Сви корисници администратора система имају једну веома искрену бригу – обезбеђивање акредитива преко везе са удаљеном радном површином^(Desktop) . То је зато што злонамерни софтвер може да пронађе пут до било ког другог рачунара преко десктоп везе и представља потенцијалну претњу вашим подацима. Зато Виндовс ОС^{(Windows OS)} трепери упозорење „ Уверите се да верујете овом рачунару, повезивање са непоузданим рачунаром може наштетити вашем рачунару^{(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)} “ када покушате да се повежете на удаљену радну површину.

У овом посту ћемо видети како функција Ремоте Цредентиал Гуард^{(Remote Credential Guard)} , која је уведена у  Виндовс 10^{(Windows 10)} , може помоћи у заштити акредитива удаљене радне површине у Виндовс 10 Ентерприсе^{(Windows 10 Enterprise)} и Виндовс Сервер^{(Windows Server)} .

Ремоте Цредентиал Гуард^{(Remote Credential Guard)} у Виндовс 10^{(Windows 10)}

Ова функција је дизајнирана да елиминише претње пре него што прерасте у озбиљну ситуацију. Помаже вам да заштитите своје акредитиве преко везе са удаљеном радном површином^(Desktop) тако што преусмерава Керберос^(Kerberos) захтеве назад на уређај који захтева везу. Такође пружа искуство јединствене пријаве за сесије удаљене радне површине.^{(Remote Desktop)}

У случају било какве несреће у којој је циљни уређај компромитован, акредитиви корисника се не откривају јер се и акредитиви и деривати акредитива никада не шаљу циљном уређају.

Модус операнди Ремоте Цредентиал Гуард-^{(Remote Credential Guard)} а је веома сличан заштити коју нуди Цредентиал Гуард на локалној машини, осим што Цредентиал Гуард^{(Credential Guard)} такође штити сачуване акредитиве домена преко Цредентиал Манагер^{(Credential Manager)} -а .

Појединац може да користи Ремоте Цредентиал Гуард^{(Remote Credential Guard)} на следеће начине:

1. Пошто су администраторски^{(Administrator)} акредитиви веома привилеговани, морају бити заштићени. Коришћењем Ремоте Цредентиал Гуард-^{(Remote Credential Guard)} а, можете бити сигурни да су ваши акредитиви заштићени јер не дозвољава да акредитиви прођу преко мреже до циљног уређаја.
2. Запослени у служби за помоћ^(Helpdesk) у вашој организацији морају да се повежу са уређајима који су повезани са доменом који би могли бити угрожени. Са Ремоте Цредентиал Гуард-^{(Remote Credential Guard)} ом, запослени у служби за помоћ може да користи РДП^(RDP) за повезивање са циљним уређајем без угрожавања својих акредитива за малвер.

Захтеви за хардвер и софтвер

Да бисте омогућили несметано функционисање Ремоте Цредентиал Гуард-^{(Remote Credential Guard)} а, уверите се да су испуњени следећи захтеви клијента и сервера удаљене радне површине.^{(Remote Desktop)}

1. Клијент и сервер удаљене радне површине^{(Remote Desktop Client)} морају бити повезани са доменом Ацтиве Дирецтори
2. Оба уређаја морају или бити спојена на исти домен, или сервер удаљене радне^{(Remote Desktop)} површине мора бити спојен на домен са односом поверења са доменом клијентског уређаја.
3. Керберос^(Kerberos) аутентификација је требало да буде омогућена.
4. Клијент удаљене радне^{(Remote Desktop)} површине мора да ради најмање Виндовс 10^{(Windows 10)} , верзију 1607 или Виндовс Сервер 2016^{(Windows Server 2016)} .
5. Апликација Ремоте Десктоп Универсал Виндовс Платформ^{(Remote Desktop Universal Windows Platform)} не подржава Ремоте Цредентиал Гуард^{(Remote Credential Guard)} , па користите класичну Виндовс^(Windows) апликацију Ремоте Десктоп .^{(Remote Desktop)}

Омогућите Ремоте Цредентиал Гуард^{(Remote Credential Guard)} преко регистра^(Registry)

Да бисте омогућили Ремоте Цредентиал Гуард^{(Remote Credential Guard)} на циљном уређају, отворите уређивач регистра^{(Registry Editor)} и идите на следећи кључ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Додајте нову ДВОРД вредност под називом ДисаблеРестрицтедАдмин^{(DisableRestrictedAdmin)} . Подесите вредност ове поставке регистратора на 0 да бисте укључили Ремоте Цредентиал Гуард^{(Remote Credential Guard)} .

Затворите уређивач регистра.

Можете да омогућите Ремоте Цредентиал Гуард^{(Remote Credential Guard)} покретањем следеће команде са повишеног ЦМД-а:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Укључите Ремоте Цредентиал Гуард^{(Remote Credential Guard)} помоћу смерница групе^{(Group Policy)}

Могуће је користити Ремоте Цредентиал Гуард^{(Remote Credential Guard)} на клијентском уређају постављањем смерница групе^{(Group Policy)} или коришћењем параметра са везом на удаљену радну површину^{(Remote Desktop Connection)} .

