Visi sistemos administratorių naudotojai turi vieną iš tikrųjų susirūpinimą - užtikrina prisijungimo prie nuotolinio darbalaukio įgaliojimus. Taip yra todėl, kad kenkėjiška programa gali rasti kelią bet kuriam kitam kompiuteriui per darbalaukio ryšį ir kelti potencialią grėsmę jūsų duomenims. Štai kodėl bandydami prisijungti prie nuotolinio darbalaukio Windows OS mirksi įspėjimas "Įsitikinkite, kad pasitikite šiuo kompiuteriu, prisijungdami prie nepatikimo kompiuterio gali pakenkti jūsų asmeniniam kompiuteriui". Šiame pranešime mes pamatysime kaip Nuotolinė kvalifikacinė globa funkcija, kuri buvo įdiegta 2007 m "Windows 10 v1607", gali padėti apsaugoti nuotolinio kompiuterio įgaliojimus " Windows 10 Enterprise" ir " Windows Server 2016".
Nuotolinis kreditorių saugumas sistemoje "Windows 10"
Ši funkcija skirta pašalinti grėsmes, kol ji pasireiškia rimta situacija. Tai padeda apsaugoti jūsų prisijungimo duomenis nuotolinio darbalaukio ryšiu peradresuojant Kerberos prašo atgal į įrenginį, kuris prašo prisijungti. Tai taip pat suteikia vieno prisijungimo nuotolinio darbalaukio sesijų patirtį.
Bet kokios nelaimės atveju, kai nukreiptas prietaisas yra pažeistas, vartotojo akreditacijos duomenys yra nepasiekiami, nes tiek kredencialų, tiek kredencialų išvestinės priemonės niekuomet nėra siunčiamos į tikslinį įrenginį.
Asmuo gali naudoti nuotolinę kvalifikacinę apsaugą šiais būdais:
- Kadangi administratoriaus įgaliojimai yra labai privilegijuoti, jie turi būti apsaugoti. Naudodamiesi Remote Credential Guard, galite būti tikri, kad jūsų kredencialai yra apsaugoti, nes jie neleidžia įgaliotaisiais perduoti tinklo į tikslinį įrenginį.
- Jūsų organizacijos "Helpdesk" darbuotojai turi prisijungti prie domeno prijungtų įrenginių, kurie gali būti pažeisti. Naudodamas nuotolinio patikimumo gvardiją, pagalbos tarnybos darbuotojas gali naudoti RDP, kad prisijungtų prie tikslinio įrenginio, nekenkiant jų kredencialams kenkėjiškoms programoms.
Techninės ir programinės įrangos reikalavimai
Norint užtikrinti sklandų nuotolinio patikimumo apsaugą, užtikrinkite, kad būtų įvykdyti šie kliento ir serverio "Remote Desktop" reikalavimai.
- Nuotolinio darbalaukio klientas ir serveris turi būti prijungti prie "Active Directory" domeno
- Abu įrenginiai turi būti sujungti į tą patį domeną arba nuotolinio darbalaukio serveris turi būti prijungtas prie domeno, kurio patikimumo ryšys su kliento įrenginio domenu.
- Kerberos autentifikavimas turėjo būti įjungtas.
- "Remote Desktop" klientas turi veikti bent jau "Windows 10", "1607" versiją ar "Windows Server 2016".
- Nuotolinio darbalaukio "Universal Windows" platformos programa nepalaiko "Remote Credential Guard", todėl naudokite "Remote Desktop Classic" "Windows" programą.
Įjunkite nuotolinę kvalifikacinę apsaugą per registrą
Norint įjungti "Remote Credential Guard" norimą įrenginį, atidarykite registro redaktorių ir eikite į šį raktą:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Pridėti naują vardą DWORD DisableRestrictedAdmin. Nustatykite šio registro parametro vertę į 0 įjungti nuotolinę kvalifikacinę apsaugą.
Uždarykite registro redaktorių.
Galite įjungti nuotolinę kvalifikacinę apsaugą, paleisdami šią komandą iš padidinto CMD:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Įjunkite Remote Credential Guard naudodami grupės politiką
Kliento įrenginyje galima naudoti Remote Credential Guard nustatydami Grupės strategiją arba naudodami parametrą su "Remote Desktop Connection".
Iš "Group Policy Management Console" pereikite prie "Kompiuterio konfigūracija"> "Administravimo šablonai"> "Sistemos> įgaliojimų delegavimas".
Dabar dukart spustelėkite Apriboti įgaliojimų delegavimą į nuotolinius serverius atidaryti jo langelį "Savybės".
Dabar Naudokite šį apribotą režimą langelyje pasirinkite Reikalauti nuotolinio patikimumo apsaugos. Kita galimybė Apribotas administratoriaus režimas taip pat yra. Jos reikšmė yra ta, kad, kai negalima naudoti nuotolinio patikimumo gvardijos, jis naudos riboto administratoriaus režimą.
Bet kokiu atveju nei nuotolinė patikimumo gvardija, nei riboto administravimo režimas neatliekamo teksto duomenis atsiųs nuotolinio darbalaukio serveriui.
Leiskite nuotolinę įsidarbinimo apsaugą, pasirinkdami "Pirmenybė nuotolinio meistriškumo apsaugai"Variantas.
Spustelėkite Gerai ir išeikite iš Grupės politikos valdymo konsolės.
Dabar paleiskite komandų eilutę gpupdate.exe / force siekiant užtikrinti, kad taikomas "Group Policy" objektas.
Naudokite Remote Credential Guard su parametru nuotolinio darbalaukio prijungimui
Jei savo organizacijoje nenaudojate grupės politikos, galite pridėti parametro remoteGuard, kai paleisite nuotolinio darbalaukio ryšį, kad įjungtumėte nuotolinio patikimumo apsaugą.
mstsc.exe /remoteGuard
Ką turėtumėte žinoti, kai naudojate nuotolinę kvalifikacinę apsaugą
- Nuotolinio patikimumo apsaugos negali būti naudojamas prisijungiant prie įrenginio, kuris yra prijungtas prie "Azure Active Directory".
- "Remote Desktop Credential Guard" veikia tik su RDP protokolu.
- Nuotolinio patikimumo gvarde nėra prašymų dėl įrenginių. Pavyzdžiui, jei bandote atidaryti failų serverį iš nuotolinio įrenginio, o failų serveris reikalauja pateikti paraišką dėl įrenginio, prieiga bus atmestas.
- Serveris ir klientas turi autentifikuoti naudojant "Kerberos".
- Domenai turi turėti pasitikėjimo ryšius, arba tiek klientas, tiek serveris turi būti prijungti prie to paties domeno.
- "Remote Desktop Gateway" nėra suderinamas su "Remote Credential Guard".
- Į tikslinį įrenginį nėra nutekėję jokie įgaliojimai. Tačiau tikslinis įrenginys vis dar įsigyja "Kerberos" paslaugų bilietus.
- Galiausiai turite naudoti vartotojo, prisijungusio prie įrenginio, įgaliojimus. Neleidžiama naudoti išsaugotų ar kitokių jūsų kredencialų.
Daugiau apie tai galite sužinoti "Technet".
