Pengawal Kredensial Jauh melindungi kelayakan Desktop Jauh

Semua pengguna sistem pentadbir mempunyai keprihatinan yang sangat tulen - menjamin kelayakan melalui sambungan Desktop Jauh. Ini kerana malware boleh menemui cara mereka ke komputer lain melalui sambungan desktop dan menimbulkan ancaman yang berpotensi terhadap data anda. Itulah sebabnya Windows OS memancarkan amaran "Pastikan anda mempercayai PC ini, menyambung ke komputer yang tidak dipercayai mungkin membahayakan PC anda" apabila anda cuba menyambung ke desktop jauh. Di dalam siaran ini, kami akan melihat bagaimana ciri Pengawal Kredensial Jauh yang telah diperkenalkan di Windows 10 v1607, boleh membantu melindungi kelayakan desktop jauh di Windows 10 Enterprise dan Windows Server 2016 .

Pengawal Kredensial Jauh di Windows 10

Ciri ini direka untuk menghapuskan ancaman sebelum ia berkembang menjadi keadaan yang serius. Ini membantu anda melindungi kelayakan anda melalui sambungan Desktop Jauh dengan mengalihkan permintaan Kerberos kembali ke peranti yang meminta sambungan.

Sekiranya berlaku sebarang kemalangan di mana peranti sasaran dikompromikan, kelayakan pengguna tidak didedahkan kerana kedua-dua derivatif kelayakan dan kelayakan tidak pernah dihantar ke peranti sasaran.

Modus operandi Pengawal Kredensial Jauh sangat mirip dengan perlindungan yang ditawarkan oleh Pengawal Kredensial pada mesin tempatan kecuali Pengawal Kredensial juga melindungi kredensial domain tersimpan melalui Pengurus Kredensial

. Seorang individu boleh menggunakan Pengawal Kredensial Jauh di dalam berikut cara-

1. Oleh kerana kelayakan Administrator sangat istimewa, mereka mesti dilindungi. Dengan menggunakan Pengawal Kredensial Jauh, anda boleh yakin bahawa kelayakan anda dilindungi kerana ia tidak membenarkan kelayakan untuk melewati rangkaian ke peranti sasaran.
2. Pekerja bantuan di organisasi anda mesti bersambung ke peranti gabungan domain yang boleh dikompromikan. Dengan Pengawal Kredensial Jauh, pekerja meja bantuan boleh menggunakan RDP untuk menyambung ke peranti sasaran tanpa mengorbankan kelayakan mereka untuk malware.

Keperluan perkakasan dan perisian

Untuk mengaktifkan fungsi lancar Pengawal Kredensial Jauh, pastikan keperluan berikut Remote Pelanggan dan server Desktop terpenuhi.

1. Pelanggan dan pelayan Desktop Jauh mesti disambungkan ke domain Direktori Aktif
2. Kedua-dua peranti mesti sama dengan domain yang sama, atau pelayan Desktop Jauh harus disatukan ke domain dengan
3. Pengesahan Kerberos sepatutnya telah diaktifkan
4. Pelanggan Desktop Jauh mesti menjalankan sekurang-kurangnya Windows 10, versi 1607 atau Windows Server 2016.
5. Platform Windows Universal Desktop Jauh aplikasi tidak menyokong Pengawal Kredensial Jauh, menggunakan aplikasi Windows Remote Windows Remote.

Mengaktifkan Pengawal Kredensial Jauh melalui Pendaftaran

Untuk mendayakan Pengawal Kredensial Jauh pada peranti sasaran, buka Re Editor Gistry dan pergi ke kekunci berikut:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Tambah nilai DWORD yang baru bernama DisableRestrictedAdmin . Tetapkan nilai penetapan registri ini kepada 0 untuk menghidupkan Pengawal Kredensial Jauh

Tutup Editor Registry.

Anda boleh mengaktifkan Pengawal Kredensial Jauh dengan menjalankan perintah berikut dari CMD tinggi:

reg tambah HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Hidupkan Pengawal Kredensial Jauh dengan menggunakan Dasar Kumpulan

Boleh menggunakan Pengawal Kredensial Jauh pada peranti klien oleh menetapkan Dasar Kumpulan atau menggunakan parameter dengan Sambungan Desktop Jauh

Dari Konsol Pengurusan Dasar Kumpulan, arahkan ke Konfigurasi Komputer> Templat Pentadbiran> Sistem> Perwakilan Kelayakan

Sekarang, klik dua kali Hadkan delegasi kredensial ke pelayan jauh untuk membuka kotak Properties.

Sekarang dalam Gunakan kotak yang dibatasi berikut, pilih Memerlukan Pengawal Kredensial Jauh. Pilihan lain Mod Admin Terhad juga ada. Kepentingannya ialah apabila Pengawal Pengawal Jauh Jauh tidak boleh digunakan, ia akan menggunakan mod Admin Terbatas.

Dalam sebarang kes, Pengawal Kredensial Jauh atau mod Admin Terhad tidak akan menghantar kredensial dalam teks yang jelas ke pelayan Desktop Jauh

Benarkan Klik OK dan keluar dari Konsol Pengurusan Dasar Kumpulan Sekarang, dari command prompt, jalankan

gpupdate.exe / force

untuk memastikan objek Kebijakan Grup diterapkan. Gunakan Pengawal Kredensial Jauh dengan parameter untuk Koneksi Desktop Jauh Jika Anda tidak menggunakan Kebijakan Kumpulan di organisasi Anda, Anda dapat menambahkan parameter remoteGuard apabila anda memulakan Sambungan Desktop Jauh untuk menghidupkan Pengawal Kredensial Jauh untuk sambungan itu

mstsc.exe / remoteGuard

Perkara yang perlu diingat apabila menggunakan Pengawal Kredensial Jauh

Pengawal Kredensial Jauh tidak boleh digunakan untuk menyambung ke sebuah peranti yang disertai dengan Active Directory Azure.

Remo Pengawal Kredibiliti Desktop hanya berfungsi dengan protokol RDP.

1. Pengawal Kredensial Jauh tidak termasuk tuntutan peranti. Sebagai contoh, jika anda cuba mengakses pelayan fail dari jauh dan pelayan fail memerlukan tuntutan peranti, akses akan dinafikan.
2. Server dan klien mesti mengesahkan menggunakan Kerberos.
3. Domain mesti mempunyai amanah hubungan, atau kedua-dua klien dan pelayan mesti disambungkan ke domain yang sama.
4. Gateway Desktop Jauh tidak serasi dengan Pengawal Kredensial Jauh.
5. Tiada bukti kelayakan yang dibocorkan ke peranti sasaran. Walau bagaimanapun, peranti sasaran masih memperoleh Tiket Kerberos Service sendiri.
6. Terakhir, anda mesti menggunakan kelayakan pengguna yang masuk ke peranti. Menggunakan kelayakan atau kelayakan yang disimpan yang berbeza daripada anda tidak dibenarkan.
7. Anda boleh membaca lebih lanjut mengenai ini di Technet.