Са конзоле за управљање смерницама групе^{(Group Policy Management Console)} идите на Computer Configuration > Administrative Templates > System > Credentials Delegation.

Сада двапут кликните на Ограничи делегирање акредитива на удаљене сервере^{(Restrict delegation of credentials to remote servers)} да бисте отворили оквир Својства.

Сада у пољу Користи следећи ограничени режим^{(Use the following restricted mode)} изаберите Захтевај Ремоте Цредентиал Гуард. ^{( Require Remote Credential Guard. )}Друга опција Рестрицтед Админ моде^{(Restricted Admin mode)} је такође присутна. Његов значај је да када се Ремоте Цредентиал Гуард^{(Remote Credential Guard)} не може користити, он ће користити Рестрицтед Админ^{(Restricted Admin)} режим.

У сваком случају, ни Ремоте Цредентиал Гуард^{(Remote Credential Guard)} ни Рестрицтед Админ^{(Restricted Admin)} режим неће слати акредитиве у чистом тексту серверу удаљене радне површине.^{(Remote Desktop)}

Дозволите Ремоте Цредентиал Гуард^{(Allow Remote Credential Guard)} избором опције „ Преферирај удаљену заштиту акредитива^{(Prefer Remote Credential Guard)} “.

Кликните на ОК^{(Click OK)} и изађите из конзоле за управљање смерницама групе^{(Group Policy Management Console)} .

Сада, из командне линије, покрените gpupdate.exe /force да бисте били сигурни да је објекат смерница групе примењен.^{(Group Policy)}

Користите Ремоте Цредентиал Гуард^{(Use Remote Credential Guard)} са параметром за везу са удаљеном радном површином^{(Remote Desktop)}

Ако не користите смернице групе^{(Group Policy)} у својој организацији, можете да додате параметар ремотеГуард када покренете везу^{(Desktop Connection)} са удаљеном радном површином да бисте укључили Ремоте Цредентиал Гуард^{(Remote Credential Guard)} за ту везу.

mstsc.exe /remoteGuard

Ствари које треба да имате на уму када користите Ремоте Цредентиал Гуард^{(Remote Credential Guard)}

1. Ремоте Цредентиал Гуард^{(Remote Credential Guard)} се не може користити за повезивање са уређајем који је придружен Азуре Ацтиве Дирецтори-^{(Azure Active Directory)} у .
2. Ремоте Десктоп Цредентиал Гуард^{(Remote Desktop Credential Guard)} ради само са РДП^(RDP) протоколом.
3. Ремоте Цредентиал Гуард^{(Remote Credential Guard)} не укључује захтеве за уређаје. На пример, ако покушавате да приступите серверу датотека са даљине, а сервер датотека захтева захтев уређаја, приступ ће бити одбијен.
4. Сервер и клијент морају да се аутентификују користећи Керберос^(Kerberos) .
5. Домени морају имати однос поверења, или и клијент и сервер морају бити спојени на исти домен.
6. Ремоте Десктоп Гатеваи^{(Remote Desktop Gateway)} није компатибилан са Ремоте Цредентиал Гуард^{(Remote Credential Guard)} .
7. Ниједан акредитив не процури на циљни уређај. Међутим, циљни уређај и даље сам преузима Керберос сервисне ^{(Kerberos Service)} карте^(Tickets) .
8. На крају, морате користити акредитиве корисника који је пријављен на уређај. Није дозвољено коришћење сачуваних акредитива или акредитива који се разликују од ваших.

Више о овоме можете прочитати на Тецхнету^(Technet) .

Повезано^(Related) : Како повећати број веза са удаљеном радном површином^{(increase the number of Remote Desktop Connections)} у оперативном систему Виндовс 10.

Remote Credential Guard protects Remote Desktop credentials

All system administrator users have one very genuine concern – ѕecuring crеdentials oνer a Remote Desktop connection. This is because malware can find its way to any оther computer over the desktop connection аnd pose a potеntial threat to уour data. That is why Windows OS flаshes a warning “Make sure you trust this PC, connecting to an untrusted computer might harm your PC” when you try to connect to a remote desktop.

In this post, we will see how the Remote Credential Guard feature, which has been introduced in Windows 10, can help protect remote desktop credentials in Windows 10 Enterprise and Windows Server.

Remote Credential Guard in Windows 10

The feature is designed to eliminate threats before it develops into a serious situation. It helps you protect your credentials over a Remote Desktop connection by redirecting the Kerberos requests back to the device that’s requesting the connection. It also provides single sign-on experiences for Remote Desktop sessions.

In the event of any misfortune where the target device is compromised, credentials of the user are not exposed because both credential and credential derivatives are never sent to the target device.

