Všetci používatelia systémových administrátorov majú jednu skutočnú starosť - zabezpečenie poverení cez pripojenie k vzdialenej pracovnej ploche. Je to preto, že škodlivý softvér môže nájsť cestu k akémukoľvek inému počítaču cez pripojenie k počítaču a môže predstavovať potenciálnu hrozbu pre vaše údaje. Z tohto dôvodu systém Windows OS blikne upozornenie "Uistite sa, že dôverujete tomuto počítaču, pripojenie k nedôveryhodnému počítaču môže poškodiť váš počítač", keď sa pokúsite pripojiť k vzdialenej ploche. V tomto príspevku uvidíme, ako Vzdialená ochrana poverení, ktorý bol zavedený v roku 2006 Windows 10 v1607, môže pomôcť chrániť prihlasovacie údaje vzdialenej pracovnej ploche Windows 10 Enterprise a Windows Server 2016.
Vzdialená ochrana pred poverením v systéme Windows 10
Táto funkcia je navrhnutá tak, aby eliminovala hrozby predtým, ako sa vyvinie do vážnej situácie. Pomáha vám chrániť svoje poverenia cez pripojenie vzdialenej pracovnej plochy presmerovaním Kerberos žiada späť na zariadenie, ktoré požaduje spojenie. Poskytuje tiež skúsenosti s jednoduchým prihlásením pre relácie vzdialenej pracovnej plochy.
V prípade nejakého nešťastia, pri ktorom je cieľové zariadenie ohrozené, poverenie používateľa nie je vystavené, pretože poverenia a poverenia nie sú nikdy odoslané do cieľového zariadenia.
Jednotlivec môže použiť funkciu Remote Credential Guard v nasledujúcich spôsoboch -
- Keďže poverenia správcu sú vysoko privilegované, musia byť chránené. Pomocou služby Remote Sensitive Guard môžete byť istí, že vaše poverenia sú chránené, pretože nepovoľujú prihlasovacie údaje prechádzajúcej sieti do cieľového zariadenia.
- Zamestnanci Helpdesku vo vašej organizácii sa musia pripojiť k zariadeniam pripojeným k doméne, ktoré by mohli byť ohrozené. Pomocou služby Remote Sensitive Guard môže zamestnanec helpdesku použiť službu RDP na pripojenie k cieľovému zariadeniu bez toho, aby ohrozil svoje poverenia voči škodlivému softvéru.
Požiadavky na hardvér a softvér
Ak chcete umožniť hladké fungovanie nástroja Remote Sensitive Guard, zabezpečte, aby boli splnené nasledujúce požiadavky klientov a servera vzdialenej pracovnej plochy.
- Klient a server vzdialenej pracovnej plochy musia byť pripojené k doméne služby Active Directory
- Obe zariadenia sa musia pripojiť k rovnakej doméne alebo server Vzdialená plocha musí byť pripojený k doméne s dôveryhodným vzťahom k doméne klientskych zariadení.
- Autentizácia Kerberos mala byť povolená.
- Klient vzdialenej pracovnej plochy musí mať aspoň Windows 10, verziu 1607 alebo Windows Server 2016.
- Aplikácia Platforma platformy Windows pre vzdialenú plochu nepodporuje funkciu Remote Sensitive Guard tak, že používate klasickú aplikáciu Windows pre vzdialenú pracovnú plochu.
Povolenie ochrany vzdialeného poverenia prostredníctvom databázy Registry
Ak chcete povoliť službu Remote Sensitive Guard na cieľovom zariadení, otvorte Editor databázy Registry a prejdite na nasledujúci kľúč:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Pridajte novú hodnotu DWORD s názvom DisableRestrictedAdmin, Nastavte hodnotu tohto nastavenia databázy Registry na hodnotu 0 zapnúť funkciu Remote Sensitive Guard.
Zatvorte Editor databázy Registry.
Povolenie vzdialenej poverenia môžete povoliť spustením nasledujúceho príkazu zo zvýšeného CMD:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Zapnite službu Remote Sensitive Guard pomocou skupinovej politiky
Na klientskom zariadení je možné použiť funkciu Remote Credential Guard nastavením zásad skupiny alebo použitím parametra s pripojením vzdialenej pracovnej plochy.
V konzole Správa zásad skupiny prejdite na položku Konfigurácia počítača> Šablóny pre správu> Systém> Delegácia poverení.
Teraz dvakrát kliknite Obmedziť delegovanie poverení na vzdialené servery otvoriť jeho pole Vlastnosti.
Teraz v Použite nasledujúci reštrikčný režim box, vyberte Vyžadovať vzdialené poverenie poverení. Druhá možnosť Režim obmedzeného administrátora je tiež prítomný. Jeho význam spočíva v tom, že keď nemožno použiť službu Remote Credential Guard, použije sa režim Restricted Admin.
V žiadnom prípade však vzdialený modul Credential Guard ani režim obmedzeného administrátora nebudú odosielať poverenia v čistom texte na server vzdialenej pracovnej plochy.
Povoliť službu Remote Guard Guard,Uprednostňujte ochranu vzdialeného poverenia Možnosť.
Kliknite na tlačidlo OK a ukončite konzolu Správa zásad skupiny.
Teraz z príkazového riadku spustite gpupdate.exe / force aby sa zabezpečilo, že sa použije objekt Zásady skupiny.
Použite ochranu vzdialeného poverenia s parametrom na pripojenie k vzdialenej ploche
Ak vo vašej organizácii nepoužívate Zásady skupiny, pri spustení pripojenia k vzdialenej pracovnej ploche môžete pridať parameter RemoteGuard, aby ste pre toto pripojenie zapli Remote Guard Guard.
mstsc.exe /remoteGuard
Veci, ktoré by ste mali mať na pamäti pri používaní funkcie Remote Sensitive Guard
- Remote Remote Credential Guard sa nedá použiť na pripojenie k zariadeniu, ktoré je pripojené k službe Azure Active Directory.
- Funkcia GuardCard Guard vzdialenej ploche funguje len s protokolom RDP.
- Remote Guard Credential neobsahuje nároky na zariadenie. Ak sa napríklad pokúsite získať prístup k súborovému serveru zo vzdialeného servera a súborový server vyžaduje požiadavku na zariadenie, prístup bude zamietnutý.
- Server a klient sa musia overiť pomocou protokolu Kerberos.
- Domény musia mať dôveryhodný vzťah alebo klient a server musia byť pripojené k rovnakej doméne.
- Brána vzdialenej pracovnej plochy nie je kompatibilná s funkciou Remote Sensitive Guard.
- K cieľovému zariadeniu nie sú vynechané žiadne poverenia. Cieľové zariadenie však stále získava samotné Kerberos servisné lístky.
- Nakoniec musíte použiť poverenia používateľa, ktorý je prihlásený do zariadenia. Používanie uložených poverení alebo poverení, ktoré sú odlišné od vášho, nie je povolené.
Viac o tom môžete prečítať v Technet.