Minden rendszergazdai felhasználónak nagyon komoly aggodalma van - a hitelesítő adatok védelme távoli asztali kapcsolaton keresztül. Ez azért van, mert a rosszindulatú programok megtalálják az utat az asztali kapcsolat felett bármely más számítógéphez, és potenciális veszélyt jelentenek az Ön adataira. Ezért a Windows operációs rendszer figyelmezteti a figyelmeztető üzenetet: "Győződjön meg róla, hogy megbízik ebben a számítógépben, ha egy megbízható számítógéphez csatlakozik, kárt tehet a számítógépen", amikor megpróbál csatlakozni egy távoli asztalhoz. Ebben a bejegyzésben látni fogjuk, hogy a Távoli Credential Guard funkciót, amelyet bevezettek Windows 10 v1607, segíthet a távoli asztali hitelesítő adatok védelmében Windows 10 Enterprise és Windows Server 2016.
Remote Credential Guard a Windows 10 rendszerben
A funkció célja, hogy megszüntesse a fenyegetéseket, mielőtt súlyos helyzetbe kerülne. Segít megvédeni a hitelesítő adatokat egy távoli asztali kapcsolaton keresztül azáltal, hogy átirányítja a Kerberos visszahívja a kapcsolatot kérő eszközt. Ezenkívül egyszeri bejelentkezési élményt nyújt a távoli asztali munkamenetekhez.
Bármely szerencsétlenség esetén, amikor a célkészülék veszélybe kerül, a felhasználó hitelesítő adatai nem kerülnek kitéve, mert a hitelesítő és a hitelesítő származtatásokat soha nem küldi a célkészüléknek.
Az egyén a Távoli hitelesítő személyzetet a következő módon használhatja:
- Mivel az adminisztrátori hitelesítő adatok rendkívül kiváltságosak, védeni kell őket. A Távoli hitelesítő adatok védelme segítségével biztos lehet abban, hogy a hitelesítő adatok védettek, mivel nem engedi, hogy a hitelesítő adatok átadják a hálózatot a célkészüléknek.
- A szervezeten belüli helpdesk-alkalmazottaknak olyan tartományhoz csatlakozó eszközökhöz kell csatlakozniuk, amelyek veszélybe kerülhetnek. A Remote Credential Guard segítségével a helpdesk alkalmazottai az RDP-t használhatják a célkészülékhez való csatlakozásra anélkül, hogy veszélyt jelentenének a kártékony programokra.
Hardver és szoftver követelmények
A Remote Credential Guard zavartalan működésének biztosítása érdekében győződjön meg róla, hogy a Remote Desktop kliens és a kiszolgáló következő követelményei teljesülnek.
- A távoli asztali ügyfélnek és a kiszolgálónak egy Active Directory tartományhoz kell csatlakoznia
- Mindkét eszköznek ugyanabba a tartományba kell csatlakoznia, vagy a távoli asztali kiszolgálónak egy olyan tartományhoz kell csatlakoznia, amelynek bizalmi kapcsolata van az ügyfél eszköz domainjével.
- A Kerberos hitelesítést engedélyezni kellett.
- A Távoli asztal ügyfélnek legalább Windows 10-re, 1607-es verzióra vagy Windows Server 2016-ra kell futnia.
- A Távoli asztali univerzális Windows platform alkalmazás nem támogatja a Távoli hitelesítő adatok védelmét, ezért használja a Távoli asztali klasszikus Windows alkalmazást.
Távoli hitelesítő védelem engedélyezése a rendszerleíró adatbázisban
A távoli hitelesítő adatok felügyeletének engedélyezéséhez a célkészüléken keresztül nyissa meg a Rendszerleíróadatbázis-szerkesztőt, és lépjen a következő kulcsra:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Adjon hozzá egy új nevű DWORD értéket DisableRestrictedAdmin. Állítsa be a rendszerleíró beállítás értékét 0 a Távoli hitelesítő őrség bekapcsolásához.
Zárja le a Registry Editor-t.
Engedélyezheti a Távoli hitelesítő adatok felügyeletét a következő parancs futtatásával:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
A Csoportházirend használatával kapcsolja be a Távoli hitelesítő személyzetet
A távoli hitelesítő személyzetet az ügyféleszközön a Csoportházirend beállításával vagy a Távoli asztali kapcsolattal rendelkező paraméter használatával lehet használni.
A Csoportházirend-kezelő konzolból keresse meg a Számítógép konfigurációja> Felügyeleti sablonok> Rendszer> Hitelesítő adatok átruházása lehetőséget.
Most kattintson duplán A hitelesítő adatok átengedése a távoli kiszolgálókra a Tulajdonságok mező megnyitásához.
Most a Használja a következő korlátozott módot doboz, válassz Távoli hitelesítő őrség kérése. A másik lehetőség Korlátozott Admin mód szintén jelen van. Jelentősége, hogy ha a Távoli hitelesítő őrző nem használható, akkor a Korlátozott Admin módot használja.
Mindenesetre sem a Távoli hitelesítő hitelesítő, sem a korlátozott adminisztrációs mód sem küld egyértelmű adatokat a Távoli asztali kiszolgálóra.
Távoli hitelesítő őrség engedélyezése, a A Távoli hitelesítő védelem előnyben részesítése' választási lehetőség.
Kattintson az OK gombra, és lépjen ki a Csoportházirend-kezelő konzolból.
Most, parancssorból fusson gpupdate.exe / force hogy biztosítsa a csoportházirend-objektum alkalmazását.
Használja a Remote Credential Guard szolgáltatást egy paraméterrel a Távoli asztali kapcsolathoz
Ha nem használja a csoportházirendet a szervezetében, hozzáadhatja a RemoteGuard paramétert, amikor elindítja a Távoli asztali kapcsolatot, hogy bekapcsolja a Távoli hitelesítő adatvédelmet az adott kapcsolat számára.
mstsc.exe /remoteGuard
Olyan dolgokat, amelyeket a Távoli Credential Guard használatakor szem előtt kell tartani
- A Remote Credential Guard nem használható az Azure Active Directoryhoz csatlakozó eszközhöz való kapcsolódásra.
- A Remote Desktop Credential Guard csak az RDP protokollal működik.
- A Remote Credential Guard nem tartalmazza az eszközkövetelményeket. Például, ha megpróbál hozzáférni egy fájlkiszolgálóhoz a távoli gépen, és a fájlkiszolgáló igényli az eszközigénylést, a hozzáférés meg lesz tagadva.
- A kiszolgálónak és az ügyfélnek hitelesnek kell lennie a Kerberos használatával.
- A tartományoknak bizalmi kapcsolatnak kell lenniük, vagy mind az ügyfélnek, mind pedig a kiszolgálónak ugyanazon domainhez kell csatlakoznia.
- A Távoli asztali átjáró nem kompatibilis a távoli hitelesítő ügyirattal.
- A célkészülékre nincsenek hitelesítési adatok. A célkészülék azonban a Kerberos szolgáltatási jegyeket önmagában is megszerzi.
- Végül meg kell használnia a bejelentkezett felhasználó hitelesítő adatait. Tilos a mentett hitelesítő adatok vagy hitelesítő adatok használata, amelyek eltérnek az Öntől.
Erről többet olvashat a Technet-en.