Защита от удаленных учетных данных защищает учетные данные удаленного рабочего стола

У всех пользователей системных администраторов есть одна настоящая проблема - защита учетных данных через подключение к удаленному рабочему столу. Это связано с тем, что вредоносное ПО может найти путь к любому другому компьютеру через подключение к рабочему столу и представлять потенциальную угрозу для ваших данных. Вот почему ОС Windows мигает предупреждением «Убедитесь, что вы доверяете этому компьютеру, подключив его к ненадежному компьютеру, может повредить ПК», когда вы пытаетесь подключиться к удаленному рабочему столу. В этом сообщении мы увидим, как функция Remote Credential Guard , которая была представлена ​​в Windows 10 v1607, может помочь защитить учетные данные удаленного рабочего стола в Windows 10 Enterprise и Windows Server 2016 .

Защита от удаленных учетных записей в Windows 10

Эта функция предназначена для устранения угроз до того, как она превратится в серьезную ситуацию. Это помогает защитить ваши учетные данные через подключение к удаленному рабочему столу, перенаправив запрос Kerberos обратно на устройство, запрашивающее соединение. Он также обеспечивает единый вход для сеансов удаленного рабочего стола.

В случае каких-либо неудач, когда целевое устройство скомпрометировано, учетные данные пользователя не отображаются, поскольку как учетные данные, так и учетные данные никогда не отправляются на целевое устройство.

Режим работы Remote Credential Guard очень похож на защиту, предоставляемую Credential Guard на локальном компьютере, за исключением того, что Credential Guard также защищает сохраненные учетные данные домена через диспетчер учетных данных.

Лицо может использовать Remote Credential Guard в следующие способы -

1. Поскольку учетные данные администратора являются высокоприоритетными, они должны быть защищены. Используя Remote Credential Guard, вы можете быть уверены, что ваши учетные данные защищены, поскольку они не позволяют учетным данным передавать по сети целевому устройству.
2. Сотрудники службы поддержки в вашей организации должны подключиться к подключенным к домену устройствам, которые могут быть скомпрометированы, С помощью службы Remote Credential Guard сотрудник службы поддержки может использовать RDP для подключения к целевому устройству без ущерба для своих учетных данных для вредоносного ПО.

Требования к оборудованию и программному обеспечению

Чтобы обеспечить бесперебойную работу Remote Credential Guard, выполните следующие требования Remote Клиент и сервер рабочего стола выполнены.

1. Клиент и сервер удаленного рабочего стола должны быть присоединены к домену Active Directory
2. Оба устройства должны либо быть присоединены к одному домену, либо сервер удаленного рабочего стола должен быть присоединен к домену с доверительное отношение к домену клиентского устройства.
3. Аутентификация Kerberos должна быть включена.
4. Клиент Remote Desktop должен работать как минимум в Windows 10, версии 1607 или Windows Server 2016.
5. Универсальная платформа Windows для Windows Приложение не поддерживает Remote Credential Guard, поэтому используйте классическое приложение Windows Remote для Windows.

Включить защиту от удаленных учетных записей через реестр

Чтобы включить Remote Credential Guard на целевом устройстве, откройте Re gistry Editor и перейдите к следующему ключу:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Добавьте новое значение DWORD с именем DisableRestrictedAdmin . Задайте значение этого параметра реестра 0 , чтобы включить защиту удаленных учетных записей.

Закройте редактор реестра.

Вы можете включить защиту удаленных учетных записей, выполнив следующую команду с повышенным CMD:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Включить защиту удаленных учетных записей с помощью групповой политики

На клиентском устройстве можно использовать Remote Credential Guard задание групповой политики или использование параметра с подключением к удаленному рабочему столу.

В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера> Административные шаблоны> Система> Делегирование учетных данных .

Теперь дважды щелкните Ограничьте делегирование учетных данных на удаленные серверы , чтобы открыть окно «Свойства».

Теперь в Используйте следующий ограниченный режим, выберите > Требовать защиту от удаленных учетных записей. Также присутствует другая опция Режим ограниченного администратора. Его значение заключается в том, что, когда Remote Credential Guard не может быть использован, он будет использовать режим «Ограниченный администратор».

В любом случае ни режим Remote Credential Guard, ни режим «Ограниченный администратор» не будут отправлять учетные данные в текстовом виде на сервер удаленного рабочего стола.

Разрешить Remote Credential Guard, выбрав « Предпочитает параметр« Удаленный учетный учет » ».

Нажмите «ОК» и выйдите из консоли управления групповыми политиками.

Теперь из командной строки запустите gpupdate.exe / force, чтобы обеспечить применение объекта групповой политики.

Использовать защиту удаленных учетных данных с параметром подключения к удаленному рабочему столу

Если вы не используете групповую политику в своей организации, вы можете добавить параметр remoteGuard когда вы запускаете подключение к удаленному рабочему столу, чтобы включить Remote Credential Guard для этого подключения.

mstsc.exe / remoteGuard

Что следует учитывать при использовании средства Remote Credential Guard

1. Remote Credential Guard не может использоваться для подключения к устройство, которое подключено к Azure Active Directory.
2. Remo te Desktop Credential Guard работает только с протоколом RDP.
3. Remote Credential Guard не включает претензии устройства. Например, если вы пытаетесь получить доступ к файловому серверу с удаленного сервера, а файловому серверу требуется заявка на устройство, доступ будет отклонен.
4. Сервер и клиент должны пройти аутентификацию с использованием Kerberos.
5. Домены должны иметь доверие отношения или как клиент, так и сервер должны быть присоединены к одному домену.
6. Шлюз удаленного рабочего стола не совместим с Защитой от удаленных учетных записей.
7. Учетные данные не передаются на целевое устройство. Однако целевое устройство по-прежнему приобретает Билеты службы Kerberos самостоятельно.
8. Наконец, вы должны использовать учетные данные пользователя, который зарегистрировался на устройстве. Использование сохраненных учетных данных или учетных данных, отличных от ваших, не разрешено.

Подробнее об этом можно узнать в Technet.