Credencial remoto protege as credenciais da área de trabalho remota

Todos os usuários de administradores de sistema têm uma preocupação muito real: proteger as credenciais através de uma conexão de área de trabalho remota. Isso ocorre porque o malware pode encontrar o caminho para qualquer outro computador pela conexão da área de trabalho e representar uma ameaça potencial aos seus dados. É por isso que o sistema operacional Windows exibe um aviso "Certifique-se de confiar neste computador, conectar-se a um computador não-confiável pode danificar seu computador" ao tentar se conectar a uma área de trabalho remota. Neste post, veremos como o recurso Remote Credential Guard , que foi introduzido no Windows 10 v1607, pode ajudar a proteger as credenciais da área de trabalho remota no Windows 10 Enterprise e Windows Server 2016 .

Proteção Credencial Remota no Windows 10

O recurso foi projetado para eliminar ameaças antes que elas se transformem em uma situação séria. Ele ajuda a proteger suas credenciais através de uma conexão de Área de Trabalho Remota redirecionando as solicitações Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece experiências de logon único para sessões da Área de Trabalho Remota.

No caso de qualquer infortúnio em que o dispositivo de destino é comprometido, as credenciais do usuário não são expostas, pois as derivadas de credenciais e credenciais nunca são enviadas para o dispositivo de destino.

O modus operandi do Remote Credential Guard é muito semelhante à proteção oferecida pelo Credential Guard em uma máquina local, exceto que o Credential Guard também protege credenciais de domínio armazenadas por meio do Credential Manager.

Um indivíduo pode usar o Remote Credential Guard no Seguindo caminhos-

1. Como as credenciais de administrador são altamente privilegiadas, elas devem ser protegidas. Usando o Remote Credential Guard, você pode ter certeza de que suas credenciais estão protegidas, pois não permite que as credenciais passem pela rede para o dispositivo de destino.
2. Os funcionários do suporte técnico em sua organização devem se conectar a dispositivos ingressados ​​no domínio que poderiam estar comprometidos. Com o Remote Credential Guard, o funcionário do helpdesk pode usar o RDP para se conectar ao dispositivo de destino sem comprometer suas credenciais para malwares

Requisitos de hardware e software

Para permitir o bom funcionamento da Proteção de Credenciais Remotas, assegure os seguintes requisitos Cliente de desktop e servidor são atendidos

1. O cliente e o servidor de área de trabalho remota devem estar associados a um domínio do Active Directory
2. Os dois dispositivos devem ingressar no mesmo domínio ou o servidor de Área de Trabalho Remota deve ingressar em um domínio com um relação de confiança com o domínio do dispositivo cliente.
3. A autenticação Kerberos deveria ter sido habilitada.
4. O cliente de Área de Trabalho Remota deve estar executando pelo menos o Windows 10, versão 1607 ou Windows Server 2016.
5. O aplicativo não suporta o Remote Credential Guard, portanto, use o aplicativo Windows clássico da Área de Trabalho Remota.

Ativar proteção remota de credenciais via Registro

Para ativar a Proteção de Credenciais Remotas no dispositivo de destino, abra gistry Editor e vá para a seguinte chave:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Adicione um novo valor DWORD chamado DisableRestrictedAdmin . Defina o valor dessa configuração do registro como 0 para ativar a Proteção de Credenciais Remotas.

Feche o Editor do Registro

Você pode habilitar a Proteção de Credenciais Remotas executando o seguinte comando em um CMD elevado:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Ativar o Remote Credential Guard usando a Diretiva de Grupo

É possível usar o Remote Credential Guard no dispositivo cliente definindo uma Diretiva de Grupo ou usando um parâmetro com Conexão de Área de Trabalho Remota.

No Console de Gerenciamento de Diretiva de Grupo, navegue até Configuração do Computador> Modelos Administrativos> Sistema> Delegação de Credenciais

Agora, clique duas vezes em Restringir a delegação de credenciais a servidores remotos para abrir a caixa Propriedades

Agora, na caixa Use o seguinte modo restrito, escolha Exigir proteção remota de credenciais A outra opção Modo Admin restrito também está presente. Sua importância é que, quando o Remote Credential Guard não puder ser usado, ele usará o modo Administrador Restrito.

Em nenhum caso, nem o Remote Credential Guard nem o modo Administrador Restrito enviarão credenciais em texto não criptografado ao servidor da Área de Trabalho Remota. Remote Credential Guard, escolhendo a opção `

Preferir Proteção Remota de Credenciais `. Clique em OK e saia do Console de Gerenciamento de Diretiva de Grupo.

Agora, em um prompt de comando, execute

gpupdate.exe / force para garantir que o objeto de Diretiva de Grupo seja aplicado Use o Remote Credential Guard com um parâmetro para Conexão de Área de Trabalho Remota

Se você não usa a Diretiva de Grupo em sua organização, pode adicionar o parâmetro remoteGuard quando você inicia a Conexão de Área de Trabalho Remota para ativar a Proteção de Credenciais Remotas para essa conexão.

mstsc.exe / remoteGuard

Informações que você deve ter em mente ao usar a Proteção de Credenciais Remotas

Não é possível usar a Proteção de Credenciais Remotas um dispositivo que ingressou no Active Directory do Azure.

1. Remo O Desktop Credential Guard funciona apenas com o protocolo RDP.
2. O Remote Credential Guard não inclui reivindicações de dispositivos. Por exemplo, se você estiver tentando acessar um servidor de arquivos do remoto e o servidor de arquivos exigir uma declaração de dispositivo, o acesso será negado.
3. O servidor e o cliente devem ser autenticados usando o Kerberos.
4. Os domínios devem ter uma confiança relacionamento, ou o cliente e o servidor devem ser unidos ao mesmo domínio.
5. O Remote Desktop Gateway não é compatível com o Remote Credential Guard.
6. Nenhuma credencial vazou para o dispositivo de destino. No entanto, o dispositivo de destino ainda adquire os tickets de serviço Kerberos por conta própria.
7. Por último, você deve usar as credenciais do usuário que está conectado ao dispositivo. Não é permitido usar credenciais ou credenciais salvas que sejam diferentes das suas.
8. Você pode ler mais sobre isso na Technet.