Visiem sistēmas administratoru lietotājiem ir viena ļoti patiesa problēma - nodrošināt piekļuvi attālās darbvirsmas savienojumam. Tas ir tāpēc, ka ļaunprātīga programmatūra var atrast ceļu uz jebkuru citu datoru, izmantojot darbvirsmas savienojumu, un potenciāli apdraud jūsu datus. Tāpēc, mēģinot izveidot savienojumu ar attālo darbvirsmu, Windows operētājsistēma mirgo brīdinājumam "Pārliecinieties, vai uzticaties šim datoram, savienojums ar neuzticamu datoru var kaitēt jūsu datoram". Šajā amatā mēs redzēsim, kā Tālvadības kredītvēsture iezīme, kas tika ieviesta 2007 Windows 10 v1607, var palīdzēt aizsargāt attālās darbvirsmas akreditācijas datus Windows 10 Enterprise un Windows Server 2016.
Remote Credential Guard sistēmā Windows 10
Šī funkcija ir paredzēta, lai novērstu draudus, pirms tā kļūst par nopietnu situāciju. Tas palīdz aizsargāt jūsu akreditācijas datus, izmantojot Remote Desktop savienojumu, novirzot Kerberos pieprasa atpakaļ ierīcei, kas pieprasa savienojumu. Tā nodrošina arī vienotas pierakstīšanās pieredzi attālās darbvirsmas sesijās.
Gadījumā, ja tiek apdraudēta mērķa ierīces nelaime, lietotāja akreditācijas dati nav pakļauti, jo gan atvasinātie kredītiestādes, gan akreditācijas dati nekad netiek nosūtīti uz mērķa ierīci.
Indivīds var izmantot Remote Credential Guard šādos veidos -
- Tā kā administratora akreditācijas dati ir ļoti priviliģēti, tie ir jāaizsargā. Izmantojot Remote Credential Guard, jūs varat būt drošs, ka jūsu akreditācijas dati ir aizsargāti, jo tas neļauj akreditācijas datiem pārsūtīt tīklu uz mērķa ierīci.
- Jūsu uzņēmuma palīdzības dienesta darbiniekiem ir jākontaktējas ar domēnam pievienotajām ierīcēm, kuras var tikt apdraudētas. Izmantojot Remote Credential Guard, palīdzības dienesta darbinieks var izmantot RDP, lai izveidotu savienojumu ar mērķa ierīci, neapdraudot viņu akreditācijas datus ļaunprātīgai programmatūrai.
Aparatūras un programmatūras prasības
Lai nodrošinātu Remote Credential Guard netraucētu darbību, nodrošiniet, lai tiktu izpildītas šādas Remote Desktop klienta un servera prasības.
- Attālās darbvirsmas klients un serveris ir jāpievieno Active Directory domēnam
- Abām ierīcēm ir vai nu jāpievienojas vienam domēnam, vai arī attālās darbvirsmas serverim jābūt saistītam ar domēnu ar uzticības attiecībām ar klienta ierīces domēnu.
- Kerberos autentifikācijai vajadzēja būt iespējotai.
- Attālās darbvirsmas klientam jāuzstāda vismaz Windows 10, versija 1607 vai Windows Server 2016.
- Tālvadības darbvirsmas Universal Windows platformas lietotne neatbalsta Remote Credential Guard, tādēļ izmantojiet Windows lietojumprogrammu Remote Desktop classic.
Iespējot Remote Credential Guard caur reģistru
Lai iespējotu Remote Credential Guard mērķa ierīcē, atveriet reģistra redaktoru un pārejiet uz šo taustiņu:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Pievienot jaunu nosaukumu DWORD DisableRestrictedAdmin. Iestatiet šī reģistra iestatījuma vērtību uz 0 ieslēgt Remote Credential Guard.
Aizveriet reģistra redaktoru.
Jūs varat iespējot Remote Credential Guard, izpildot šādu komandu no paaugstināta CMD:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Ieslēdziet Remote Credential Guard, izmantojot grupas politiku
Klienta ierīcē ir iespējams izmantot Remote Credential Guard, iestatot grupas politiku vai izmantojot parametru ar attālās darbvirsmas savienojumu.
No grupas politikas pārvaldības konsoles pārejiet uz Datora konfigurēšana> Administratīvās veidnes> Sistēma> Kvalifikācijas deleģēšana.
Tagad veiciet dubultklikšķi uz Ierobežot pilnvaru deleģēšanu attālajiem serveriem lai atvērtu tā rekvizītu lodziņu.
Tagad tev Izmantojiet šādu ierobežotu režīmu kastē, izvēlieties Pieprasīt tālvadības kredītvēsturi. Otra iespēja Ierobežots administrēšanas režīms ir arī klāt. Tās nozīme ir tāda, ka, ja Remote Kredential Guard nevar izmantot, tā izmantos ierobežotā administratora režīmu.
Jebkurā gadījumā nedz Remote Credential Guard, nedz ierobežotais administrēšanas režīms attālo tekstu nosūta attālās darbvirsmas serverim.
Atļaut tālvadības kredītvēcei, izvēloties "Priekšroka Remote Credential Guard"Variants.
Noklikšķiniet uz Labi un iziet no grupas politikas pārvaldības konsoles.
Tagad no komandu uzvednes palaidiet gpupdate.exe / force lai nodrošinātu, ka tiek piemērots grupas politikas mērķis.
Izmantojiet Remote Credential Guard ar parametru attālās darbvirsmas savienojumam
Ja neizmantojat grupas politiku savā organizācijā, tad, kad startējat attālās darbvirsmas savienojumu, varat pievienot attālā parametra parametru remoteGuard, lai šim savienojumam ieslēgtu Remote Credential Guard.
mstsc.exe /remoteGuard
Lietas, kas jāpatur prātā, izmantojot Remote Credential Guard
- Remote Credential Guard nevar izmantot, lai izveidotu savienojumu ar ierīci, kas ir pievienota Azure Active Directory.
- Remote Desktop Credential Guard darbojas tikai ar RDP protokolu.
- Remote Credential Guard neietver pretenzijas par ierīcēm. Piemēram, ja mēģināt piekļūt failu serverim no attālās ierīces, un faila serverim ir nepieciešama ierīces pretenzija, piekļuve tiks liegta.
- Serverim un klientam ir jāapstiprina, izmantojot Kerberos.
- Domēnam jābūt uzticības attiecībām, vai arī klientam un serverim jābūt saistītam ar to pašu domēnu.
- Remote Desktop Gateway nav saderīgs ar Remote Credential Guard.
- Nav mērķa ierīcē noplūdes. Tomēr mērķa ierīce pati par sevi iegūst Kerberos pakalpojumu biļetes.
- Visbeidzot, jums ir jāizmanto lietotāja, kurš ir pieteicies ierīcē, akreditācijas dati. Nav atļauts izmantot saglabātos akreditācijas datus vai akreditācijas datus, kas atšķiras no jūsu.
Jūs varat uzzināt vairāk par to Technet vietnē.
