Remote-Anmeldedatenschutz schützt Remote Desktop-Anmeldedaten

Alle Benutzer von Systemadministratoren haben ein sehr ernsthaftes Problem: die Sicherung von Anmeldeinformationen über eine Remotedesktopverbindung. Dies liegt daran, dass Malware über die Desktopverbindung zu jedem anderen Computer gelangen und eine potenzielle Bedrohung für Ihre Daten darstellen kann. Aus diesem Grund gibt das Windows-Betriebssystem eine Warnmeldung aus "Stellen Sie sicher, dass Sie diesem PC vertrauen, wenn Sie versuchen, eine Verbindung zu einem Remote-Desktop herzustellen, um eine Verbindung zu einem nicht vertrauenswürdigen Computer herzustellen. In diesem Beitrag werden wir sehen, wie die Funktion Remote Credential Guard , die in Windows 10 v1607 eingeführt wurde, zum Schutz der Anmeldedaten für Remotedesktops in Windows 10 Enterprise beitragen kann und Windows Server 2016 .

Remote-Anmeldeinformationen in Windows 10

Die Funktion wurde entwickelt, um Bedrohungen zu vermeiden, bevor sich eine ernsthafte Situation ergibt. Sie können Ihre Anmeldeinformationen über eine Remotedesktopverbindung schützen, indem Sie die Kerberos -Anfragen an das Gerät zurückleiten, das die Verbindung anfordert. Es bietet auch einmalige Anmeldeerfahrungen für Remotedesktopsitzungen.

Im Falle eines Unglücksfalls, bei dem das Zielgerät kompromittiert ist, werden die Anmeldeinformationen des Benutzers nicht offengelegt, da Anmeldeinformationen und Anmeldeinformationsderivate niemals an das Zielgerät gesendet werden.

Der Modus Operandi von Remote Credential Guard ist dem von Credential Guard auf einem lokalen Rechner angebotenen Schutz sehr ähnlich, außer dass Credential Guard auch gespeicherte Anmeldeinformationen über den Credential Manager schützt.

Eine Person kann Remote Credential Guard in der folgende Möglichkeiten-

1. Da Administrator-Anmeldeinformationen stark privilegiert sind, müssen sie geschützt werden. Durch die Verwendung von Remote Credential Guard können Sie sicher sein, dass Ihre Anmeldeinformationen geschützt sind, da Anmeldeinformationen nicht über das Netzwerk an das Zielgerät weitergegeben werden können.
2. Helpdesk-Mitarbeiter in Ihrer Organisation müssen Verbindungen zu Domänen-verbundenen Geräten herstellen, die gefährdet sein könnten. Mit Remote Credential Guard kann der Helpdesk-Mitarbeiter mithilfe von RDP eine Verbindung zum Zielgerät herstellen, ohne seine Anmeldeinformationen für Malware zu kompromittieren.

Hardware- und Softwareanforderungen

Stellen Sie die folgenden Anforderungen von Remote sicher, um das reibungslose Funktionieren des Remote Credential Guard zu gewährleisten Desktop-Client und -Server sind erfüllt.

1. Der Remotedesktop-Client und -Server muss mit einer Active Directory-Domäne verbunden sein
2. Beide Geräte müssen entweder derselben Domäne angehören, oder der Remotedesktop-Server muss einer Domäne mit einer Domäne angehören Vertrauensbeziehung zur Domäne des Clientgeräts
3. Die Kerberos-Authentifizierung sollte aktiviert sein
4. Der Remotedesktopclient muss mindestens Windows 10, Version 1607 oder Windows Server 2016 ausführen.
5. Die Remotedesktop-Universal-Windows-Plattform Remote-Berechtigungsnachweis wird von der App nicht unterstützt. Verwenden Sie dazu die klassische Windows-App von Remote Desktop.

