Remote Credential Guard beveiligt Remote Desktop-inloggegevens in Windows 10
Alle gebruikers van systeembeheerders hebben een zeer oprechte zorg - het beveiligen van inloggegevens via een verbinding met een extern bureaublad. Dit komt omdat malware via de desktopverbinding op elke andere computer terecht kan komen en een potentiële bedreiging kan vormen voor uw gegevens. Daarom knippert in Windows OS de waarschuwing "Zorg dat u deze pc vertrouwt en maak verbinding met een niet-vertrouwde computer mogelijk schadelijk voor uw pc" wanneer u verbinding probeert te maken met een extern bureaublad. In dit bericht zullen we zien hoe het Remote Credential Guard functie, die is ingevoerd in Windows 10 v1607, kan de externe desktopreferenties helpen beschermen Windows 10 Enterprise en Windows Server 2016.
Remote Credential Guard in Windows 10
De functie is ontworpen om bedreigingen te elimineren voordat deze zich ontwikkelt tot een ernstige situatie. Het helpt u uw inloggegevens te beschermen via een Remote Desktop-verbinding door de Kerberos vraagt terug naar het apparaat dat de verbinding aanvraagt. Het biedt ook single-sign-on-ervaringen voor Remote Desktop-sessies.
In het geval van een ongeluk waarbij het doelapparaat is gecompromitteerd, worden de legitimatiegegevens van de gebruiker niet zichtbaar omdat zowel referentie- als referentie-derivaten nooit naar het doelapparaat worden verzonden.
De modus operandi van Remote Credential Guard lijkt sterk op de bescherming die Credential Guard op een lokale computer biedt, behalve Credential Guard beschermt ook opgeslagen domeinreferenties via de Credential Manager.
Een persoon kan Remote Credential Guard op de volgende manieren gebruiken-
- Omdat beheerdersreferenties zeer bevoorrecht zijn, moeten ze worden beschermd. Door Remote Credential Guard te gebruiken, kunt u er zeker van zijn dat uw referenties worden beschermd, omdat het niet toestaat dat referenties het netwerk doorgeven aan het doelapparaat.
- Helpdeskmedewerkers in uw organisatie moeten verbinding maken met apparaten die op het domein zijn aangesloten en in gevaar kunnen worden gebracht. Met Remote Credential Guard kan de helpdeskmedewerker RDP gebruiken om verbinding te maken met het doelapparaat zonder hun legitimatiegegevens te schaden.
Hardware- en softwarevereisten
Om de goede werking van de Remote Credential Guard te vergemakkelijken, moet u ervoor zorgen dat aan de volgende vereisten van de Remote Desktop-client en server wordt voldaan.
- De Remote Desktop Client en server moeten lid zijn van een Active Directory-domein
- Beide apparaten moeten zijn verbonden met hetzelfde domein of de Extern bureaublad-server moet zijn gekoppeld aan een domein met een vertrouwensrelatie met het domein van het clientapparaat.
- De Kerberos-verificatie moet zijn ingeschakeld.
- De Remote Desktop-client moet ten minste Windows 10, versie 1607 of Windows Server 2016 hebben.
- De Remote Desktop Universal Windows Platform-app biedt geen ondersteuning voor Remote Credential Guard, dus gebruik de klassieke Windows-app Remote Desktop.
Schakel Remote Credential Guard in via Registry
Om Remote Credential Guard op het doelapparaat in te schakelen, opent u de Register-editor en gaat u naar de volgende sleutel:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
Voeg een nieuwe DWORD-waarde toe met de naam DisableRestrictedAdmin. Stel de waarde van deze registerinstelling in 0 om Remote Credential Guard in te schakelen.
Sluit de Register-editor.
U kunt Remote Credential Guard inschakelen door de volgende opdracht uit te voeren vanaf een verhoogde CMD:
reg add HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD
Schakel Remote Credential Guard in met behulp van Groepsbeleid
Het is mogelijk om Remote Credential Guard op het clientapparaat te gebruiken door een groepsbeleid in te stellen of door een parameter te gebruiken met Verbinding met extern bureaublad.
Ga vanuit de Group Policy Management Console naar Computerconfiguratie> Beheersjablonen> Systeem> Delegatie legitimeringen.
Dubbelklik nu Beperk overdracht van referenties naar externe servers om het vak Eigenschappen te openen.
Nu in de Gebruik de volgende beperkte modus vak, kies Vereisen Remote Credential Guard. De andere optie Beperkte Admin-modus is ook aanwezig. Het belang hiervan is dat wanneer Remote Credential Guard niet kan worden gebruikt, het de modus Restricted Admin zal gebruiken.
Hoe dan ook, noch de Remote Credential Guard noch de beperkte Admin-modus verstuurt inloggegevens in duidelijke tekst naar de Remote Desktop-server.
Toestaan voor bewaking op afstand toestaan door te kiezen voor 'Verkies Remote Credential Guard' keuze.
Klik op OK en sluit de Group Policy Management Console.
Nu, vanaf een opdrachtprompt, uitvoeren gpupdate.exe / force om ervoor te zorgen dat het groepsbeleidsobject wordt toegepast.
Gebruik Remote Credential Guard met een parameter voor Remote Desktop Connection
Als u Groepsbeleid niet in uw organisatie gebruikt, kunt u de parameter remoteGuard toevoegen wanneer u Extern bureaublad-verbinding start om Remote Credential Guard in te schakelen voor die verbinding.
mstsc.exe / remoteGuard
Dingen waar u op moet letten bij het gebruik van Remote Credential Guard
- Remote Credential Guard kan niet worden gebruikt om verbinding te maken met een apparaat dat lid is van Azure Active Directory.
- Remote Desktop Credential Guard werkt alleen met het RDP-protocol.
- Remote Credential Guard omvat geen apparaatclaims. Als u bijvoorbeeld probeert toegang te krijgen tot een bestandsserver vanaf de afstandsbediening en de bestandsserver apparaatclaim vereist, wordt toegang geweigerd.
- De server en client moeten worden geverifieerd met Kerberos.
- De domeinen moeten een vertrouwensrelatie hebben, of zowel de client als de server moeten lid zijn van hetzelfde domein.
- Remote Desktop Gateway is niet compatibel met Remote Credential Guard.
- Er worden geen referenties naar het doelapparaat gelekt. Het doelapparaat verkrijgt echter nog steeds alleen de Kerberos-servicetickets.
- Ten slotte moet u de referenties gebruiken van de gebruiker die op het apparaat is aangemeld. Het gebruik van opgeslagen referenties of inloggegevens die verschillen van de uwe zijn niet toegestaan.