Remote Credential Guard suojaa etätyöpöydän tunnistetietoja

Kaikilla järjestelmänvalvojan käyttäjillä on yksi aito huolenaihe – kirjautumistietojen turvaaminen etätyöpöytäyhteyden(Desktop) kautta. Tämä johtuu siitä, että haittaohjelmat voivat löytää tiensä mille tahansa muulle tietokoneelle työpöytäyhteyden kautta ja muodostaa mahdollisen uhan tiedoillesi. Tästä syystä Windows-käyttöjärjestelmä(Windows OS) näyttää varoituksen " Varmista, että luotat tähän tietokoneeseen, yhdistäminen epäluotettavaan tietokoneeseen saattaa vahingoittaa tietokonettasi(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ", kun yrität muodostaa yhteyden etätyöpöytään.

Tässä viestissä näemme, kuinka Windows 10 : ssä käyttöön otettu  Remote Credential Guard -ominaisuus voi auttaa suojaamaan etätyöpöydän tunnistetietoja Windows 10 Enterprisessa(Windows 10 Enterprise) ja Windows Serverissä(Windows Server) .

Remote Credential Guard Windows 10 :ssä

Ominaisuus on suunniteltu poistamaan uhat ennen kuin siitä kehittyy vakava tilanne. Se auttaa sinua suojaamaan kirjautumistietojasi etätyöpöytäyhteyden(Desktop) kautta ohjaamalla Kerberos - pyynnöt takaisin yhteyttä pyytävälle laitteeseen. Se tarjoaa myös kertakirjautumiskokemuksia etätyöpöytäistunnoille(Remote Desktop) .

Epäonnen sattuessa, jossa kohdelaite vaarantuu, käyttäjän tunnistetietoja ei paljasteta, koska sekä tunnistetietoja että valtuustietojen johdannaisia ​​ei koskaan lähetetä kohdelaitteeseen.

Remote Credential Guard

Remote Credential Guardin(Remote Credential Guard) toimintatapa on hyvin samanlainen kuin Credential Guardin tarjoama suoja paikallisella koneella, paitsi että Credential Guard suojaa myös tallennettuja verkkotunnuksen tunnistetietoja Credential Managerin(Credential Manager) kautta .

Yksilö voi käyttää Remote Credential Guardia(Remote Credential Guard) seuraavilla tavoilla:

  1. Koska järjestelmänvalvojan(Administrator) tunnistetiedot ovat erittäin etuoikeutettuja, ne on suojattava. Käyttämällä Remote Credential Guardia(Remote Credential Guard) voit olla varma, että kirjautumistietosi on suojattu, koska se ei salli valtuustietojen siirtymistä verkon yli kohdelaitteeseen.
  2. Organisaatiosi tukipalvelun(Helpdesk) työntekijöiden on muodostettava yhteys verkkotunnukseen liitettyihin laitteisiin, jotka voivat vaarantua. Remote Credential Guardin(Remote Credential Guard) avulla helpdeskin työntekijä voi muodostaa yhteyden kohdelaitteeseen RDP :n avulla vaarantamatta tunnistetietojaan haittaohjelmille.

Laitteisto- ja ohjelmistovaatimukset

Jotta Remote Credential Guard toimisi sujuvasti , varmista, että seuraavat Remote Desktop -asiakkaan ja -palvelimen vaatimukset täyttyvät.

  1. Remote Desktop Client ja palvelin on liitettävä Active Directory -toimialueeseen
  2. Molempien laitteiden on joko liitettävä samaan toimialueeseen tai etätyöpöytäpalvelin(Remote Desktop) on liitettävä toimialueeseen, jolla on luottamussuhde asiakaslaitteen toimialueeseen.
  3. Kerberos - todennus olisi pitänyt ottaa käyttöön.
  4. Etätyöpöytäsovelluksen(Remote Desktop) on oltava käytössä vähintään Windows 10 , versio 1607 tai Windows Server 2016 .
  5. Etätyöpöytä Universal Windows Platform(Remote Desktop Universal Windows Platform) -sovellus ei tue Remote Credential Guardia(Remote Credential Guard) , joten käytä Remote Desktopin(Remote Desktop) klassista Windows - sovellusta.

Ota Remote Credential Guard käyttöön (Remote Credential Guard)rekisterin(Registry) kautta

Ota Remote Credential Guard käyttöön kohdelaitteessa avaamalla Rekisterieditori(Registry Editor) ja siirtymällä seuraavaan avaimeen:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Lisää uusi DWORD-arvo nimeltä DisableRestrictedAdmin . Aseta tämän rekisteriasetuksen arvoksi 0 ottaaksesi Remote Credential Guardin käyttöön(Remote Credential Guard) .

Sulje Rekisterieditori.