The modus operandi of Remote Credential Guard is very similar to the protection offered by Credential Guard on a local machine except for Credential Guard also protects stored domain credentials via the Credential Manager.

An individual can use Remote Credential Guard in the following ways-

1. Since Administrator credentials are highly privileged, they must be protected. By using Remote Credential Guard, you can be assured that your credentials are protected as it does not allow credentials to pass over the network to the target device.
2. Helpdesk employees in your organization must connect to domain-joined devices that could be compromised. With Remote Credential Guard, the helpdesk employee can use RDP to connect to the target device without compromising their credentials to malware.

Hardware and software requirements

To enable smooth functioning of the Remote Credential Guard, ensure the following requirements of Remote Desktop client and server are met.

1. The Remote Desktop Client and server must be joined to an Active Directory domain
2. Both devices must either joined to the same domain, or the Remote Desktop server must be joined to a domain with a trust relationship to the client device’s domain.
3. The Kerberos authentication should have been enabled.
4. The Remote Desktop client must be running at least Windows 10, version 1607 or Windows Server 2016.
5. The Remote Desktop Universal Windows Platform app doesn’t support Remote Credential Guard so, use Remote Desktop classic Windows app.

Enable Remote Credential Guard via Registry

To enable Remote Credential Guard on the target device, open Registry Editor and go to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Add a new DWORD value named DisableRestrictedAdmin. Set the value of this registry setting to 0 to turn on Remote Credential Guard.

Close the Registry Editor.

You can enable Remote Credential Guard by running the following command from an elevated CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Turn on Remote Credential Guard by using Group Policy

It is possible to use Remote Credential Guard on the client device by setting a Group Policy or by using a parameter with Remote Desktop Connection.

From the Group Policy Management Console, navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation.

Now, double-click Restrict delegation of credentials to remote servers to open its Properties box.

Now in the Use the following restricted mode box, choose Require Remote Credential Guard. The other option Restricted Admin mode is also present. Its significance is that when Remote Credential Guard cannot be used, it will use Restricted Admin mode.

In any case, neither Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

Allow Remote Credential Guard, by choosing ‘Prefer Remote Credential Guard’ option.

Click OK and exit the Group Policy Management Console.

Now, from a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

Use Remote Credential Guard with a parameter to Remote Desktop Connection

If you don’t use Group Policy in your organization, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

Things you should keep in mind when using Remote Credential Guard

1. Remote Credential Guard cannot be used to connect to a device that is joined to Azure Active Directory.
2. Remote Desktop Credential Guard only works with the RDP protocol.
3. Remote Credential Guard does not include device claims. For example, if you’re trying to access a file server from the remote and the file server requires device claim, access will be denied.
4. The server and client must authenticate using Kerberos.
5. The domains must have a trust relationship, or both the client and the server must be joined to the same domain.
6. Remote Desktop Gateway is not compatible with Remote Credential Guard.
7. No credentials are leaked to the target device . However, the target device still acquires the Kerberos Service Tickets on its own.
8. Lastly, you must use the credentials of the user who is logged into the device. Using saved credentials or credentials that are different than yours are not permitted.

You can read more on this at Technet.

Related: How to increase the number of Remote Desktop Connections in Windows 10.

Related posts

• Повећајте број веза са удаљеном радном површином у оперативном систему Виндовс 11/10

• Виндовс тастер се заглавио након преласка са сесије удаљене радне површине

• Није могуће копирати залепити у сесији удаљене радне површине у оперативном систему Виндовс 10

• Дошло је до грешке при аутентификацији, захтевана функција није подржана

• Креирајте пречицу за везу са удаљеном радном површином у оперативном систему Виндовс 11/10

• Најбољи бесплатни софтвер за удаљену радну површину за Виндовс 10

• Како користити удаљену радну површину у оперативном систему Виндовс 10

• Повежите иПхоне са Виндовс 10 рачунаром користећи Мицрософт Ремоте Десктоп

• НоМацхине је бесплатна и преносива алатка за удаљену радну површину за Виндовс рачунар

• Дошло је до интерне грешке за везу са удаљеном радном површином

• Мицрософт помоћник за удаљену радну површину за Виндовс 10

• Да бисте се пријавили на даљину, потребно је да се пријавите преко услуга удаљене радне површине

• Како блокирати удаљену радну површину на вашем Виндовс рачунару -

• Аммии Админ: преносиви безбедни софтвер за удаљену радну површину са нултом конфигурацијом

• Како омогућити и користити везу са удаљеном радном површином у оперативном систему Виндовс 11/10

• Приступите свом рачунару са даљине помоћу Цхроме удаљене радне површине

• Повежите се са Виндовс рачунаром из Убунтуа користећи везу са удаљеном радном површином

• Како користити апликацију Ремоте Десктоп у оперативном систему Виндовс 10

• Промените порт за слушање за удаљену радну површину

• Услуге удаљене радне површине узрокују висок ЦПУ у оперативном систему Виндовс 11/10