A Remote Credential Guard védi a Remote Desktop hitelesítő adatait

Minden rendszeradminisztrátor felhasználónak egy nagyon őszinte gondja van: a hitelesítési adatok biztosítása távoli asztali(Desktop) kapcsolaton keresztül. Ennek az az oka, hogy a rosszindulatú programok bármelyik másik számítógépre eljuthatnak az asztali kapcsolaton keresztül, és potenciális veszélyt jelenthetnek az Ön adataira. Ez az oka annak, hogy a Windows operációs rendszer(Windows OS) egy figyelmeztetést villog: „ Győződjön meg arról, hogy megbízik ebben a számítógépben, mert egy nem megbízható számítógéphez való csatlakozás károsíthatja a számítógépet(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ”, amikor megpróbál csatlakozni egy távoli asztalhoz.

Ebben a bejegyzésben látni fogjuk, hogy a Windows 10 rendszerben(Windows 10) bevezetett  Remote Credential Guard funkció hogyan segíthet a távoli asztal hitelesítő adatainak védelmében a Windows 10 Enterprise és a Windows Server rendszerben(Windows Server) .

Remote Credential Guard a Windows 10 rendszerben(Windows 10)

A funkció célja, hogy kiküszöbölje a fenyegetéseket, mielőtt azok súlyos helyzetté válnának. Segít megvédeni hitelesítő adatait távoli asztali(Desktop) kapcsolaton keresztül azáltal, hogy a Kerberos kéréseket visszairányítja a kapcsolatot kérő eszközre. Egyszeri bejelentkezési élményt is biztosít a távoli asztali(Remote Desktop) munkamenetekhez.

Bármilyen szerencsétlenség esetén, amikor a céleszköz veszélybe kerül, a felhasználó hitelesítő adatai nem kerülnek nyilvánosságra, mivel a hitelesítő adatok és a hitelesítő adatok származékai soha nem kerülnek elküldésre a céleszközre.

Távoli hitelesítő őr

A Remote Credential Guard működési módja nagyon hasonló a Credential Guard által a helyi gépeken kínált védelemhez, kivéve, hogy a Credential Guard a tárolt tartományi hitelesítő adatokat is védi a Credential Manageren(Credential Manager) keresztül .

Az egyén a Remote Credential Guard szolgáltatást a következő módokon használhatja:

  1. Mivel az adminisztrátori(Administrator) hitelesítési adatok nagy privilegizáltak, védeni kell őket. A Remote Credential Guard használatával biztos lehet benne, hogy hitelesítő adatai védettek, mivel nem teszi lehetővé a hitelesítési adatok hálózaton keresztül történő átadását a céleszköznek.
  2. A szervezetben a Helpdesk(Helpdesk) alkalmazottainak csatlakozniuk kell a tartományhoz csatlakoztatott eszközökhöz, amelyek veszélybe kerülhetnek. A Remote Credential Guard segítségével a helpdesk alkalmazottja az RDP segítségével csatlakozhat a céleszközhöz anélkül, hogy a hitelesítő adatait kártékony programokkal veszélyeztetné.

Hardver és szoftver követelmények

A Remote Credential Guard zökkenőmentes működése érdekében győződjön meg arról, hogy a Távoli asztal(Remote Desktop) kliensével és kiszolgálójával kapcsolatos alábbi követelmények teljesülnek.

  1. A távoli asztali klienst(Remote Desktop Client) és a kiszolgálót egy Active Directory tartományhoz kell csatlakoztatni
  2. Mindkét eszköznek vagy ugyanahhoz a tartományhoz kell csatlakoznia, vagy a távoli asztali(Remote Desktop) kiszolgálót egy olyan tartományhoz kell csatlakoztatni, amely az ügyféleszköz tartományával megbízható kapcsolatban van.
  3. A Kerberos hitelesítést engedélyezni kellett volna.
  4. A Remote Desktop ügyfélnek legalább Windows 10 1607-es verziójának vagy Windows Server 2016 -nak kell futnia .
  5. A Remote Desktop Universal Windows Platform alkalmazás nem támogatja a Remote Credential Guard szolgáltatást(Remote Credential Guard) , ezért használja a Remote Desktop klasszikus Windows alkalmazást.

A Remote Credential Guard(Remote Credential Guard) engedélyezése a rendszerleíró adatbázison(Registry) keresztül

A Remote Credential Guard engedélyezéséhez a céleszközön nyissa meg a Rendszerleíróadatbázis-szerkesztőt(Registry Editor) , és lépjen a következő kulcsra:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Adjon hozzá egy új, DisableRestrictedAdmin(DisableRestrictedAdmin) nevű duplaszó-értéket . A Remote Credential Guard(Remote Credential Guard) bekapcsolásához állítsa a beállításjegyzék értékét 0 -ra .

