Remote Credential Guard schützt Remote Desktop-Anmeldeinformationen in Windows 10
Alle Benutzer von Systemadministratoren haben ein echtes Anliegen - die Sicherung der Anmeldeinformationen über eine Remote Desktop-Verbindung. Dies liegt daran, dass Malware über die Desktop-Verbindung zu jedem anderen Computer gelangen kann und eine potenzielle Bedrohung für Ihre Daten darstellt. Aus diesem Grund blinkt das Windows-Betriebssystem mit einer Warnung: "Stellen Sie sicher, dass Sie diesem PC vertrauen. Die Verbindung zu einem nicht vertrauenswürdigen Computer kann Ihren PC beschädigen", wenn Sie versuchen, eine Verbindung zu einem Remote-Desktop herzustellen. In diesem Beitrag werden wir sehen, wie die Remote Credential Guard Feature, das in eingeführt wurde Windows 10 v1607, kann helfen, Remote-Desktop-Anmeldeinformationen in zu schützen Windows 10 Enterprise und Windows Server 2016.
Remote Credential Guard in Windows 10
Die Funktion soll Bedrohungen beseitigen, bevor sie sich in eine ernste Situation entwickelt. Es hilft Ihnen, Ihre Anmeldeinformationen über eine Remote Desktop-Verbindung zu schützen, indem Sie die Kerberos fordert zurück an das Gerät, das die Verbindung anfordert. Es bietet auch einmalige Anmeldungen für Remotedesktopsitzungen.
Im Falle eines Unglücks, wenn das Zielgerät gefährdet ist, werden die Anmeldeinformationen des Benutzers nicht angezeigt, da sowohl die Anmeldeinformationen als auch die Berechtigungsnachweise niemals an das Zielgerät gesendet werden.
Der Modus des Remote Credential Guard ist dem von Credential Guard auf einem lokalen Computer gebotenen Schutz sehr ähnlich, mit Ausnahme von Credential Guard werden gespeicherte Domänenanmeldeinformationen auch über den Credential Manager geschützt.
Eine Person kann den Remote Credential Guard auf folgende Weise verwenden-
- Da die Anmeldeinformationen des Administrators sehr privilegiert sind, müssen sie geschützt werden. Durch die Verwendung von Remote Credential Guard können Sie sicher sein, dass Ihre Anmeldeinformationen geschützt sind, da die Anmeldeinformationen nicht über das Netzwerk an das Zielgerät übertragen werden.
- Helpdesk-Mitarbeiter in Ihrer Organisation müssen eine Verbindung zu Geräten herstellen, die über Domänen verbunden sind und die möglicherweise gefährdet sind. Mit Remote Credential Guard kann der Helpdesk-Mitarbeiter RDP verwenden, um eine Verbindung zum Zielgerät herzustellen, ohne dass seine Berechtigung durch Malware beeinträchtigt wird.
Hardware- und Softwarevoraussetzungen
Um ein reibungsloses Funktionieren des Remote Credential Guard zu ermöglichen, stellen Sie sicher, dass die folgenden Anforderungen an den Remote Desktop-Client und -Server erfüllt sind.
- Der Remotedesktop-Client und -Server müssen einer Active Directory-Domäne angehören
- Beide Geräte müssen entweder derselben Domäne angehören, oder der Remotedesktop-Server muss einer Domäne mit einer Vertrauensstellung zur Domäne des Clientgeräts angehören.
- Die Kerberos-Authentifizierung sollte aktiviert sein.
- Auf dem Remote Desktop-Client muss mindestens Windows 10, Version 1607 oder Windows Server 2016 ausgeführt werden.
- Die Remote Desktop Universal Windows-Plattform-App unterstützt den Remote Credential Guard nicht. Verwenden Sie daher die klassische Windows-App für Remote Desktop.
