У всех пользователей системных администраторов есть одна настоящая проблема - защита учетных данных через подключение к удаленному рабочему столу. Это связано с тем, что вредоносное ПО может найти путь к любому другому компьютеру через подключение к рабочему столу и представлять потенциальную угрозу для ваших данных. Вот почему ОС Windows мигает предупреждением «Убедитесь, что вы доверяете этому компьютеру, подключив его к ненадежному компьютеру, может повредить ПК», когда вы пытаетесь подключиться к удаленному рабочему столу. В этом посте мы увидим, как Удаленная защита учетных данных функции, которая была введена в Windows 10 v1607, может помочь защитить учетные данные удаленного рабочего стола в Windows 10 Enterprise а также Windows Server 2016.
Удаленная защита учетных записей в Windows 10
Эта функция предназначена для устранения угроз до того, как она превратится в серьезную ситуацию. Он помогает защитить ваши учетные данные через подключение к удаленному рабочему столу, перенаправляя Kerberos обращается к устройству, запрашивающему соединение. Он также обеспечивает единый вход для сеансов удаленного рабочего стола.
В случае любого несчастья, когда целевое устройство скомпрометировано, учетные данные пользователя не отображаются, поскольку как учетные данные, так и учетные данные никогда не отправляются на целевое устройство.
Человек может использовать Remote Credential Guard следующими способами:
- Поскольку учетные данные администратора являются высокоприоритетными, они должны быть защищены. Используя Remote Credential Guard, вы можете быть уверены, что ваши учетные данные защищены, поскольку они не позволяют учетным данным передавать по сети на целевое устройство.
- Сотрудники службы поддержки в вашей организации должны подключаться к подключенным к домену устройствам, которые могут быть скомпрометированы. С помощью Remote Credential Guard сотрудник службы поддержки может использовать RDP для подключения к целевому устройству без ущерба для их учетных данных для вредоносного ПО.
Требования к оборудованию и программному обеспечению
Чтобы обеспечить бесперебойную работу службы Remote Credential Guard, убедитесь в соблюдении следующих требований клиента и сервера удаленного рабочего стола.
- Клиент и сервер удаленного рабочего стола должны быть присоединены к домену Active Directory
- Оба устройства должны либо подключаться к одному домену, либо сервер удаленного рабочего стола должен быть присоединен к домену с доверительным отношением к домену клиентского устройства.
- Аутентификация Kerberos должна быть включена.
- Клиент Remote Desktop должен работать как минимум в Windows 10, версии 1607 или Windows Server 2016.
- Приложение Remote Desktop Universal Windows Platform не поддерживает Remote Credential Guard, поэтому используйте классическое приложение Windows для Windows.
Включить защиту удаленных учетных записей через реестр
Чтобы включить Remote Credential Guard на целевом устройстве, откройте редактор реестра и перейдите к следующему ключу:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Добавьте новое значение DWORD с именем DisableRestrictedAdmin, Задайте значение этого параметра реестра: 0 для включения защиты от удаленных учетных данных.
Закройте редактор реестра.
Вы можете включить Remote Credential Guard, выполнив следующую команду с повышенным CMD:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Включите защиту от удаленных учетных записей с помощью групповой политики
На клиентском устройстве можно использовать Remote Credential Guard, установив групповую политику или используя параметр с подключением к удаленному рабочему столу.
В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера> Административные шаблоны> Система> Делегирование полномочий.
Теперь дважды щелкните Ограничить передачу учетных данных удаленным серверам чтобы открыть его окно свойств.
Теперь в Используйте следующий ограниченный режим поле, выберите Требуется защита от удаленных учетных данных. Другой вариант Режим ограниченного администратора также присутствует. Его значение заключается в том, что, когда Remote Credential Guard не может использоваться, он будет использовать режим ограниченного администратора.
В любом случае ни режим Remote Credential Guard, ни режим «Ограниченный администратор» не отправят учетные данные в текстовом виде на сервер удаленного рабочего стола.
Разрешить удаленный учетный учет, выбрав Предпочитайте защиту от удаленных учетных записей'.
Нажмите «ОК» и выйдите из консоли управления групповыми политиками.
Теперь из командной строки запустите gpupdate.exe / force для обеспечения применения объекта групповой политики.
Используйте Remote Credential Guard с параметром для подключения к удаленному рабочему столу
Если вы не используете групповую политику в своей организации, вы можете добавить параметр remoteGuard при запуске подключения к удаленному рабочему столу, чтобы включить Remote Credential Guard для этого подключения.
mstsc.exe /remoteGuard
Что вы должны иметь в виду при использовании Remote Credential Guard
- Remote Credential Guard не может использоваться для подключения к устройству, которое подключено к Azure Active Directory.
- Защита учетных записей удаленных рабочих столов работает только с протоколом RDP.
- Remote Credential Guard не включает в себя требования к устройствам. Например, если вы пытаетесь получить доступ к файловому серверу с удаленного устройства, а файловому серверу требуется требование устройства, доступ будет отклонен.
- Сервер и клиент должны аутентифицироваться с использованием Kerberos.
- Домены должны иметь доверительные отношения, или как клиент, так и сервер должны быть присоединены к одному домену.
- Удаленный рабочий стол Gateway не совместим с Remote Credential Guard.
- Никакие учетные данные не просачиваются на целевое устройство. Однако целевое устройство по-прежнему приобретает Билеты службы Kerberos самостоятельно.
- Наконец, вы должны использовать учетные данные пользователя, который зарегистрировался на устройстве. Использование сохраненных учетных данных или учетных данных, отличных от ваших, не разрешено.
Вы можете узнать больше об этом в Technet.
