Proteção de Credenciais Remotas protege as credenciais da Área de Trabalho Remota

Índice:

Proteção de Credenciais Remotas protege as credenciais da Área de Trabalho Remota
Proteção de Credenciais Remotas protege as credenciais da Área de Trabalho Remota

Vídeo: Proteção de Credenciais Remotas protege as credenciais da Área de Trabalho Remota

Vídeo: Proteção de Credenciais Remotas protege as credenciais da Área de Trabalho Remota
Vídeo: Como Criar Atalho De Um Site na Área de Trabalho [Chrome e Firefox] - YouTube 2024, Marcha
Anonim

Todos os usuários de administradores de sistema têm uma preocupação muito real - proteger as credenciais através de uma conexão de área de trabalho remota. Isso ocorre porque o malware pode encontrar o caminho para qualquer outro computador pela conexão da área de trabalho e representar uma ameaça potencial aos seus dados. É por isso que o sistema operacional Windows exibe um aviso "Certifique-se de confiar neste computador, conectar-se a um computador não-confiável pode danificar seu computador" ao tentar se conectar a uma área de trabalho remota. Neste post, vamos ver como o Guarda de credencial remota recurso, que foi introduzido em Windows 10 v1607pode ajudar a proteger as credenciais da área de trabalho remota Windows 10 Enterprise e Windows Server 2016.

Proteção de Credenciais Remotas no Windows 10

O recurso é projetado para eliminar ameaças antes que elas se transformem em uma situação séria. Ele ajuda você a proteger suas credenciais através de uma conexão de Área de Trabalho Remota redirecionando Kerberos solicita de volta ao dispositivo que está solicitando a conexão. Ele também fornece experiências de logon único para sessões da Área de Trabalho Remota.

No caso de qualquer infortúnio em que o dispositivo de destino seja comprometido, as credenciais do usuário não serão expostas, pois as derivadas de credenciais e credenciais nunca serão enviadas para o dispositivo de destino.

O modus operandi do Remote Credential Guard é muito semelhante à proteção oferecida pelo Credential Guard em uma máquina local, exceto que o Credential Guard também protege credenciais de domínio armazenadas por meio do Credential Manager.
O modus operandi do Remote Credential Guard é muito semelhante à proteção oferecida pelo Credential Guard em uma máquina local, exceto que o Credential Guard também protege credenciais de domínio armazenadas por meio do Credential Manager.

Um indivíduo pode usar o Remote Credential Guard das seguintes maneiras:

  1. Como as credenciais de administrador são altamente privilegiadas, elas devem ser protegidas. Usando o Remote Credential Guard, você pode ter certeza de que suas credenciais estão protegidas, pois não permite que credenciais passem pela rede para o dispositivo de destino.
  2. Os funcionários do suporte técnico em sua organização devem se conectar a dispositivos ingressados no domínio que podem ser comprometidos. Com o Remote Credential Guard, o funcionário do helpdesk pode usar o RDP para se conectar ao dispositivo de destino sem comprometer suas credenciais para malware.

Requisitos de hardware e software

Para habilitar o bom funcionamento do Remote Credential Guard, assegure-se de que os seguintes requisitos do cliente e do servidor de área de trabalho remota sejam atendidos.

  1. O cliente e o servidor de área de trabalho remota devem estar associados a um domínio do Active Directory
  2. Os dois dispositivos devem ingressar no mesmo domínio ou o servidor da Área de trabalho remota deve ingressar em um domínio com uma relação de confiança no domínio do dispositivo cliente.
  3. A autenticação do Kerberos deveria ter sido habilitada.
  4. O cliente da Área de Trabalho Remota deve estar executando pelo menos o Windows 10, versão 1607 ou o Windows Server 2016.
  5. O aplicativo Plataforma Universal do Windows para Área de Trabalho Remota não é compatível com o Remote Credential Guard, portanto, use o aplicativo clássico para Windows da Área de Trabalho Remota.

Ativar guarda de credencial remota via registro

Para ativar o Remote Credential Guard no dispositivo de destino, abra o Editor do Registro e vá para a seguinte chave:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa

Adicione um novo valor DWORD chamado DisableRestrictedAdmin. Definir o valor dessa configuração do Registro para 0 para ativar o Protetor de Credenciais Remoto.

Feche o Editor do Registro.

Você pode ativar o Remote Credential Guard executando o seguinte comando em um CMD elevado:

reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Ativar o Protetor de Credenciais Remoto usando a Diretiva de Grupo

É possível usar o Remote Credential Guard no dispositivo cliente definindo uma Política de Grupo ou usando um parâmetro com a Conexão de Área de Trabalho Remota.

No Console de Gerenciamento de Diretiva de Grupo, navegue até Configuração do Computador> Modelos Administrativos> Sistema> Delegação de Credenciais.

Agora, clique duas vezes Restringir a delegação de credenciais a servidores remotos para abrir sua caixa de propriedades.

Agora no Use o seguinte modo restrito caixa, escolha Exigir Proteção Credencial Remota. A outra opção Modo Administrador Restrito também está presente. Sua importância é que, quando o Remote Credential Guard não puder ser usado, ele usará o modo Admin restrito.

Em qualquer caso, nem o Remote Credential Guard nem o modo Admin restrito enviarão credenciais em texto não criptografado para o servidor da Área de trabalho remota.

Permitir proteção remota de credenciais, escolhendo ‘Preferir guarda de credencial remota'Opção.

Clique em OK e saia do Console de Gerenciamento de Diretiva de Grupo.

Image
Image

Agora, em um prompt de comando, execute gpupdate.exe / force para garantir que o objeto de Diretiva de Grupo seja aplicado.

Use o Remote Credential Guard com um parâmetro para a Conexão da Área de Trabalho Remota

Se você não usar a Política de Grupo em sua organização, poderá adicionar o parâmetro remoteGuard ao iniciar a Conexão de Área de Trabalho Remota para ativar a Proteção de Credenciais Remotas para essa conexão.

mstsc.exe /remoteGuard

Coisas que você deve ter em mente ao usar o Remote Credential Guard

  1. O Remote Credential Guard não pode ser usado para se conectar a um dispositivo que tenha ingressado no Azure Active Directory.
  2. O Remote Desktop Credential Guard só funciona com o protocolo RDP.
  3. O Remote Credential Guard não inclui reivindicações de dispositivos. Por exemplo, se você estiver tentando acessar um servidor de arquivos do controle remoto e o servidor de arquivos exigir uma declaração de dispositivo, o acesso será negado.
  4. O servidor e o cliente devem autenticar usando o Kerberos.
  5. Os domínios devem ter uma relação de confiança ou o cliente e o servidor devem estar associados ao mesmo domínio.
  6. O Gateway de Área de Trabalho Remota não é compatível com o Remote Credential Guard.
  7. Nenhuma credencial vazou para o dispositivo de destino. No entanto, o dispositivo de destino ainda adquire os tickets de serviço Kerberos por conta própria.
  8. Por fim, você deve usar as credenciais do usuário que está conectado ao dispositivo. O uso de credenciais ou credenciais salvas diferentes das suas não é permitido.

Você pode ler mais sobre isso na Technet.

Recomendado: