Remote Credential Guard beveiligt externe bureaublad-inloggegevens

Alle gebruikers van systeembeheerders hebben een zeer oprechte zorg - het beveiligen van inloggegevens via een Remote Desktop-verbinding. Dit komt omdat malware via de desktopverbinding toegang krijgt tot elke andere computer en een potentiële bedreiging vormt voor uw gegevens. Daarom knippert in Windows OS de waarschuwing "Zorg dat u deze pc vertrouwt, verbinding maken met een niet-vertrouwde computer kan uw pc beschadigen" wanneer u verbinding probeert te maken met een extern bureaublad. In dit bericht zullen we zien hoe de Remote Credential Guard -functie, die is geïntroduceerd in Windows 10 v1607, kan helpen externe bureaubladreferenties te beschermen in Windows 10 Enterprise en Windows Server 2016 .

Remote Credential Guard in Windows 10

De functie is ontworpen om bedreigingen te elimineren voordat deze zich ontwikkelt tot een ernstige situatie. Het helpt u uw inloggegevens te beschermen via een Extern bureaublad-verbinding door de Kerberos -verzoeken door te sturen naar het apparaat dat de verbinding aanvraagt. Het biedt ook single-sign-onervaringen voor Remote Desktop-sessies.

In het geval van een ongeluk waarbij het doelapparaat is aangetast, worden de legitimatiegegevens van de gebruiker niet zichtbaar omdat zowel referentie- als referentie-derivaten nooit naar het doelapparaat worden verzonden.

De modus operandi van Remote Credential Guard lijkt sterk op de bescherming die Credential Guard op een lokale computer biedt, met uitzondering van Credential Guard beschermt ook opgeslagen domeinreferenties via de Credential Manager.

Een persoon kan Remote Credential Guard gebruiken in de volgende manieren-

1. Omdat beheerdersreferenties zeer bevoorrecht zijn, moeten ze worden beschermd. Door Remote Credential Guard te gebruiken, kunt u er zeker van zijn dat uw inloggegevens worden beschermd, omdat de referenties niet worden doorgegeven via het netwerk naar het doelapparaat.
2. Helpdeskmedewerkers in uw organisatie moeten verbinding maken met apparaten die op het domein zijn aangesloten en in gevaar kunnen worden gebracht. Met Remote Credential Guard kan de helpdeskmedewerker RDP gebruiken om verbinding te maken met het doelapparaat zonder hun legitimatiegegevens te misbruiken voor malware.

Hardware- en softwarevereisten

Om een ​​soepele werking van de Remote Credential Guard mogelijk te maken, moet u zorgen voor de volgende vereisten van Remote Desktopclient en -server zijn bereikt.

1. De Remote Desktop Client en server moeten lid zijn van een Active Directory-domein
2. Beide apparaten moeten lid zijn van hetzelfde domein of de Extern bureaublad-server moet zijn gekoppeld aan een domein met een vertrouwensrelatie met het domein van het clientapparaat.
3. De Kerberos-verificatie moet zijn ingeschakeld.
4. De Remote Desktop-client moet ten minste Windows 10, versie 1607 of Windows Server 2016 gebruiken.
5. Het externe bureaublad Universal Windows Platform app biedt geen ondersteuning voor Remote Credential Guard, dus gebruik de klassieke Windows-app Remote Desktop.

Externe legitimatieguard inschakelen via register

Om Remote Credential Guard op het doelapparaat in te schakelen, opent u Re editor en ga naar de volgende sleutel:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Voeg een nieuwe DWORD-waarde toe met de naam DisableRestrictedAdmin . Stel de waarde van deze registerinstelling in op 0 om Remote Credential Guard in te schakelen.

Sluit de Register-editor.

U kunt Remote Credential Guard inschakelen door de volgende opdracht uit te voeren vanaf een verhoogde CMD:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Schakel Remote Credential Guard in met groepsbeleid

Het is mogelijk om Remote Credential Guard op het clientapparaat te gebruiken door een Groepsbeleid instellen of door een parameter te gebruiken met Verbinding met extern bureaublad.

Ga in de console voor Groepsbeleidsbeheer naar Computerconfiguratie> Beheersjablonen> Systeem> Legitimatiegever Delegatie .

Dubbelklik nu op Beperk overdracht van referenties naar externe servers om het vak Eigenschappen te openen.

Nu in het Gebruik de volgende beperkte modus box, kies Remote Remote Credential Guard vereisen. De andere optie Restricted Admin-modus is ook aanwezig. Het belang hiervan is dat wanneer Remote Credential Guard niet kan worden gebruikt, het de modus Restricted Admin zal gebruiken.

In elk geval zullen noch Remote Credential Guard noch de beperkte beheerdersmodus credentials in duidelijke tekst naar de Extern bureaublad-server verzenden.

Remote Credential Guard, door te kiezen voor ` Prefer Remote Reflection Guard `.

Klik op OK en sluit de console voor beheer van groepsbeleid.

Voer vanaf een opdrachtprompt uit gpupdate.exe / force om ervoor te zorgen dat het groepsbeleidsobject wordt toegepast.

Remote Credential Guard gebruiken met een parameter voor Verbinding met extern bureaublad

Als u in uw organisatie geen groepsbeleid gebruikt, kunt u de parameter remoteGuard toevoegen wanneer u Remote Desktop Connection start om Remote Credential Guard in te schakelen voor die verbinding.

mstsc.exe / remoteGuard

Dingen waar u op moet letten bij het gebruik van Remote Credential Guard

1. Remote Credential Guard kan niet worden gebruikt om verbinding te maken met een apparaat dat is gekoppeld aan Azure Active Directory.
2. Remo te Desktop Credential Guard werkt alleen met het RDP-protocol.
3. Remote Credential Guard omvat geen apparaatclaims. Als u bijvoorbeeld probeert toegang te krijgen tot een bestandsserver vanaf de afstandsbediening en de bestandsserver apparaatclaim nodig heeft, wordt de toegang geweigerd.
4. De server en client moeten worden geverifieerd met Kerberos.
5. De domeinen moeten een vertrouwensrelatie hebben relatie, of zowel de client als de server moeten lid zijn van hetzelfde domein.
6. Remote Desktop Gateway is niet compatibel met Remote Credential Guard.
7. Er worden geen referenties naar het doelapparaat gelekt. Het doelapparaat verkrijgt echter nog steeds alleen de Kerberos-servicetickets.
8. Ten slotte moet u de referenties gebruiken van de gebruiker die op het apparaat is aangemeld. Het gebruik van opgeslagen inloggegevens of inloggegevens die verschillen van de uwe zijn niet toegestaan.

U kunt hier meer over lezen op Technet.