Remote Credential Guard štiti vjerodajnice udaljene radne površine

Svi korisnici administratora sustava imaju jednu vrlo iskrenu brigu - osiguranje vjerodajnica putem veze s udaljenom radnom površinom . (Desktop)To je zato što zlonamjerni softver može pronaći put do bilo kojeg drugog računala preko desktop veze i predstavljati potencijalnu prijetnju vašim podacima. Zato OS Windows(Windows OS) treperi upozorenje " Provjerite vjerujete li ovom računalu, povezivanje s nepouzdanim računalom može naštetiti vašem računalu(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) " kada se pokušate povezati s udaljenom radnom površinom.

U ovom ćemo postu vidjeti kako značajka Remote Credential Guard , koja je uvedena u  Windows 10 , može pomoći u zaštiti vjerodajnica udaljene radne površine u sustavima Windows 10 Enterprise(Windows 10 Enterprise) i Windows Server .

Remote Credential Guard u sustavu Windows 10(Windows 10)

Značajka je osmišljena da eliminira prijetnje prije nego što preraste u ozbiljnu situaciju. Pomaže vam da zaštitite svoje vjerodajnice putem veze s udaljenom radnom površinom(Desktop) preusmjeravanjem Kerberos zahtjeva natrag na uređaj koji zahtijeva vezu. Također pruža iskustvo jedinstvene prijave za sesije udaljene radne površine .(Remote Desktop)

U slučaju bilo kakve nesreće u kojoj je ciljni uređaj ugrožen, vjerodajnice korisnika nisu izložene jer se i vjerodajnice i derivati ​​vjerodajnica nikada ne šalju ciljnom uređaju.

Remote Credential Guard

Modus operandi Remote Credential Guarda(Remote Credential Guard) vrlo je sličan zaštiti koju nudi Credential Guard na lokalnom računalu osim što Credential Guard također štiti pohranjene vjerodajnice domene putem Credential Managera(Credential Manager) .

Pojedinac može koristiti Remote Credential Guard na sljedeće načine:

  1. Budući da su vjerodajnice administratora(Administrator) vrlo privilegirane, moraju biti zaštićene. Korištenjem Remote Credential Guard -a možete biti sigurni da su vaše vjerodajnice zaštićene jer ne dopušta vjerodajnicama da prođu preko mreže na ciljni uređaj.
  2. Zaposlenici službe za pomoć(Helpdesk) u vašoj organizaciji moraju se povezati s uređajima koji su spojeni na domenu koji bi mogli biti ugroženi. Uz Remote Credential Guard , zaposlenik službe za pomoć može koristiti RDP za povezivanje s ciljnim uređajem bez ugrožavanja svojih vjerodajnica za zlonamjerni softver.

Hardverski i softverski zahtjevi

Kako biste omogućili nesmetano funkcioniranje Remote Credential Guard -a , osigurajte da su ispunjeni sljedeći zahtjevi klijenta i poslužitelja udaljene radne površine .(Remote Desktop)

  1. Klijent i poslužitelj udaljene radne površine(Remote Desktop Client) moraju biti povezani s domenom Active Directory
  2. Oba uređaja se moraju ili pridružiti istoj domeni ili se poslužitelj udaljene radne površine(Remote Desktop) mora pridružiti domeni s odnosom povjerenja s domenom klijentskog uređaja.
  3. Kerberos provjera autentičnosti trebala je biti omogućena .
  4. Klijent udaljene radne površine(Remote Desktop) mora imati barem Windows 10 , verziju 1607 ili Windows Server 2016 .
  5. Aplikacija Remote Desktop Universal Windows Platform ne podržava Remote Credential Guard pa upotrijebite klasičnu aplikaciju Remote Desktop za (Remote Desktop)Windows .

Omogućite Remote Credential Guard putem Registra(Registry)

Da biste omogućili Remote Credential Guard na ciljnom uređaju, otvorite Registry Editor i idite na sljedeći ključ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Dodajte novu DWORD vrijednost pod nazivom DisableRestrictedAdmin . Postavite vrijednost ove postavke registra na 0 da biste uključili Remote Credential Guard .

Zatvorite uređivač registra.

