Remote Credential Guard ปกป้องข้อมูลรับรอง Remote Desktop ใน Windows 10

ผู้ใช้ผู้ดูแลระบบทุกคนมีข้อกังวลอย่างแท้จริงอย่างหนึ่ง นั่นคือ การรักษาความปลอดภัยข้อมูลประจำตัวผ่านการเชื่อมต่อเดสก์ท็อประยะไกล เนื่องจากมัลแวร์สามารถหาทางไปยังคอมพิวเตอร์เครื่องอื่นผ่านการเชื่อมต่อเดสก์ท็อปและอาจเป็นภัยคุกคามต่อข้อมูลของคุณ นั่นคือเหตุผลที่ระบบปฏิบัติการ Windows แสดงคำเตือน “ตรวจสอบให้แน่ใจว่าคุณเชื่อถือพีซีเครื่องนี้ การเชื่อมต่อกับคอมพิวเตอร์ที่ไม่น่าเชื่อถืออาจเป็นอันตรายต่อพีซีของคุณ ” เมื่อคุณพยายามเชื่อมต่อกับเดสก์ท็อประยะไกล

ในโพสต์นี้ เราจะมาดูกันว่า Remote Credential Guard . เป็นอย่างไร ซึ่งเปิดตัวใน Windows 10 สามารถช่วยปกป้องข้อมูลรับรองเดสก์ท็อประยะไกลใน Windows 10 Enterprise และ Windows Server .

Remote Credential Guard ใน Windows 10

คุณลักษณะนี้ออกแบบมาเพื่อกำจัดภัยคุกคามก่อนที่จะพัฒนาไปสู่สถานการณ์ที่ร้ายแรง ช่วยปกป้องข้อมูลประจำตัวของคุณผ่านการเชื่อมต่อเดสก์ท็อประยะไกลโดยเปลี่ยนเส้นทาง Kerberos ขอกลับไปที่อุปกรณ์ที่ขอการเชื่อมต่อ นอกจากนี้ยังมอบประสบการณ์การลงชื่อเพียงครั้งเดียวสำหรับเซสชันเดสก์ท็อประยะไกลอีกด้วย

ในกรณีที่มีเหตุร้ายที่อุปกรณ์เป้าหมายถูกบุกรุก ข้อมูลประจำตัวของผู้ใช้จะไม่ถูกเปิดเผยเนื่องจากทั้งอนุพันธ์ข้อมูลประจำตัวและหนังสือรับรองจะไม่ถูกส่งไปยังอุปกรณ์เป้าหมาย

วิธีการดำเนินการของ Remote Credential Guard นั้นคล้ายกันมากกับการป้องกันที่ Credential Guard นำเสนอบนเครื่องในเครื่อง ยกเว้น Credential Guard ยังปกป้องข้อมูลรับรองของโดเมนที่จัดเก็บไว้ผ่านทาง Credential Manager

บุคคลสามารถใช้ Remote Credential Guard ได้ด้วยวิธีต่อไปนี้-

1. เนื่องจากข้อมูลประจำตัวของผู้ดูแลระบบมีสิทธิพิเศษสูง จึงต้องได้รับการปกป้อง ด้วยการใช้ Remote Credential Guard คุณสามารถมั่นใจได้ว่าข้อมูลประจำตัวของคุณได้รับการปกป้องเนื่องจากไม่อนุญาตให้ส่งข้อมูลผ่านเครือข่ายไปยังอุปกรณ์เป้าหมาย
2. พนักงาน Helpdesk ในองค์กรของคุณต้องเชื่อมต่อกับอุปกรณ์ที่เข้าร่วมโดเมนซึ่งอาจถูกบุกรุก ด้วย Remote Credential Guard พนักงานโปรแกรมช่วยเหลือสามารถใช้ RDP เพื่อเชื่อมต่อกับอุปกรณ์เป้าหมายได้โดยไม่กระทบต่อข้อมูลประจำตัวของตนกับมัลแวร์

ข้อกำหนดด้านฮาร์ดแวร์และซอฟต์แวร์

เพื่อให้การทำงานที่ราบรื่นของ Remote Credential Guard ตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามข้อกำหนดต่อไปนี้ของไคลเอ็นต์เดสก์ท็อประยะไกลและเซิร์ฟเวอร์

1. ไคลเอ็นต์เดสก์ท็อประยะไกลและเซิร์ฟเวอร์ต้องเชื่อมต่อกับโดเมน Active Directory
2. อุปกรณ์ทั้งสองต้องเข้าร่วมโดเมนเดียวกัน หรือเซิร์ฟเวอร์เดสก์ท็อประยะไกลต้องเข้าร่วมโดเมนที่มีความสัมพันธ์ที่เชื่อถือได้กับโดเมนของอุปกรณ์ไคลเอ็นต์
3. ควรเปิดใช้งานการตรวจสอบสิทธิ์ Kerberos แล้ว
4. ไคลเอ็นต์เดสก์ท็อประยะไกลต้องใช้งานอย่างน้อย Windows 10 เวอร์ชัน 1607 หรือ Windows Server 2016
5. แอป Remote Desktop Universal Windows Platform ไม่สนับสนุน Remote Credential Guard ดังนั้น ให้ใช้แอป Remote Desktop แบบคลาสสิกของ Windows

