Svi korisnici administratora sustava imaju vrlo ozbiljnu zabrinutost - osiguranje vjerodajnica putem veze s udaljenom radnom površinom. To je zato što zlonamjerni softver može pronaći put do bilo kojeg drugog računala preko veze s računalom i predstavljati potencijalnu prijetnju vašim podacima. Zato Windows OS trepće upozorenje "Pazite da imate povjerenja u ovo računalo, povezivanje s nepouzdanim računalom može naštetiti vašem računalu" kada se pokušate povezati s udaljenom radnom površinom. U ovom postu vidjet ćemo kako Daljinska vjerodostojna zaštita značajka, koja je uvedena u Windows 10 v1607, može pomoći u zaštiti vjerodajnica za udaljenu radnu površinu Windows 10 Enterprise i Windows Server 2016.
Daljinsko vjerodostojanstvena zaštita u sustavu Windows 10
Značajka je dizajnirana da eliminira prijetnje prije nego što se razvije u ozbiljnu situaciju. Ona vam pomaže zaštititi svoje vjerodajnice preko veze s udaljenom radnom površinom preusmjeravanjem Kerberos zahtijeva natrag na uređaj koji zahtijeva vezu. Također pruža iskustva s jednom prijavom za sesije udaljene radne površine.
U slučaju bilo kakve nesreće u kojoj je ciljni uređaj ugrožen, vjerodajnice korisnika nisu izložene jer se oba vjerodajnička i vjerodajnička izvedba nikad ne šalju na ciljni uređaj.
Pojedinac može koristiti Remote Credential Guard na sljedeće načine -
- Budući da su administratorske vjerodajnice izuzetno privilegirane, one moraju biti zaštićene. Korištenjem Remote Credential Guard, možete biti sigurni da su vaše vjerodajnice zaštićene jer ne dopušta vjerodajnicama da prenesu mrežu na ciljni uređaj.
- Zaposlenici Helpdesk u vašoj organizaciji moraju se povezati s uređajima koji su povezani s domenom i mogu biti ugrožena. Pomoću Remote Credential Guard, zaposlenik za pomoć u helpdesku može koristiti RDP za povezivanje s ciljanim uređajem bez ugrožavanja vjerodajnica na zlonamjerni softver.
Zahtjevi za hardver i softver
Da biste omogućili glatko funkcioniranje Remote Credential Guard, osigurajte da su zadovoljeni sljedeći zahtjevi za klijentsku i poslužiteljsku udaljenu radnu površinu.
- Klijent i poslužitelj udaljene radne površine moraju biti pridruženi domeni Active Directory
- Oba uređaja moraju se pridružiti istoj domeni ili se poslužitelj udaljene radne površine mora pridružiti domeni s povjerenjem na domenu uređaja klijenta.
- Potrebno je omogućiti autorizaciju Kerberos.
- Klijent Remote Desktop mora imati najmanje Windows 10, verziju 1607 ili Windows Server 2016.
- Aplikacija Universal Desktop Platform za Remote Desktop ne podržava Remote Credential Guard, tako da koristite klasičnu Windows aplikaciju Remote Desktop.
Omogući daljinsko vjerodostojnost podataka putem registra
Da biste omogućili Remote Credential Guard na ciljnom uređaju, otvorite Registry Editor i idite na sljedeći ključ:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Dodajte novu DWORD vrijednost pod nazivom DisableRestrictedAdmin, Postavite vrijednost ove postavke registra u 0 uključiti Remote Credential Guard.
Zatvorite Registry Editor.
Možete omogućiti udaljeni vjerodostojni časnik tako da pokrenete sljedeću naredbu s povišenog CMD-a:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Uključite Remote Credential Guard pomoću pravila grupe
Moguće je koristiti Remote Credential Guard na klijentskom uređaju postavljanjem pravila grupe ili pomoću parametra s priključkom Remote Desktop.
S konzole za upravljanje grupnim politikama, idite na Konfiguracija računala> Administrativni predlošci> Sustav> Delegacija vjerodajnica.
Sada dvaput kliknite Ograničenje delegiranja vjerodajnica na udaljenim poslužiteljima da biste otvorili okvir Svojstva.
Sada u Koristite sljedeći način ograničavanja kutija, odaberite Zahtijevajte daljinsku vjerodostojnu zaštitu. Druga opcija Ograničeni način admin također je prisutan. Njegovo je značenje da kada se Remote Credential Guard ne može koristiti, koristi se Restricted Admin način rada.
U svakom slučaju, niti Daljinsko vjerodostojanstvena zaštita ni način rada s ograničenim administratorom neće poslati vjerodajnice u jasan tekst poslužitelju udaljene radne površine.
Dopusti Daljinsko vjerodostojnu zaštitu, odabirom Preferiraju Remote Credential Guard'Opciju.
Kliknite U redu i zatvorite konzolu za upravljanje pravilima grupe.
Sada, iz naredbenog retka, pokrenite gpupdate.exe / sila kako bi se osiguralo da se primjenjuje objekt grupe pravila.
Koristite Daljinsku vjerodostojnu bilježnicu s parametrom za povezivanje s udaljenom radnom površinom
Ako ne upotrebljavate pravila grupe u svojoj organizaciji, možete dodati parametar remoteGuard kada pokrenete vezu s udaljenom radnom površinom kako biste uključili Remote Credential Guard za tu vezu.
mstsc.exe /remoteGuard
Stvari koje trebate imati na umu prilikom korištenja Remote Credential Guard
- Remote Credential Guard ne može se koristiti za povezivanje s uređajem koji je pridružen Azure Active Directoryu.
- Zaporka za udaljene radne površine funkcionira samo s RDP protokolom.
- Daljinska vjerodostojna zaštita ne uključuje zahtjeve za uređaj. Na primjer, ako pokušavate pristupiti datotečnom poslužitelju s daljinskog upravljača, a poslužitelj datoteka zahtijeva zahtjev za uređaj, pristup će biti odbijen.
- Poslužitelj i klijent moraju autentificirati pomoću Kerberosa.
- Domene moraju imati odnos povjerenja ili moraju biti povezani i klijent i poslužitelj na istu domenu.
- Remote Desktop Gateway nije kompatibilan s Remote Credential Guard.
- Nijedan vjerodajnica nije procurila na ciljni uređaj. Međutim, ciljni uređaj i dalje samostalno stječe Kerberos servisnu kartu.
- Na kraju, morate upotrebljavati vjerodajnice korisnika koji je prijavljen na uređaj. Korištenje spremljenih vjerodajnica ili vjerodajnica koje se razlikuju od vaše nije dopušteno.
Više o ovome možete pročitati na Technetu.
