Remote Credential Guard bảo vệ thông tin đăng nhập Máy tính Từ xa trong Windows 10

Tất cả người dùng quản trị viên hệ thống đều có một mối quan tâm thực sự - bảo mật thông tin xác thực qua kết nối Máy tính Từ xa. Điều này là do phần mềm độc hại có thể tìm đường đến bất kỳ máy tính nào khác qua kết nối máy tính để bàn và gây ra mối đe dọa tiềm tàng cho dữ liệu của bạn. Đó là lý do tại sao Hệ điều hành Windows nhấp nháy cảnh báo “ Đảm bảo rằng bạn tin cậy PC này, việc kết nối với một máy tính không đáng tin cậy có thể gây hại cho PC của bạn ”Khi bạn cố gắng kết nối với một máy tính từ xa.

Trong bài đăng này, chúng ta sẽ xem cách Bảo vệ thông tin xác thực từ xa tính năng này đã được giới thiệu trong Windows 10 , có thể giúp bảo vệ thông tin đăng nhập máy tính từ xa trong Windows 10 Enterprise và Máy chủ Windows .

Bảo vệ thông tin xác thực từ xa trong Windows 10

Tính năng này được thiết kế để loại bỏ các mối đe dọa trước khi nó phát triển thành một tình huống nghiêm trọng. Nó giúp bạn bảo vệ thông tin đăng nhập của mình qua kết nối Máy tính Từ xa bằng cách chuyển hướng Kerberos yêu cầu trở lại thiết bị đang yêu cầu kết nối. Nó cũng cung cấp trải nghiệm đăng nhập một lần cho các phiên Máy tính Từ xa.

Trong trường hợp rủi ro xảy ra khi thiết bị mục tiêu bị xâm phạm, thông tin đăng nhập của người dùng sẽ không bị lộ vì cả thông tin đăng nhập và dẫn xuất thông tin xác thực không bao giờ được gửi đến thiết bị đích.

Phương thức hoạt động của Trình bảo vệ thông tin xác thực từ xa rất giống với bảo vệ do Trình bảo vệ thông tin xác thực cung cấp trên máy cục bộ ngoại trừ Trình bảo vệ thông tin xác thực cũng bảo vệ thông tin đăng nhập miền được lưu trữ thông qua Trình quản lý thông tin xác thực.

Một cá nhân có thể sử dụng Bảo vệ thông tin xác thực từ xa theo những cách sau-

1. Vì thông tin đăng nhập của Quản trị viên có đặc quyền cao, chúng phải được bảo vệ. Bằng cách sử dụng Bảo vệ thông tin xác thực từ xa, bạn có thể yên tâm rằng thông tin đăng nhập của mình được bảo vệ vì nó không cho phép thông tin xác thực truyền qua mạng tới thiết bị mục tiêu.
2. Nhân viên của bộ phận trợ giúp trong tổ chức của bạn phải kết nối với các thiết bị đã tham gia miền có thể bị xâm phạm. Với Bảo vệ thông tin xác thực từ xa, nhân viên bộ phận trợ giúp có thể sử dụng RDP để kết nối với thiết bị mục tiêu mà không làm ảnh hưởng đến thông tin đăng nhập của họ với phần mềm độc hại.

Yêu cầu phần cứng và phần mềm

Để cho phép Bộ bảo vệ thông tin xác thực từ xa hoạt động trơn tru, hãy đảm bảo đáp ứng các yêu cầu sau của máy khách và máy chủ Máy tính Từ xa.

1. Máy khách và máy chủ Remote Desktop phải được kết hợp với miền Active Directory
2. Cả hai thiết bị phải được tham gia vào cùng một miền hoặc máy chủ Máy tính Từ xa phải được tham gia vào miền có mối quan hệ tin cậy với miền của thiết bị khách.
3. Xác thực Kerberos phải được bật.
4. Máy khách Máy tính Từ xa phải chạy ít nhất Windows 10, phiên bản 1607 hoặc Windows Server 2016.
5. Ứng dụng Remote Desktop Universal Windows Platform không hỗ trợ Remote Credential Guard, vì vậy, hãy sử dụng ứng dụng Remote Desktop Windows cổ điển.

