Vzdálená certifikační ochrana chrání pověření vzdálené pracovní plochy

Uživatelé systémových administrátorů mají jednu opravdovou záležitost - zabezpečení pověření přes připojení ke vzdálené ploše. Důvodem je to, že malware může najít cestu k jinému počítači přes připojení počítače a představovat potenciální hrozbu pro vaše data. Z tohoto důvodu systém Windows OS bliká upozornění "Ujistěte se, že důvěřujete tomuto počítači, připojení k nedůvěryhodnému počítači může poškodit váš počítač" při pokusu o připojení ke vzdálené ploše. V tomto příspěvku uvidíme, jak může funkce ochrany vzdáleného pověření , která byla zavedena v Windows 10 v1607, chránit pověření vzdálené pracovní plochy v Windows 10 Enterprise a Windows Server 2016

Vzdálená ochrana před pověřením v systému Windows 10

Tato funkce je navržena tak, aby eliminovala hrozby předtím, než se rozvinula do vážné situace. Pomáhá vám chránit vaše pověření přes připojení ke vzdálené ploše přesměrováním požadavků Kerberos zpět na zařízení, které požaduje připojení. Zároveň poskytuje zážitky při přihlášení k jednotlivým relacím.

V případě jakékoliv neštěstí, ve které je cílové zařízení ohroženo, nejsou pověření uživatele odhalena, protože pověření a pověření nejsou nikdy odeslány do cílového zařízení.

Modus operandi Remote Credential Guard je velmi podobný ochraně, kterou nabízí Credential Guard na lokálním počítači, s výjimkou, že pověření Credential Guard také chrání pověření uložené domény prostřednictvím Správce pověření.

následující způsoby -

1. Protože pověření administrátora jsou vysoce privilegovaná, musí být chráněna. Pomocí funkce Vzdálená ochrana pověření můžete být jisti, že vaše pověření jsou chráněna, protože nepovolují předání pověření přes síť k cílovému zařízení.
2. Zaměstnanci helpdesku ve vaší organizaci se musí připojit k zařízením s doménou, které by mohly být ohroženy. Služba vzdáleného pověření poskytuje zaměstnanci helpdesku možnost připojit k cílovému zařízení bez kompromisů svých pověření na škodlivý software.

Požadavky na hardwarové a softwarové požadavky

Chcete-li umožnit hladké fungování modulu Remote Credential Guard, zajistěte následující požadavky vzdáleného Desktop klient a server jsou splněny

1. Klient a server vzdálené plochy musí být připojeny k doméně služby Active Directory
2. Oba zařízení musí být připojeny ke stejné doméně, nebo musí být server vzdálené plochy připojen k doméně
3. Klient vzdálené plochy musí být spuštěn nejméně Windows 10, verze 1607 nebo Windows Server 2016.
4. Univerzální platforma Windows pro vzdálené plochy Aplikace nepodporuje službu Remote Sensitive Guard, takže použijte klasickou aplikaci Windows Remote Desktop
5. Povolení vzdálené ochrany pověření prostřednictvím registru

Chcete-li povolit Vzdálený pověření pověření na cílovém zařízení, otevřete Re gistry Editor a přejděte na následující klíč:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Přidejte novou hodnotu DWORD s názvem

DisableRestrictedAdmin . Nastavte hodnotu tohoto nastavení registru na 0 a zapněte funkci Vzdálená certifikační ochrana Zavřete Editor registru

Povolení Remote Remote Guard můžete povolit spuštěním následujícího příkazu ze zvýšené CMD:

přidat HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

nastavení zásad skupiny nebo pomocí parametru Připojení ke vzdálené ploše.

V konzole Správa zásad skupiny přejděte na položku Konfigurace počítače> Šablony pro správu> Systém> Delegace pověření

Nyní poklepejte na

Omezení delegování pověření na vzdálené servery a otevřete jeho pole Vlastnosti. Nyní v

Použijte následující omezený režim > Vyžadovat vzdálené pověření pověření. Další možnost Režim omezeného administrátora je také k dispozici. Její význam je, že pokud Remote Remote Security Guard nelze použít, použije režim Restricted Admin. V žádném případě nebude vzdálený režim Credential Guard ani režim Restricted Admin odesílat pověření v čistém textu na server vzdálené plochy. Vzdálený pověření pověření pomocí volby ` Upřednostňovat ochranu vzdáleného pověření

`

Klepněte na tlačítko OK a ukončete konzolu Správa zásad skupiny Nyní z příkazového řádku spusťte gpupdate.exe / force, aby bylo zajištěno, že je použit objekt Zásady skupiny.

Použijte funkci Vzdálená pověření pověření pomocí parametru Připojení ke vzdálené ploše Pokud ve své organizaci nepoužíváte Zásady skupiny, můžete přidat parametr remoteGuard když spustíte připojení ke vzdálené ploše a zapnete funkci Vzdálená pověření pro toto připojení. mstsc.exe / remoteGuard

Věci, které byste měli mít na paměti při použití funkce Remote Sensitive Guard

zařízení připojené k službě Azure Active Directory.

Remo Te Desktop Guard Credential funguje pouze s protokolem RDP.

Remote Remote Guard Guard neobsahuje požadavky na zařízení. Pokud se například pokoušíte získat přístup k souborovému serveru ze vzdáleného serveru a souborový server vyžaduje požadavek na zařízení, přístup bude odepřen

1. Server a klient se musí ověřit pomocí Kerberos
2. Domény musí mít důvěru vztah nebo klient a server musí být připojeny ke stejné doméně.
3. Vzdálená plocha brány není kompatibilní se vzdáleným pověřením pověření.
4. Žádné cílové zařízení nejsou propuštěny žádné pověření. Cílové zařízení však stále získává samotné vstupenky služby Kerberos.
5. Konečně musíte použít pověření uživatele, který je do zařízení přihlášen. Použití uložených pověření nebo pověření, které jsou jiné než vaše, není povoleno.
6. Více informací naleznete v Technet