Aktivieren Sie den Remote Credential Guard über die Registrierung
Öffnen Sie den Registrierungseditor, um Remote Credential Guard auf dem Zielgerät zu aktivieren, und rufen Sie den folgenden Schlüssel auf:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa
Fügen Sie einen neuen DWORD-Wert mit dem Namen hinzu DisableRestrictedAdmin. Legen Sie den Wert dieser Registrierungseinstellung auf fest 0 Remote Credential Guard aktivieren.
Schließen Sie den Registrierungseditor.
Sie können Remote Credential Guard aktivieren, indem Sie den folgenden Befehl von einer erhöhten CMD aus ausführen:
reg add HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD
Aktivieren Sie Remote Credential Guard mithilfe von Gruppenrichtlinien
Sie können Remote Credential Guard auf dem Clientgerät verwenden, indem Sie eine Gruppenrichtlinie festlegen oder einen Parameter für die Remotedesktopverbindung verwenden.
Navigieren Sie in der Gruppenrichtlinien-Verwaltungskonsole zu Computerkonfiguration> Administrative Vorlagen> System> Delegierung von Anmeldeinformationen.
Doppelklicken Sie jetzt Beschränken Sie die Delegierung von Anmeldeinformationen an Remote-Server um das Eigenschaften-Fenster zu öffnen.
Jetzt in der Verwenden Sie den folgenden eingeschränkten Modus Box wählen Remote Credential Guard erforderlich. Die andere Option Eingeschränkter Admin-Modus ist auch anwesend. Die Bedeutung ist, dass Remote Credential Guard den eingeschränkten Verwaltungsmodus verwendet, wenn Remote Credential Guard nicht verwendet werden kann.
In jedem Fall senden weder der Remote Credential Guard- noch der Restricted Admin-Modus Anmeldeinformationen in Klartext an den Remote Desktop-Server.
Remote Credential Guard zulassen, indem Sie 'Remote Credential Guard bevorzugen' Möglichkeit.
Klicken Sie auf OK und beenden Sie die Gruppenrichtlinien-Verwaltungskonsole.
Führen Sie nun eine Eingabeaufforderung aus gpupdate.exe / force um sicherzustellen, dass das Gruppenrichtlinienobjekt angewendet wird.
Verwenden Sie Remote Credential Guard mit einem Parameter für die Remotedesktopverbindung
Wenn Sie in Ihrer Organisation keine Gruppenrichtlinien verwenden, können Sie den Parameter remoteGuard hinzufügen, wenn Sie die Remotedesktopverbindung starten, um den Remote Credential Guard für diese Verbindung zu aktivieren.
mstsc.exe / remoteGuard
Dinge, die Sie bei der Verwendung des Remote Credential Guard beachten sollten
- Remote Credential Guard kann nicht verwendet werden, um eine Verbindung zu einem Gerät herzustellen, das mit Azure Active Directory verbunden ist.
- Remote Desktop Credential Guard funktioniert nur mit dem RDP-Protokoll.
- Remote Credential Guard enthält keine Geräteansprüche. Wenn Sie beispielsweise versuchen, über das Remote auf einen Dateiserver zuzugreifen und der Dateiserver einen Geräteanspruch erfordert, wird der Zugriff verweigert.
- Der Server und der Client müssen sich mit Kerberos authentifizieren.
- Die Domänen müssen eine Vertrauensbeziehung haben, oder der Client und der Server müssen derselben Domäne angehören.
- Remote Desktop Gateway ist nicht mit Remote Credential Guard kompatibel.
- Es werden keine Anmeldeinformationen an das Zielgerät übertragen. Das Zielgerät erwirbt die Kerberos-Service-Tickets jedoch weiterhin eigenständig.
- Zuletzt müssen Sie die Anmeldeinformationen des Benutzers verwenden, der am Gerät angemeldet ist. Die Verwendung gespeicherter Anmeldeinformationen oder Anmeldeinformationen, die von Ihren abweichen, sind nicht zulässig.