ผู้ดูแลระบบทั้งหมดมีข้อกังวลที่เป็นของแท้อย่างหนึ่ง - การรับรองข้อมูลรับรองผ่านการเชื่อมต่อเดสก์ท็อประยะไกล เนื่องจากมัลแวร์สามารถหาเส้นทางไปยังคอมพิวเตอร์เครื่องอื่น ๆ ผ่านการเชื่อมต่อเดสก์ท็อปและเป็นภัยคุกคามต่อข้อมูลของคุณ นั่นคือเหตุผลที่ Windows OS กะพริบคำเตือน "ให้แน่ใจว่าคุณเชื่อถือคอมพิวเตอร์เครื่องนี้การเชื่อมต่อกับคอมพิวเตอร์ที่ไม่น่าเชื่อถืออาจเป็นอันตรายต่อคอมพิวเตอร์ของคุณ" เมื่อคุณพยายามเชื่อมต่อกับเดสก์ท็อประยะไกล ในโพสต์นี้เราจะดูว่าคุณลักษณะ

ที่ได้รับการแนะนำใน Windows 10 v1607 สามารถช่วยปกป้องข้อมูลประจำตัวเดสก์ท็อปจากระยะไกลได้ใน Windows 10 Enterprise Windows Server 2016 Remote Credential Guard ใน Windows 10 คุณลักษณะนี้ออกแบบมาเพื่อขจัดภัยคุกคามก่อนที่จะพัฒนาสู่สถานการณ์ที่ร้ายแรง ช่วยให้คุณสามารถปกป้องข้อมูลรับรองของคุณผ่านการเชื่อมต่อเดสก์ท็อประยะไกลได้โดยการเปลี่ยนเส้นทางคำขอ

Kerberos

กลับไปยังอุปกรณ์ที่ขอเชื่อมต่อ นอกจากนี้ยังมีประสบการณ์การลงชื่อเพียงครั้งเดียวสำหรับเซสชันเดสก์ท็อประยะไกล ในกรณีที่อุปกรณ์เป้าหมายถูกบุกรุกจะมีการเปิดเผยข้อมูลประจำตัวของผู้ใช้เนื่องจากไม่ได้ส่งข้อมูลประจำตัวและเอกสารอนุพันธ์หนังสือรับรองไปยังอุปกรณ์เป้าหมาย วิธีการทำงานของ Remote Credential Guard คล้ายกับการป้องกันโดย Credential Guard ในเครื่องท้องถิ่นยกเว้น Credential Guard ยังปกป้องข้อมูลประจำตัวของโดเมนที่เก็บไว้ผ่านทาง Credential Manager

บุคคลสามารถใช้ Remote Credential Guard ใน ตามทาง -

เนื่องจากข้อมูลประจำตัวของผู้ดูแลระบบมีสิทธิพิเศษมากพวกเขาจะต้องได้รับความคุ้มครอง คุณสามารถมั่นใจได้ว่าข้อมูลประจำตัวของคุณได้รับการป้องกันเนื่องจากไม่อนุญาตให้ข้อมูลประจำตัวผ่านเครือข่ายไปยังอุปกรณ์เป้าหมาย

พนักงาน Helpdesk ในองค์กรของคุณต้องเชื่อมต่อกับอุปกรณ์ที่เข้าร่วมโดเมนซึ่งอาจถูกบุกรุกได้. พนักงานฝ่ายความช่วยเหลือสามารถใช้ RDP เพื่อเชื่อมต่อกับอุปกรณ์เป้าหมายได้โดยไม่ส่งผลร้ายต่อมัลแวร์

1. ความต้องการฮาร์ดแวร์และซอฟต์แวร์
2. เพื่อให้การทำงานของ Remote Credential Guard ทำได้ราบรื่นโปรดตรวจสอบข้อกำหนดต่อไปนี้ของ Remote ไคลเอนต์และเซิร์ฟเวอร์เดสก์ท็อประยะไกลจะต้องมีการเชื่อมต่อกับโดเมน Active Directory

อุปกรณ์ทั้งสองต้องเข้าร่วมโดเมน

การรับรองความถูกต้องของ Kerberos ควรได้รับการเปิดใช้งาน

1. ไคลเอ็นต์เดสก์ท็อประยะไกลต้องทำงานอย่างน้อย Windows 10 เวอร์ชัน 1607 หรือ Windows Server 2016
2. แพลตฟอร์มเดสก์ท็อประยะไกลสากล ไม่สนับสนุน Remote Credential Guard ดังนั้นให้ใช้แอพ Windows แบบคลาสสิกจากเดสก์ท็อป
3. เปิดใช้งาน Credential Guard ระยะไกลผ่านทาง Registry
4. ในการเปิดใช้งาน Credential Guard ระยะไกลบนอุปกรณ์เป้าหมายให้เปิด Re gistry Editor และไปที่คีย์ต่อไปนี้:
5. HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