Možete omogućiti Remote Credential Guard pokretanjem sljedeće naredbe s povišenog CMD-a:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Uključite Remote Credential Guard pomoću pravila grupe(Group Policy)

Moguće je koristiti Remote Credential Guard na klijentskom uređaju postavljanjem pravila grupe(Group Policy) ili korištenjem parametra s vezom na udaljenu radnu površinu(Remote Desktop Connection) .

S konzole za upravljanje pravilima grupe(Group Policy Management Console) idite na Computer Configuration > Administrative Templates > System > Credentials Delegation.

Sada dvaput kliknite Ograniči delegiranje vjerodajnica na udaljene poslužitelje(Restrict delegation of credentials to remote servers) da biste otvorili njegov okvir Svojstva.

Sada u okviru Koristi sljedeći ograničeni način rada(Use the following restricted mode) odaberite Zahtijevaj Remote Credential Guard. ( Require Remote Credential Guard. )Prisutna je i druga opcija Restricted Admin mode . Njegovo značenje je da će se, kada se Remote Credential Guard ne može koristiti, koristiti način rada Ograničeni administrator(Restricted Admin) .

U svakom slučaju, ni Remote Credential Guard ni Restricted Admin način neće slati vjerodajnice u čistom tekstu poslužitelju udaljene radne površine .(Remote Desktop)

Dopustite Remote Credential Guard(Allow Remote Credential Guard) odabirom opcije " Preferiraj udaljenu zaštitu vjerodajnica(Prefer Remote Credential Guard) ".

Kliknite OK(Click OK) i izađite iz konzole za upravljanje pravilima grupe(Group Policy Management Console) .

politika grupe-straža-straža-vjerodajnica

Sada, iz naredbenog retka, pokrenite gpupdate.exe /force kako biste bili sigurni da je objekt grupne politike primijenjen.(Group Policy)

Koristite Remote Credential Guard(Use Remote Credential Guard) s parametrom za vezu s udaljenom radnom(Remote Desktop) površinom

Ako ne koristite pravila grupe(Group Policy) u svojoj organizaciji, možete dodati parametar remoteGuard kada pokrenete vezu s udaljenom radnom površinom(Desktop Connection) da biste uključili Remote Credential Guard za tu vezu.

mstsc.exe /remoteGuard

Stvari koje trebate imati na umu kada koristite Remote Credential Guard

  1. Remote Credential Guard ne može se koristiti za povezivanje s uređajem koji je pridružen Azure Active Directoryju(Azure Active Directory) .
  2. Remote Desktop Credential Guard radi samo s RDP protokolom.
  3. Remote Credential Guard ne uključuje zahtjeve za uređaje. Na primjer, ako pokušavate pristupiti datotečnom poslužitelju s daljine, a poslužitelj datoteka zahtijeva zahtjev za uređajem, pristup će biti odbijen.
  4. Poslužitelj i klijent moraju se autentificirati pomoću Kerberosa(Kerberos) .
  5. Domene moraju imati odnos povjerenja ili i klijent i poslužitelj moraju biti spojeni na istu domenu.
  6. Remote Desktop Gateway nije kompatibilan sa Remote Credential Guard .
  7. Na ciljni uređaj ne propuštaju se vjerodajnice. Međutim, ciljni uređaj i dalje sam stječe Kerberos servisne (Kerberos Service) karte(Tickets) .
  8. Na kraju, morate koristiti vjerodajnice korisnika koji je prijavljen na uređaj. Korištenje spremljenih vjerodajnica ili vjerodajnica koje se razlikuju od vaših nije dopušteno.

Više o tome možete pročitati na Technetu(Technet) .

Povezano(Related) : Kako povećati broj veza s udaljenom radnom površinom(increase the number of Remote Desktop Connections) u sustavu Windows 10.



Sara Modrić

About the author

Ja sam stručnjak za korisničku podršku za Windows 10/11/10 s više od 5 godina iskustva. Također sam strastveni igrač posljednjih nekoliko godina i snažno me zanima xbox One. Moj trenutni fokus je pomaganje korisnicima s problemima koje imaju sa svojim Windows 10 ili Windows 11 sustavima, često kroz korištenje naših alata za korisničku podršku, kao što je podrška pozivnog centra i online pomoć.


Related posts