Voit ottaa Remote Credential Guardin(Remote Credential Guard) käyttöön suorittamalla seuraavan komennon korotetusta CMD:stä:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Ota Remote Credential Guard käyttöön ryhmäkäytännön avulla(Group Policy)

Remote Credential Guardia(Remote Credential Guard) on mahdollista käyttää asiakaslaitteessa asettamalla ryhmäkäytäntö(Group Policy) tai käyttämällä parametria Remote Desktop Connection -yhteyden(Remote Desktop Connection) kanssa .

Siirry ryhmäkäytännön hallintakonsolissa(Group Policy Management Console) kohtaan Computer Configuration > Administrative Templates > System > Credentials Delegation.

Kaksoisnapsauta nyt Rajoita valtuustietojen delegointi etäpalvelimille(Restrict delegation of credentials to remote servers) avataksesi sen Ominaisuudet-ruudun.

Valitse Käytä seuraavaa rajoitettua tilaa(Use the following restricted mode) -ruudusta Vaadi Remote Credential Guard. ( Require Remote Credential Guard. )Toinen vaihtoehto Rajoitettu järjestelmänvalvojatila(Restricted Admin mode) on myös käytettävissä. Sen merkitys on, että kun Remote Credential Guardia(Remote Credential Guard) ei voi käyttää, se käyttää rajoitettua järjestelmänvalvojatilaa(Restricted Admin) .

Joka tapauksessa Remote Credential Guard tai Restricted Admin -tila eivät lähetä tunnistetietoja selkeänä tekstinä etätyöpöytäpalvelimelle(Remote Desktop) .

Salli Remote Credential Guard(Allow Remote Credential Guard) valitsemalla ' Etäkäyttöoikeusvarmistus(Prefer Remote Credential Guard) ' -vaihtoehto.

Napsauta OK(Click OK) ja poistu ryhmäkäytännön hallintakonsolista(Group Policy Management Console) .

kauko-valtuustieto-vartijaryhmän politiikka

Suorita nyt komentokehotteessa gpupdate.exe /force varmistaaksesi, että ryhmäkäytäntöobjektia(Group Policy) käytetään.

Käytä Remote Credential Guardia (Use Remote Credential Guard)Etätyöpöytäyhteyden(Remote Desktop) parametrin kanssa

Jos et käytä ryhmäkäytäntöä(Group Policy) organisaatiossasi, voit lisätä RemoteGuard-parametrin käynnistäessäsi Remote Desktop Connection -sovelluksen ottaaksesi Remote Credential Guardin(Remote Credential Guard) käyttöön kyseiselle yhteydelle.

mstsc.exe /remoteGuard

Asiat, jotka sinun tulee pitää mielessä, kun käytät Remote Credential Guardia(Remote Credential Guard)

  1. Remote Credential Guardia(Remote Credential Guard) ei voi käyttää yhteyden muodostamiseen laitteeseen, joka on liitetty Azure Active Directoryyn(Azure Active Directory) .
  2. Remote Desktop Credential Guard toimii vain RDP - protokollan kanssa.
  3. Remote Credential Guard ei sisällä laitevaatimuksia. Jos esimerkiksi yrität käyttää tiedostopalvelinta etäältä ja tiedostopalvelin vaatii laitevaatimuksen, käyttö estetään.
  4. Palvelimen ja asiakkaan tulee todentaa Kerberosilla(Kerberos) .
  5. Verkkotunnuksilla on oltava luottamussuhde tai sekä asiakkaan että palvelimen on oltava liitettyinä samaan toimialueeseen.
  6. Remote Desktop Gateway ei ole yhteensopiva Remote Credential Guardin kanssa(Remote Credential Guard) .
  7. Tunnuksia ei ole vuotanut kohdelaitteeseen. Kohdelaite hankkii kuitenkin Kerberos-palveluliput (Kerberos Service) itse(Tickets) .
  8. Lopuksi sinun on käytettävä laitteeseen kirjautuneen käyttäjän tunnistetietoja. Tallennettujen tai erilaisten tunnistetietojen käyttäminen ei ole sallittua.

Voit lukea tästä lisää Technetissä(Technet) .

Aiheeseen liittyvä(Related) : Kuinka lisätä etätyöpöytäyhteyksien määrää(increase the number of Remote Desktop Connections) Windows 10:ssä.



Pearl Lehtonen

About the author

Olen web-kehittäjä, jolla on kokemusta sekä Windows 11:n että 10:n kanssa työskentelystä. Olen myös ollut Firefox-käyttäjä useiden vuosien ajan ja olen oppinut käyttämään täysin uutta Xbox One -pelikonsolia. Suurin kiinnostuksen kohteeni ovat ohjelmistokehitys, erityisesti web- ja mobiilikehitys, sekä datatiede. Olen erittäin perehtynyt erilaisiin tietokonejärjestelmiin ja niiden käyttöön, joten voin antaa puolueetonta palautetta erilaisista käyttämistäsi ohjelmista tai palveluista.


Related posts