Всички потребители на системни администратори имат една много истинска загриженост - осигуряване на идентификационни данни за връзка с отдалечен работен плот. Това е така, защото злонамереният софтуер може да намери своя път към всеки друг компютър чрез настолната връзка и представлява потенциална заплаха за вашите данни. Ето защо Windows OS мига предупреждение "Уверете се, че имате доверие на този компютър, свързването с ненадежден компютър може да навреди на компютъра ви", когато се опитате да се свържете с отдалечен работен плот. В този пост ще видим как Дистанционен контрол, която е въведена в Windows 10 v1607, може да помогне за защитата на данните от Windows 10 Предприятие и Windows Server 2016.
Дистанционен контрол на разузнаването в Windows 10
Тази функция е предназначена да премахне заплахите, преди да се развие в сериозна ситуация. Той ви помага да защитите вашите данни по време на връзка с отдалечен работен плот, като пренасочите Kerberos иска обратно към устройството, което иска връзката. Той също така осигурява опит за единичен вход за сесии на отдалечен работен плот.
В случай на катастрофа, при която целевото устройство е компрометирано, акредитивите на потребителя не са изложени, защото и деривативните документи, и деривативните документи не се изпращат към целевото устройство.
Едно лице може да използва Remote Guard Guard по следните начини -
- Тъй като пълномощията на администратора са силно привилегировани, те трябва да бъдат защитени. С помощта на функцията за дистанционен контрол на данните можете да бъдете сигурни, че вашите пълномощия са защитени, тъй като не позволяват идентификационните данни да преминават през мрежата към целевото устройство.
- Служителите в Helpdesk във вашата организация трябва да се свързват с свързани устройства, които могат да бъдат компрометирани. С Remote Guard guard, служителят на бюрото за помощ може да използва RDP, за да се свърже с целевото устройство, без да компрометира техните акредитиви към злонамерен софтуер.
Изисквания за хардуер и софтуер
За да позволите гладкото функциониране на Remote Remote Guard Guard, трябва да сте сигурни, че са изпълнени следните изисквания на клиента и сървъра за отдалечен работен плот.
- Клиентът за отдалечен работен плот и сървърът трябва да бъдат свързани към домейн на Active Directory
- И двете устройства трябва или да са свързани към един и същ домейн, или сървърът за отдалечен работен плот трябва да бъде присъединен към домейн с доверие към домейна на клиентското устройство.
- Удостоверяването на Kerberos трябваше да е разрешено.
- Клиентът за отдалечен работен плот трябва да работи поне с Windows 10, версия 1607 или Windows Server 2016.
- Приложението Universal Platform за отдалечен работен плот на Windows не поддържа Remote Guard Guard, така че използвайте класическо приложение за отдалечен работен плот на Windows.
Активирайте дистанционното за защита от разстояние чрез регистъра
За да активирате функцията за дистанционен идентификационен код на целевото устройство, отворете редактора на системния регистър и отидете на следния ключ:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Добавете нова стойност DWORD, наречена DisableRestrictedAdmin, Задайте стойността на тази настройка на системния регистър 0 за да включите Remote Guard Guard.
Затворете редактора на системния регистър.
Можете да активирате функцията Remote Credential Guard, като стартирате следната команда от повишен CMD:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Включете Remote Guard Guard чрез използване на групови правила
Възможно е да използвате Remote Credential Guard на клиентското устройство, като зададете групови правила или като използвате параметър с връзка за отдалечен работен плот.
От Конзолата за управление на груповите правила, отидете на Computer Configuration> Административни шаблони> System> Credential Delegation.
Сега кликнете два пъти Ограничете делегирането на пълномощията на отдалечени сървъри за да отворите полето "Свойства".
Сега в Използвайте следния ограничен режим кутия, изберете Изисквайте дистанционен контрол. Другият вариант Ограничен режим "Админ" също е налице. Неговата значимост е, че когато Remote Remote Guard Guard не може да бъде използвана, той ще използва режим Restricted Admin.
Във всеки случай, нито дистанционният режим "Лицензионна защита", нито режимът на "Ограничен администратор" ще изпращат идентификационни данни в ясен текст до сървъра за отдалечен работен плот.
Позволете на дистанционерите за дистанционно идентифициране, като изберете "Предпочитайте дистанционен контрол"Опция.
Кликнете върху OK и излезете от конзолата за управление на груповите правила.
Сега, от командния ред, изпълнете gpupdate.exe / сила за да се гарантира, че е приложен обектът за групови правила.
Използвайте Remote Guard Guard с параметър за свързване с отдалечен работен плот
Ако не използвате групови правила в организацията си, можете да добавите параметъра remoteGuard, когато стартирате връзката с отдалечен работен плот, за да включите функцията за дистанционен контрол на данните за тази връзка.
mstsc.exe /remoteGuard
Нещата, които трябва да имате предвид, когато използвате Remote Guard Guard
- Remote Guard Guard не може да се използва за връзка с устройство, свързано с Azure Active Directory.
- Управлението за идентификация на отдалечен работен плот работи само с протокола RDP.
- Устройството за дистанционен идентификационен код не включва заявки за устройства. Например, ако се опитвате да осъществите достъп до файлов сървър от устройството за дистанционно управление и файловият сървър изисква изискване на устройство, достъпът ще бъде отказан.
- Сървърът и клиентът трябва да се идентифицират, като използват Kerberos.
- Домейните трябва да имат доверие, или както клиентът, така и сървърът трябва да бъдат свързани към един и същ домейн.
- Gateway за отдалечен работен плот не е съвместим с Remote Guard Guard.
- До целевото устройство не се пропускат никакви идентификационни данни. Целевото устройство обаче все още придобива Самолетни билети за Kerberos.
- И накрая, трябва да използвате идентификационните данни на потребителя, който е влязъл в устройството. Използването на запазени идентификационни данни или идентификационни данни, различни от вашите, не е разрешено.
Можете да прочетете повече за това в Technet.
