard-et, továbbá védi a tárolt domain-hitelesítő adatokat a Credential Manager-en keresztül.

Egy személy használhatja a Távoli hitelesítő őrséget a a következő módokon:

1. Mivel a rendszergazdai hitelesítő adatok rendkívül kiváltságosak, védeni kell őket. A Távoli hitelesítő adatok védelmének használatával biztos lehet abban, hogy a hitelesítő adatok védettek, mivel nem engedi, hogy a hitelesítő adatok átadják a hálózatot a célkészüléknek.
2. A szervezeten belüli helpdesk-alkalmazottaknak csatlakozniuk kell a tartományhoz csatlakoztatott eszközökhöz, amelyek veszélyeztethetők lennének. A Remote Credential Guard segítségével a helpdesk alkalmazottai az RDP-t használhatják a célkészülékhez való csatlakozásuk nélkül, de nem veszélyeztetik a kártevőkre való jogosultságukat.

Hardver- és szoftverkövetelmények

A Távoli hitelesítő védelem zökkenőmentes működésének biztosításához biztosítsa a következő távvezérlési követelményeket Az asztali ügyfél és a kiszolgáló teljesül.

1. A távoli asztali ügyfélnek és a kiszolgálónak egy Active Directory tartományhoz kell csatlakoznia
2. Mindkét eszköznek vagy ugyanazon a tartományhoz kell csatlakoznia, vagy a távoli asztali kiszolgálónak egy olyan tartományhoz kell csatlakoznia,
3. A Kerberos hitelesítésnek engedélyezve kellene lennie.
4. A Remote Desktop kliensnek legalább Windows 10, 1607 verzió vagy Windows Server 2016 operációs rendszernek kell lennie.
5. A Távoli asztali univerzális Windows platform az alkalmazás nem támogatja a Távoli hitelesítő adatok védelmét, ezért használja a Távoli asztali klasszikus Windows alkalmazást.

Távoli hitelesítő adatok felügyelete engedélyezése a rendszerleíró adatbázisban

A Távoli hitelesítő adatok védelmének engedélyezése a cél eszközön majd kattintson a következő kulcsra:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Adjon hozzá egy új, DisableRestrictedAdmin nevű DWORD értéket. A Rendszerleíróadatbázis-szerkesztő bezárása A Remote Credential Guardt engedélyezheti a következő parancs futtatásával a megnövelt CMD-ből:

0

A csoportházirend használata

A Távoli hitelesítő adatok védelme az ügyféleszközön a Távoli hitelesítő személyi védelem funkció használatával lehetséges a következőhöz: HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD < a Csoportházirend beállítása vagy egy paraméter használata a Távoli asztali kapcsolat segítségével.

A Csoportházirend-kezelő konzolból navigáljon a Számítógép konfigurációja> Felügyeleti sablonok> Rendszer> Hitelesítő adatok átruházása

Most kattintson duplán

A hitelesítő adatok delegálása a távoli szerverekre a Tulajdonságok párbeszédpanel megnyitásához. Most a

A következő korlátozott mód mezőben válassza a Távoli hitelesítő védelem kérése. A másik lehetőség Korlátozott Admin mód is jelen van. Fontos, hogy ha a Remote Credential Guard nem használható, akkor a Korlátozott Admin módot használja. Mindenesetre sem a Távoli hitelesítői őr, sem a korlátozott adminisztrációs mód nem küld egyértelmű adatokat a Távoli asztali kiszolgálónak.

Engedélyezés

Kattintson az OK gombra, és lépjen ki a Csoportházirend-kezelő konzolból. Most a parancssorból futtassa a gpupdate.exe fájlt / force

a csoportházirend-objektum alkalmazásának biztosítása érdekében

Távoli hitelesítő személyi védelem használata a paraméterrel a Távoli asztali kapcsolathoz Ha nem használja a csoportházirendet a szervezetben, akkor hozzáadhatja a távoli nézet paraméterét amikor elindítja a Távoli asztali kapcsolatot, hogy bekapcsolja a kapcsolatot a távoli hitelesítő adatokkal. mstsc.exe / remoteGuard

Távoli hitelesítő ügyiratok használata esetén ne feledje el

egy eszköz, amely az Azure Active Directoryhoz csatlakozik.

Remo te Desktop Credential Guard csak az RDP protokollal működik.

A Remote Credential Guard nem tartalmazza az eszközkövetelményeket. Például, ha megpróbál hozzáférni egy fájlkiszolgálóhoz a távoli programból, és a fájlkiszolgáló igényli a készülékkövetelést, a hozzáférés meg lesz tagadva.

1. A kiszolgálónak és az ügyfélnek hitelesnek kell lennie a Kerberos használatával.
2. A tartományoknak megbízhatónak kell lenniük kapcsolat, vagy mind az ügyfél, mind a kiszolgálónak ugyanazon a tartományon belül kell lennie.
3. A Remote Desktop Gateway nem kompatibilis a Remote Credential Guard programmal.
4. A célkészülékre nincsenek hitelesítési adatok. Azonban a célkészülék önmagában is megszerezte a Kerberos szolgáltatási jegyeket.
5. Végül a felhasználónév hitelesítő adatait kell használni. Az Öntől eltérő, mentett hitelesítő adatok vagy hitelesítő adatok használata nem engedélyezett.
6. Erről többet tud olvasni a Technet-nél.