เพิ่มค่า DWORD ใหม่ที่ชื่อว่า

DisableRestrictedAdmin

ตั้งค่าของรีจีสทรีไปที่

0 เพื่อเปิดการป้องกันข้อมูลประจำตัวแบบระยะไกล ปิดตัวแก้ไขรีจิสทรี คุณสามารถเปิดใช้งาน Remote Credential Guard ได้โดยเรียกใช้คำสั่งต่อไปนี้จาก CMD ยกระดับ: เปิดการป้องกันข้อมูลประจำตัวแบบระยะไกลโดยใช้ Group Policy

คุณสามารถใช้ตัวป้องกันข้อมูลประจำตัวแบบระยะไกลบนอุปกรณ์ไคลเอ็นต์ได้โดยใช้ HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

การตั้งค่านโยบายกลุ่มหรือโดยใช้พารามิเตอร์ที่มี Remote Desktop Connection

จากคอนโซลการจัดการนโยบายกลุ่มไปที่ Computer Configuration> Administrative Templates> System> Credentials Delegation

ใช้

ใช้โหมด ในโหมดที่ถูก จำกัด ต่อไปนี้ให้เลือก

ตอนนี้ให้คลิก จำกัด การมอบหมายข้อมูลประจำตัวไปยังเซิร์ฟเวอร์ระยะไกล > ต้องใช้ยามข้อมูลรับรองระยะไกล มีตัวเลือกอื่น ๆ โหมดผู้ดูแลระบบที่ถูก จำกัด อยู่ด้วย ความสำคัญของมันคือเมื่อไม่สามารถใช้งานการป้องกันข้อมูลประจำตัวแบบระยะไกลได้จะใช้โหมดผู้ดูแลระบบที่ จำกัด ไม่ว่าในกรณีใดก็ตามโหมดการป้องกันข้อมูลประจำตัวแบบระยะไกลหรือโหมดผู้ดูแลระบบแบบ จำกัด ไม่สามารถส่งข้อมูลประจำตัวในข้อความที่ชัดเจนไปยังเซิร์ฟเวอร์ Remote Desktop

อนุญาต Remote Guard Credential Guard โดยเลือกตัวเลือก

สิทธิพิเศษจาก Guard Credential Guard ` คลิกตกลงและออกจาก Group Policy Management Console

จากพรอมต์คำสั่งให้รัน

gpupdate.exe / force เพื่อให้แน่ใจว่ามีการใช้ออบเจกต์ Group Policy ใช้ Remote Credential Guard กับพารามิเตอร์การเชื่อมต่อเดสก์ท็อประยะไกล

ถ้าคุณไม่ใช้ Group Policy ในองค์กรของคุณคุณสามารถเพิ่มพารามิเตอร์ remoteGuard เมื่อคุณเริ่มต้นการเชื่อมต่อเดสก์ท็อประยะไกลเพื่อเปิดตัวป้องกันข้อมูลประจำตัวแบบรีโมตสำหรับการเชื่อมต่อนั้น

mstsc.exe / remoteGuard

สิ่งที่คุณควรระลึกไว้เมื่อใช้ Remote Credential Guard

ไม่สามารถใช้ อุปกรณ์ที่เชื่อมต่อกับ Azure Active Directory

1. Remo te เดสก์ท็อป Credential Guard ใช้งานได้เฉพาะกับโปรโตคอล RDP
2. Remote Credential Guard ไม่รวมการอ้างสิทธิ์อุปกรณ์ ตัวอย่างเช่นถ้าคุณกำลังพยายามเข้าถึงเซิร์ฟเวอร์ไฟล์จากรีโมตและไฟล์เซิร์ฟเวอร์ต้องการการอ้างสิทธิ์อุปกรณ์การเข้าถึงจะถูกปฏิเสธ
3. เซิร์ฟเวอร์และไคลเอ็นต์ต้องตรวจสอบโดยใช้ Kerberos
4. โดเมนต้องมีความเชื่อถือ ความสัมพันธ์หรือทั้งไคลเอนต์และเซิร์ฟเวอร์ต้องถูกรวมเข้ากับโดเมนเดียวกัน
5. Remote Desktop Gateway ไม่สามารถทำงานร่วมกับ Remote Credential Guard
6. ไม่มีข้อมูลประจำตัวที่ถูกปล่อยออกมาจากอุปกรณ์เป้าหมาย อย่างไรก็ตามอุปกรณ์เป้าหมายยังคงได้รับ Kerberos Service Tickets ด้วยตัวเอง
7. สุดท้ายคุณต้องใช้ข้อมูลรับรองของผู้ใช้ที่ล็อกอินเข้าสู่อุปกรณ์ ไม่อนุญาตให้ใช้ข้อมูลประจำตัวที่ได้รับการรับรองหรือข้อมูลประจำตัวที่แตกต่างจากของคุณ
8. คุณสามารถอ่านข้อมูลเพิ่มเติมได้ที่ Technet