Remote-Anmeldedatenschutz über Registrierung aktivieren

Um Remote-Anmeldedatenschutz auf dem Zielgerät zu aktivieren, öffnen Sie Re gistry Editor und gehen Sie zu folgendem Schlüssel:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Fügen Sie einen neuen DWORD-Wert mit dem Namen DisableRestrictedAdmin hinzu. Setzen Sie den Wert dieser Registrierungseinstellung auf 0 , um Remote Credential Guard zu aktivieren.

Schließen Sie den Registrierungseditor.

Sie können Remote Credential Guard aktivieren, indem Sie den folgenden Befehl von einem erhöhten CMD ausführen:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Aktivieren Sie den Remote Credential Guard mit der Gruppenrichtlinie

Es ist möglich, Remote Credential Guard auf dem Client-Gerät zu verwenden Festlegen einer Gruppenrichtlinie oder Verwenden eines Parameters mit Remotedesktopverbindung.

Navigieren Sie in der Gruppenrichtlinien-Verwaltungskonsole zu Computerkonfiguration> Administrative Vorlagen> System> Berechtigungsdelegation .

Doppelklicken Sie jetzt auf Delegierung von Anmeldeinformationen auf Remote-Server beschränken , um dessen Eigenschaften-Box zu öffnen.

Wählen Sie nun im Feld folgenden eingeschränkten Modus: Require Remote Credential Guard. Die andere Option Eingeschränkter Admin-Modus ist ebenfalls vorhanden. Wenn Remote Protected Guard nicht verwendet werden kann, wird der Modus "Eingeschränkter Administrator" verwendet.

In keinem Fall werden die Anmeldeinformationen von Remote Credential Guard und Restricted Admin im Klartext an den Remotedesktopserver gesendet.

Zulassen Remote-Anmeldeinformationsschutz durch Auswahl der Option Remote-Anmeldeinformationsschutz vorziehen

Klicken Sie auf OK, und beenden Sie die Gruppenrichtlinien-Verwaltungskonsole.

Führen Sie jetzt an einer Eingabeaufforderung gpupdate.exe aus / force, um sicherzustellen, dass das Gruppenrichtlinienobjekt angewendet wird

Verwenden Sie Remote Credential Guard mit einem Parameter für die Remotedesktopverbindung

Wenn Sie in Ihrer Organisation keine Gruppenrichtlinien verwenden, können Sie den remoteGuard-Parameter hinzufügen Wenn Sie Remote Desktop Connection starten, um Remote Credential Guard für diese Verbindung zu aktivieren.

mstsc.exe / remoteGuard

Dinge, die Sie bei der Verwendung von Remote Credential Guard

1. beachten sollten Remote Access Credential Guard kann nicht verwendet werden ein Gerät, das mit Azure Active Directory verknüpft ist.
2. Remo Der Desktop Credential Guard funktioniert nur mit dem RDP-Protokoll.
3. Der Remote Credential Guard enthält keine Geräteansprüche. Wenn Sie beispielsweise versuchen, von der Remote aus auf einen Dateiserver zuzugreifen und der Dateiserver eine Geräteanforderung erfordert, wird der Zugriff verweigert.
4. Der Server und der Client müssen sich mit Kerberos authentifizieren.
5. Die Domänen müssen eine Vertrauensstellung haben Beziehung, oder beide, der Client und der Server müssen der gleichen Domäne angehören.
6. Remotedesktopgateway ist nicht mit dem Remote-Anmeldeinformationsschutz kompatibel.
7. Es werden keine Anmeldeinformationen an das Zielgerät gesendet. Das Zielgerät erhält jedoch weiterhin die Kerberos-Service-Tickets selbst.
8. Schließlich müssen Sie die Anmeldeinformationen des Benutzers verwenden, der am Gerät angemeldet ist. Es ist nicht erlaubt, gespeicherte oder andere Zugangsdaten zu verwenden.

Mehr dazu erfahren Sie unter Technet.