Remote Credential Guard מגן על אישורי שולחן עבודה מרוחק

לכל משתמשי מנהלי המערכת יש דאגה מקורית אחת - הבטחת אישורים על חיבור שולחן עבודה מרוחק. הסיבה לכך היא שתוכנות זדוניות יכולות למצוא את דרכן לכל מחשב אחר על גבי חיבור שולחן העבודה ולהוות איום פוטנציאלי על הנתונים שלך. לכן מערכת ההפעלה Windows מהבהבת אזהרה "ודא שאתה בוטח במחשב זה, התחברות למחשב לא מהימן עלולה להזיק למחשב שלך" בעת ניסיון להתחבר לשולחן עבודה מרוחק. במאמר זה נראה כיצד התכונה Remote Credential Guard , אשר הוצגה ב- Windows 10 v1607, יכולה לסייע בהגנה על אישורי שולחן עבודה מרוחקים ב- Windows 10 Enterprise Windows Server 2016

Remote Credential Guard ב- Windows 10

המאפיין נועד לחסל איומים לפני שהוא מתפתח למצב רציני. זה עוזר לך להגן על האישורים שלך על חיבור שולחן עבודה מרוחק על ידי הפניית מחדש של Kerberos בקשות חזרה למכשיר המבקש את החיבור. הוא גם מספק חוויות כניסה יחידה עבור הפעלות של שולחן עבודה מרוחק.

במקרה של כל אסון שבו התקן היעד נמצא בסכנה, אישורי המשתמש אינם חשופים מפני שאשרי האישורים וגם אישורי האישורים אינם נשלחים אל התקן היעד.

אופן הפעולה של משמר Credential Guard דומה מאוד להגנה המוצעת על ידי Credential Guard במחשב מקומי, פרט ל- Credential Guard גם מגן על אישורי תחום מאוחסנים באמצעות מנהל אישורים.

אדם יכול להשתמש ב- Credential Guard בדרכים הבאות:

1. מכיוון שהאישורים של מנהל המערכת הם בעלי זכויות מיוחדות, הם חייבים להיות מוגנים. באמצעות `אישורי Credential Guard` מרחוק, תוכל להיות סמוך ובטוח שהאישורים שלך מוגנים מכיוון שהוא אינו מאפשר אישורים להעביר את הרשת אל התקן היעד.
2. עובדי התמיכה בארגון שלך חייבים להתחבר למכשירים המחוברים לדומיינים שעלולים להיות בסיכון. עם אישורי אישורים מרוחקים, עובד התמיכה יכול להשתמש ב- RDP כדי להתחבר למכשיר היעד מבלי להתפשר על האישורים שלהם לתוכנות זדוניות.

דרישות חומרה ותוכנה

כדי לאפשר תפקוד חלק של המשמר מרחוק, ודא את הדרישות הבאות של Remote Remote לקוח שולחן העבודה והשרת נפגשים.

1. יש לחבר את לקוח שולחן העבודה המרוחק ואת השרת לתחום Active Directory
2. שני ההתקנים חייבים להצטרף לאותו תחום או לשרת Remote Desktop חייב להיות מחובר לתחום עם
3. האימות של Kerberos היה צריך להיות מופעל.
4. לקוח Remote Desktop חייב לפעול לפחות ב- Windows 10, בגירסה 1607 או ב- Windows Server 2016.
5. פלטפורמת Windows Desktop Remote Windows App לא תומך מרחוק Credential המשמר כך, להשתמש מרחוק שולחן העבודה הקלאסי של Windows App.

אפשר משמר אישורים מרחוק באמצעות הרישום

כדי לאפשר משמר Credential מרחוק על התקן היעד, לפתוח Re gistry `ועבור אל המפתח הבא:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

הוסף ערך DWORD חדש בשם DisableRestrictedAdmin . הגדר את הערך של הגדרת רישום זו ל- 0 כדי להפעיל את `משמר אישורים מרוחק`.

סגור את עורך הרישום

באפשרותך להפעיל את `משדר Credential Guard` מרחוק על-ידי הפעלת הפקודה הבאה מתוך CMD מוגבה:

רג להוסיף HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

הפעל את משמר אישורי מרחוק באמצעות מדיניות קבוצתית

ניתן להשתמש ב- Credential Guard מרחוק בהתקן הלקוח על-ידי הגדרת מדיניות קבוצתית או באמצעות פרמטר עם חיבור לשולחן עבודה מרוחק.

מהמסוף לניהול מדיניות קבוצתית, נווט אל תצורת מחשב> תבניות מנהליות> מערכת> אישורי אישורים

כעת, לחץ לחיצה כפולה על הגבל את האישור של השרתים המרוחקים כדי לפתוח את תיבת המאפיינים שלה.

כעת ב- השתמש בתיבה הבאה במצב מוגבל, בחר באפשרות נדרש משמר אישורים מרחוק. האפשרות האחרת מצב מנהל מוגבל קיים גם כן. משמעותו היא שכאשר לא ניתן להשתמש ב- Credential Guard, הוא ישתמש במצב Admin Restricted

בכל מקרה, לא אישורי אישורים מרוחקים או מצב מנהל מוגבל לא ישלחו אישורים בטקסט ברור לשרת Remote Desktop.

Allow משמר אישורים מרחוק, על-ידי בחירה באפשרות ` העדפת האפשרות` אישורי מעבר מרחוק `

לחץ על` אישור `וצא מהמסוף לניהול מדיניות קבוצתית.

כעת, משורת פקודה, הפעל את gpupdate.exe / force כדי לוודא שהאובייקט מדיניות קבוצתית מוחל.

השתמש ב- Remote Credential Guard עם פרמטר כדי חיבור שולחן עבודה מרוחק

אם אינך משתמש במדיניות קבוצתית בארגון, באפשרותך להוסיף את הפרמטר remoteGuard כאשר אתה מפעיל את `חיבור שולחן עבודה מרוחק` כדי להפעיל את `אישורי אישורים מרוחקים` עבור החיבור.

mstsc.exe / remoteGuard

דברים שכדאי לזכור בעת שימוש במשמר אישורים מרוחק

1. לא ניתן להשתמש ב- Guard Credential Guard כדי להתחבר אל התקן שמצורף ל- Azure Active Directory.
2. Remo te Credential Guard פועל רק עם פרוטוקול RDP.
3. Remote Credential Guard אינו כולל תביעות במכשיר. לדוגמה, אם אתה מנסה לגשת לשרת קבצים מהשלט הרחוק ושרת הקבצים דורש תביעת מכשיר, הגישה תידחה.
4. השרת והלקוח חייבים לבצע אימות באמצעות Kerberos.
5. הדומיינים חייבים להיות בעלי אמון מערכת יחסים, או גם הלקוח וגם השרת חייבים להיות מחוברים לאותו דומיין.
6. Remote Desktop Gateway אינו תואם ל- Remote Credential Guard.
7. אישורים לא הודלפו אל התקן היעד. עם זאת, התקן היעד עדיין רוכש את כרטיסי Kerberos Service בכוחות עצמו.
8. לבסוף, עליך להשתמש באישורים של המשתמש שנכנס למכשיר. השימוש באישורים שנשמרו או אישורים שונים משלך אינו מותר.

אתה יכול לקרוא עוד על זה בטקט.