Bật tính năng Bảo vệ thông tin xác thực từ xa qua Hệ thống đăng ký

Để bật Bảo vệ thông tin xác thực từ xa trên thiết bị mục tiêu, hãy mở Trình chỉnh sửa sổ đăng ký và đi tới khóa sau:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Thêm giá trị DWORD mới có tên DisableRestrictedAdmin . Đặt giá trị của cài đặt đăng ký này thành 0 để bật Bảo vệ thông tin xác thực từ xa.

Đóng Trình chỉnh sửa sổ đăng ký.

Bạn có thể bật Bảo vệ thông tin xác thực từ xa bằng cách chạy lệnh sau từ CMD nâng cao:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Bật Bảo vệ thông tin xác thực từ xa bằng cách sử dụng Chính sách nhóm

Có thể sử dụng Bảo vệ thông tin xác thực từ xa trên thiết bị khách bằng cách đặt Chính sách nhóm hoặc bằng cách sử dụng tham số với Kết nối máy tính từ xa.

Từ Bảng điều khiển quản lý chính sách nhóm, điều hướng đến Cấu hình máy tính> Mẫu quản trị> Hệ thống> Ủy quyền thông tin xác thực .

Bây giờ, hãy nhấp đúp vào Hạn chế ủy quyền thông tin xác thực cho các máy chủ từ xa để mở hộp Thuộc tính của nó.

Bây giờ ở phần Sử dụng chế độ hạn chế sau , chọn Yêu cầu bảo vệ thông tin xác thực từ xa. Tùy chọn khác Chế độ quản trị viên hạn chế cũng có mặt. Ý nghĩa của nó là khi không thể sử dụng Bảo vệ thông tin xác thực từ xa, nó sẽ sử dụng chế độ Quản trị viên hạn chế.

Trong mọi trường hợp, cả Chế độ bảo vệ thông tin xác thực từ xa và Chế độ quản trị hạn chế sẽ không gửi thông tin xác thực ở dạng văn bản rõ ràng đến máy chủ Máy tính từ xa.

Cho phép Bảo vệ thông tin xác thực từ xa bằng cách chọn ‘ Ưu tiên Bảo vệ thông tin xác thực từ xa 'Tùy chọn.

Nhấp vào OK và thoát khỏi Bảng điều khiển quản lý chính sách nhóm.

Bây giờ, từ dấu nhắc lệnh, hãy chạy gpupdate.exe / force để đảm bảo rằng đối tượng Chính sách Nhóm được áp dụng.

Sử dụng Bảo vệ thông tin xác thực từ xa với một tham số để Kết nối Máy tính Từ xa

Nếu bạn không sử dụng Chính sách nhóm trong tổ chức của mình, bạn có thể thêm thông số remoteGuard khi khởi động Kết nối máy tính từ xa để bật Bảo vệ thông tin xác thực từ xa cho kết nối đó.

mstsc.exe /remoteGuard

Những điều bạn cần lưu ý khi sử dụng Bảo vệ thông tin xác thực từ xa

1. Không thể sử dụng Trình bảo vệ thông tin xác thực từ xa để kết nối với thiết bị được tham gia vào Azure Active Directory.
2. Bộ bảo vệ thông tin đăng nhập máy tính từ xa chỉ hoạt động với giao thức RDP.
3. Bảo vệ thông tin xác thực từ xa không bao gồm các xác nhận quyền sở hữu thiết bị. Ví dụ:nếu bạn đang cố gắng truy cập máy chủ tệp từ điều khiển từ xa và máy chủ tệp yêu cầu xác nhận quyền sở hữu thiết bị, quyền truy cập sẽ bị từ chối.
4. Máy chủ và ứng dụng khách phải xác thực bằng Kerberos.
5. Các miền phải có mối quan hệ tin cậy hoặc cả máy khách và máy chủ phải được kết hợp với cùng một miền.
6. Remote Desktop Gateway không tương thích với Remote Credential Guard.
7. Không có thông tin xác thực nào bị rò rỉ cho thiết bị mục tiêu. Tuy nhiên, thiết bị mục tiêu vẫn tự nhận được Vé dịch vụ Kerberos.
8. Cuối cùng, bạn phải sử dụng thông tin đăng nhập của người dùng đã đăng nhập vào thiết bị. Không được phép sử dụng thông tin đăng nhập đã lưu hoặc thông tin đăng nhập khác với thông tin đăng nhập của bạn.

Bạn có thể đọc thêm về điều này tại Technet.

Có liên quan :Cách tăng số lượng Kết nối Máy tính Từ xa trong Windows 10.