Zárja be a Rendszerleíróadatbázis-szerkesztőt.

A Remote Credential Guard engedélyezéséhez futtassa a következő parancsot egy emelt szintű CMD-ről:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Kapcsolja be a Remote Credential Guard funkciót(Remote Credential Guard) a csoportházirend segítségével(Group Policy)

A Remote Credential Guard az ügyféleszközön csoportházirend beállításával vagy a (Group Policy)Remote Desktop Connection paraméter használatával lehetséges .

A Csoportházirend-kezelési konzolon(Group Policy Management Console) lépjen a Computer Configuration > Administrative Templates > System > Credentials Delegation.

Most kattintson duplán a Hitelesítési adatok delegálásának korlátozása távoli kiszolgálókra(Restrict delegation of credentials to remote servers) lehetőségre a Tulajdonságok ablak megnyitásához.

Most a következő korlátozott mód használata(Use the following restricted mode) mezőben válassza a Távoli hitelesítési adatok őrének megkövetelése lehetőséget. ( Require Remote Credential Guard. )A másik lehetőség Korlátozott rendszergazdai mód(Restricted Admin mode) is rendelkezésre áll. Ennek az a jelentősége, hogy ha a Remote Credential Guard nem használható, akkor a korlátozott rendszergazdai(Restricted Admin) módot használja.

Mindenesetre sem a Remote Credential Guard , sem a Restricted Admin (Korlátozott rendszergazdai mód) nem küldi el a hitelesítési adatokat tiszta szövegben a távoli asztali(Remote Desktop) kiszolgálónak.

Engedélyezze a Remote Credential Guard szolgáltatást(Allow Remote Credential Guard) a „ Távoli hitelesítési adatok előnyben részesítése(Prefer Remote Credential Guard) ” lehetőség kiválasztásával.

Kattintson az OK gombra(Click OK) , és lépjen ki a Csoportházirend-kezelő konzolból(Group Policy Management Console) .

távoli-hitelesítő-őr-csoport-házirend

Most a parancssorból futtassa a gpupdate.exe /force , hogy megbizonyosodjon a csoportházirend-(Group Policy) objektum alkalmazásáról.

Használja a Remote Credential Guard funkciót a (Use Remote Credential Guard)Remote Desktop Connection paraméterrel

Ha nem használja a csoportházirendet a szervezetében, akkor a Remote (Group Policy)Desktop Connection indításakor hozzáadhatja a remoteGuard paramétert, hogy bekapcsolja a távoli hitelesítési adatok őrét(Remote Credential Guard) az adott kapcsolathoz.

mstsc.exe /remoteGuard

A Remote Credential Guard(Remote Credential Guard) használatakor szem előtt tartandó dolgok

  1. A Remote Credential Guard(Remote Credential Guard) nem használható az Azure Active Directoryhoz(Azure Active Directory) csatlakoztatott eszközhöz való csatlakozáshoz .
  2. A Remote Desktop Credential Guard(Remote Desktop Credential Guard) csak az RDP protokollal működik.
  3. A Remote Credential Guard(Remote Credential Guard) nem tartalmazza az eszközigényeket. Például, ha távolról próbál elérni egy fájlszervert, és a fájlszerverhez eszközigénylés szükséges, a hozzáférés meg lesz tagadva.
  4. A kiszolgálónak és az ügyfélnek a Kerberos használatával kell hitelesítenie .
  5. A tartományoknak bizalmi kapcsolatnak kell lenniük, vagy az ügyfélnek és a kiszolgálónak is ugyanahhoz a tartományhoz kell csatlakozniuk.
  6. A Remote Desktop Gateway(Remote Desktop Gateway) nem kompatibilis a Remote Credential Guard programmal .
  7. Nem szivárogtak ki hitelesítési adatok a céleszközre. A céleszköz azonban továbbra is önállóan szerzi meg a Kerberos szolgáltatási (Kerberos Service) jegyeket(Tickets) .
  8. Végül annak a felhasználónak a hitelesítő adatait kell használnia, aki bejelentkezett az eszközre. A mentett vagy az Önétől eltérő hitelesítő adatok használata nem megengedett.

Erről bővebben a Techneten(Technet) olvashat .

Kapcsolódó(Related) : Hogyan lehet növelni a távoli asztali kapcsolatok számát a(increase the number of Remote Desktop Connections) Windows 10 rendszerben.



Áron Budai

About the author

Tapasztalt szoftvermérnök vagyok, több mint 10 éves tapasztalattal a felhasználói fiókok, a családbiztonság és a Google Chrome technológia fejlesztésében és kezelésében. Erős matematikai és számítástechnikai alapokkal rendelkezem, amelyeket arra használok, hogy világos, tömör leírásokat készítsek képességeimről.


Related posts