เปิดใช้งาน Remote Credential Guard ผ่าน Registry

หากต้องการเปิดใช้งาน Remote Credential Guard บนอุปกรณ์เป้าหมาย ให้เปิด Registry Editor และไปที่คีย์ต่อไปนี้:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

เพิ่มค่า DWORD ใหม่ชื่อ DisableRestrictedAdmin . ตั้งค่าของการตั้งค่ารีจิสทรีนี้เป็น 0 เพื่อเปิด Remote Credential Guard

ปิดตัวแก้ไขรีจิสทรี

คุณสามารถเปิดใช้งาน Remote Credential Guard ได้โดยเรียกใช้คำสั่งต่อไปนี้จาก CMD ที่ยกระดับ:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

เปิดใช้ Remote Credential Guard โดยใช้ Group Policy

เป็นไปได้ที่จะใช้ Remote Credential Guard บนอุปกรณ์ไคลเอนต์โดยการตั้งค่านโยบายกลุ่มหรือโดยการใช้พารามิเตอร์ด้วยการเชื่อมต่อเดสก์ท็อประยะไกล

จากคอนโซลการจัดการนโยบายกลุ่ม ให้ไปที่การกำหนดค่าคอมพิวเตอร์> เทมเพลตการดูแลระบบ> ระบบ> การมอบสิทธิ์ข้อมูลรับรอง

ตอนนี้ ดับเบิลคลิก จำกัดการมอบสิทธิ์ของข้อมูลรับรองไปยังเซิร์ฟเวอร์ระยะไกล เพื่อเปิดกล่องคุณสมบัติ

ตอนนี้อยู่ใน ใช้โหมดจำกัดต่อไปนี้ ในกล่อง เลือก Require Remote Credential Guard ตัวเลือกอื่น โหมดผู้ดูแลระบบที่จำกัด ก็มีอยู่ สิ่งสำคัญคือเมื่อไม่สามารถใช้ Remote Credential Guard ได้ จะใช้โหมด Restricted Admin

ไม่ว่าในกรณีใด โหมด Remote Credential Guard และ Restricted Admin จะส่งข้อมูลรับรองเป็นข้อความที่ชัดเจนไปยังเซิร์ฟเวอร์ Remote Desktop

อนุญาต Remote Credential Guard โดยเลือก 'ต้องการ Remote Credential Guard ’ ตัวเลือก

คลิกตกลงและออกจากคอนโซลการจัดการนโยบายกลุ่ม

จากพรอมต์คำสั่ง ให้เรียกใช้ gpupdate.exe /force เพื่อให้แน่ใจว่ามีการใช้วัตถุนโยบายกลุ่ม

ใช้ Remote Credential Guard พร้อมพารามิเตอร์ในการเชื่อมต่อเดสก์ท็อประยะไกล

ถ้าคุณไม่ได้ใช้นโยบายกลุ่มในองค์กรของคุณ คุณสามารถเพิ่มพารามิเตอร์ remoteGuard เมื่อคุณเริ่มการเชื่อมต่อเดสก์ท็อประยะไกลเพื่อเปิด Remote Credential Guard สำหรับการเชื่อมต่อนั้น

mstsc.exe /remoteGuard

สิ่งที่คุณควรคำนึงถึงเมื่อใช้ Remote Credential Guard

1. Remote Credential Guard ไม่สามารถใช้เชื่อมต่อกับอุปกรณ์ที่เข้าร่วม Azure Active Directory
2. Remote Desktop Credential Guard ใช้งานได้กับโปรโตคอล RDP เท่านั้น
3. Remote Credential Guard ไม่มีการอ้างสิทธิ์อุปกรณ์ ตัวอย่างเช่น หากคุณกำลังพยายามเข้าถึงไฟล์เซิร์ฟเวอร์จากรีโมตและเซิร์ฟเวอร์ไฟล์ต้องการการอ้างสิทธิ์อุปกรณ์ การเข้าถึงจะถูกปฏิเสธ
4. เซิร์ฟเวอร์และไคลเอ็นต์ต้องตรวจสอบสิทธิ์โดยใช้ Kerberos
5. โดเมนต้องมีความสัมพันธ์ที่เชื่อถือได้ หรือทั้งไคลเอ็นต์และเซิร์ฟเวอร์ต้องเข้าร่วมในโดเมนเดียวกัน
6. เกตเวย์เดสก์ท็อประยะไกลเข้ากันไม่ได้กับ Remote Credential Guard
7. ไม่มีข้อมูลประจำตัวรั่วไหลไปยังอุปกรณ์เป้าหมาย อย่างไรก็ตาม อุปกรณ์เป้าหมายยังคงได้รับ Kerberos Service Tickets ด้วยตัวมันเอง
8. สุดท้าย คุณต้องใช้ข้อมูลประจำตัวของผู้ใช้ที่ลงชื่อเข้าใช้อุปกรณ์ ไม่อนุญาตให้ใช้ข้อมูลประจำตัวที่บันทึกไว้หรือข้อมูลประจำตัวที่แตกต่างจากของคุณ

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ที่ Technet

ที่เกี่ยวข้อง :วิธีเพิ่มจำนวนการเชื่อมต่อเดสก์ท็อประยะไกลใน Windows 10