Kõigil süsteemiadministraatorite kasutajatel on üks väga tõsine mure - mandaatide turvalisus kaugtöölauaühenduse kaudu. See on tingitud sellest, et pahavara võib töölauaühendusele üle minna teisele arvutile ja võib teie andmetele olla ohtlik. Sellepärast, kui proovite luua kaugtöölauaga ühendust, vilgub Windowsi operatsioonisüsteemis hoiatus "Veenduge, et usaldate seda arvutit, kui kasutate usaldatud arvutiga ühendamist, võib teie arvuti kahjustada". Selles postituses näeme, kuidas Kaug krediidiriski kaitse funktsioon, mis on sisse viidud sisse Windows 10 v1607, aitab kaitsta kaugtöölaua mandaate Windows 10 Enterprise ja Windows Server 2016.
Remote Credential Guard Windows 10-s
Selle funktsiooni eesmärk on kõrvaldada ähvardused enne, kui see muutub tõsiseks olukorraks. See aitab teil kaitsta oma mandaate kaugtöölauaühenduse kaudu, suunates selle Kerberos küsib tagasi seadmesse, mis taotleb ühendust. Samuti pakub see kaugtöölaua istungite jaoks ühekordseid sisselogimisi.
Mis tahes ebaõnne korral, kus sihtseade on kahjustatud, ei avastata kasutaja mandaate, sest sihtmärk-seadmele ei saadeta kunagi mandaadi ja mandaadi tuletisi.
Üksikisik võib kasutada Remote Credential Guardit järgmistel viisidel:
- Kuna administraatori volitused on väga privilegeeritud, tuleb neid kaitsta. Remote Credential Guardi abil saate olla kindel, et teie mandaadid on kaitstud, kuna see ei luba mandaate üle anda võrgu sihtseadmele.
- Teie organisatsiooni kasutajatoe töötajad peavad ühendama domeeniga ühendatud seadmeid, mida võib ohustada. Remote Credential Guardiga võib kasutajatoe töötaja kasutada sihtrakendusega ühenduse loomiseks RDP-d, ilma et see mõjutaks nende mandaat õelvara vastu.
Riistvara ja tarkvara nõuded
Et võimaldada kaugjuhtimissüsteemi tõrgeteta toimimist, tagage kaugtöölaua kliendi ja serveri järgmised nõuded.
- Kaugtöölaua klient ja server peavad olema ühendatud aktiivse kataloogi domeeniga
- Mõlemad seadmed peavad olema kas samas domeenis ühendatud või kaugtöölaua server tuleb ühendada domeeniga, millel on kliendi seadme domeenile usalduslik suhe.
- Kerberose autentimine peaks olema lubatud.
- Kaugtöölauale klient peab töötama vähemalt Windows 10, versiooniga 1607 või Windows Server 2016.
- Rakenduse Remote Desktop Universal Windows platvorm ei toeta Remote Credential Guard, seega kasutage Windowsi kaugtöölaua klassikalist rakendust.
Krediidikinnituskaardi lubamine registri kaudu
Selleks, et võimaldada Remote Credential Guard sihtseadmel, avage registriredaktor ja minge järgmisele võtmele:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Lisage uus DWORD-väärtus, mille nimi on DisableRestrictedAdmin. Määrake selle registri sätte väärtus väärtusele 0 Remote Credential Guardi sisselülitamine.
Sulge registriredaktor.
Võite lubada Remote Credential Guard, käivitades kõrgendatud CMD-lt järgmise käsu:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Lülitage Remote Credential Guard sisse, kasutades rühmapoliitikat
Kliendiseadmesse on võimalik kasutada Remote Credential Guardi, seadistades grupipoliitika või kasutades Remote Desktop Connection abil parameetrit.
Grupipõhimõtte halduskonsoolis liikuge Arvuti konfiguratsioon> Haldusmallid> Süsteem> Mandaadiandmete delegeerimine.
Nüüd topeltklõpsake Keelake volituste delegeerimine serveri serverisse avaneb selle atribuutide lahter.
Nüüd Kasutage järgmist piiratud režiimi kasti, vali Nõua kaugjuhtimiskeskust. Teine võimalus Piiratud administraatori režiim on olemas ka. Selle tähtsus on selles, et kui Remote Credential Guardit ei saa kasutada, kasutab ta piiratud administraatori režiimi.
Igal juhul ei saadeta kaugmälu piirivalve või piiratud administraatori režiimi kaudu kaugtöölauakaitse serverisse mälukaarte selge tekstis.
Luba kaugredaktsioonide valvur, valides "Eelistada Remote Kredential Guard"Valik.
Klõpsake nuppu OK ja lõpetage rühmapoliitika haldamise konsool.
Nüüd käivita käsuviibast gpupdate.exe / jõud et tagada rühma-poliitika objekti kohaldamine.
Kasuta Remote Krediitkaardiga kaugtöölauaühenduse parameetrit
Kui te ei kasuta oma organisatsiooni rühmapoliitikat, võite selle kaugjuurdepääsu ühenduse käivitamisel RemoteCredential Guardi sisselülitamiseks lisada kaugjuhtimisparameetri parameetri.
mstsc.exe /remoteGuard
Asjad, mida peaksite Remote Credential Guardi kasutamisel silmas pidama
- Remote Credential Guard ei saa kasutada Azure Active Directory ühendatud seadmega ühenduse loomiseks.
- Remote Desktop Credential Guard töötab ainult RDP-protokolliga.
- Remote Credential Guard ei sisalda seadme väiteid. Näiteks kui proovite pääseda failiserverist kaugjuhtimispuldilt ja failiserver nõuab seadme väidet, lükatakse juurdepääs keelatud.
- Server ja klient peavad autentifitseerima Kerberose abil.
- Domeenidel peab olema usaldussuhe või mõlemad peavad klient ja server ühinema sama domeeniga.
- Remote Desktop Gateway ei ühildu Remote Credential Guardiga.
- Sihtmõõdus seadmesse ei levita mandaate. Kuid sihtseade omandab endiselt Kerberose teeninduspiletid ise.
- Lõpuks peate kasutama seadme sisselogitava kasutaja mandaate. Sõltumatute salvestatud mandaatide või mandaatide kasutamine pole lubatud.
Lisateavet leiate Technetist.
