Uzak Kimlik Bilgisi Koruması, Uzak Masaüstü kimlik bilgilerini korur

Tüm sistem yöneticileri, bir Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerini güvenceye almak için çok ciddi bir endişeye sahiptir. Bunun nedeni, kötü amaçlı yazılımın masaüstü bağlantısı üzerinden başka bir bilgisayara ulaşabilmesi ve verileriniz için potansiyel bir tehdit oluşturmasıdır. Bu nedenle Windows işletim sistemi, uzak bir masaüstüne bağlanmaya çalıştığınızda "Güvenilmeyen bir bilgisayara bağlandığınızda Pc`nize zarar verebildiğinizden emin olun" uyarısı veriyor. Windows 10 v1607 `da kullanıma sunulan Uzaktan Kimlik Bilgisi Koruması özelliğinin, Windows 10 Enterprise ` daki uzak masaüstü kimlik bilgilerinin korunmasına nasıl yardımcı olabileceğini göreceğiz. > ve Windows Server 2016 .

Windows 10`daki Uzaktan Kimlik Koruması

Bu özellik, ciddi bir duruma dönüşmeden önce tehditleri ortadan kaldırmak için tasarlanmıştır. Kerberos isteklerini bağlantı isteğinde bulunan aygıta yeniden yönlendirerek, Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerinizi korumanıza yardımcı olur. Ayrıca, Uzak Masaüstü oturumları için tek oturum açma deneyimleri sağlar.

Hedef aygıtın tehlikeye girdiği herhangi bir talihsizlik durumunda, kullanıcının kimlik bilgileri açık değildir, çünkü hem kimlik bilgisi hem de kimlik bilgisi türevleri hiçbir zaman hedef aygıta gönderilmez.

Remote Credential Guard`ın modus operandi`si, Credential Guard`ın Credential Guard haricindeki bir yerel makinede sunduğu korumaya çok benzer. Credential Guard ayrıca saklanan etki alanı kimlik bilgilerini Credential Manager aracılığıyla korur.

Bir kişi Remote Credential Guard`ı kullanarak Aşağıdaki yollarla

1. Yönetici kimlik bilgileri son derece ayrıcalıklı olduğundan, korunmalıdır. Uzaktan Kimlik Koruması`nı kullanarak, kimlik bilgilerinizin ağ üzerinden hedef cihaza geçmesine izin vermediğinden kimlik bilgilerinizin korunduğundan emin olabilirsiniz.
2. Kuruluşunuzdaki yardım masası çalışanları, güvenliği ihlal edilen etki alanıyla birleştirilen cihazlara bağlanmalıdır.. Remote Credential Guard ile, yardım masası çalışanı RDp`yi hedef aygıtına kötü amaçlı yazılımlardan ödün vermeden bağlanmak için kullanabilir.

Donanım ve yazılım gereksinimleri

Uzaktan Kimlik Koruması`nın düzgün çalışmasını sağlamak için, aşağıdaki Uzaktan Denetim gereksinimlerini karşılayın. Masaüstü istemci ve sunucu karşılandı.

1. Uzak Masaüstü İstemcisi ve sunucu bir Active Directory etki alanına
2. eklenmelidir. Her iki aygıt da aynı etki alanına katılmış olmalıdır veya Uzak Masaüstü sunucusunun bir etki alanına
3. Kerberos kimlik doğrulaması etkinleştirilmiş olmalıdır.
4. Uzak Masaüstü istemcisi en az Windows 10, sürüm 1607 veya Windows Server 2016 çalıştırıyor olmalıdır.
5. Uzak Masaüstü Evrensel Windows Platformu Uygulama Uzak Kimlik Bilgisi Korumasını desteklemez, Uzak Masaüstü klasik Windows uygulamasını kullanın.

Kayıt Defteri

ile Uzaktan Kimlik Koruma`yı Etkinleştirin Hedef aygıtta Uzaktan Kimlik Koruma`yı etkinleştirmek için Yeniden Aç gistry Editor ve aşağıdaki anahtara gidin:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

DisableRestrictedAdmin adlı yeni bir DWORD değeri ekleyin. Uzak Kayıt Defteri Koruması`nı açmak için 0 için bu kayıt defteri ayarının değerini ayarlayın.

Kayıt Defteri Düzenleyicisi`ni kapatın.

Yükseltilmiş bir CMd`den aşağıdaki komutu çalıştırarak Uzaktan Kimlik Bilgisi Korumasını etkinleştirebilirsiniz:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Grup İlkesi

kullanarak Uzaktan Kimlik Bilgisi Korumasını Açma İstemci aygıtında Uzaktan Kimlik Güvencesi kullanmak mümkündür. Grup İlkesi ayarlama veya Uzak Masaüstü Bağlantısı ile bir parametre kullanarak

Grup İlkesi Yönetim Konsolu`ndan, Bilgisayar Yapılandırması> Yönetim Şablonları> Sistem> Kimlik Bilgileri Yetkisi seçeneğine gidin.

Şimdi

Uzak Kimlik Bilgisi Korumasını Gerektirir

Diğer Kısıtlı Yönetici modu da mevcut. Önemi, Uzaktan Kimlik Koruması kullanılamıyorken Kısıtlı Yönetici modunu kullanacağıdır.

Her durumda, Uzaktan Kimlik Koruması veya Kısıtlı Yönetici modu, Uzak Masaüstü sunucusuna açık metin olarak kimlik bilgilerini gönderemez.

İzin Ver Uzak Kimlik Bilgisi Koruması, ` Uzaktan Kimlik Korumasını Tercih Et ` seçeneğini işaretleyin.

Tamam`ı tıklatın ve Grup İlkesi Yönetim Konsolu`ndan çıkın.

Şimdi, komut isteminden

gpupdate.exe aracını çalıştırın.

Grup İlkesi nesnesinin uygulandığından emin olmak için

1. Uzak Kimlik Bilgisi Korumasını Uzak Masaüstü Bağlantısı parametresiyle
2. kullanın. Kuruluşunuzda Grup İlkesi kullanmıyorsanız, remoteGuard parametresini ekleyebilirsiniz. Remote Credential Guard`ı bu bağlantı için açmak üzere Uzak Masaüstü Bağlantısı`nı başlattığınızda.
3. mstsc.exe / remoteGuard
4. Remote Credential Guard`ı kullanırken dikkat etmeniz gerekenler
5. Remote Credential Guard; Azure Active Directory`ye katılan bir aygıt.
6. Remo Desktop Credential Guard yalnızca RDP protokolüyle çalışır.
7. Remote Credential Guard, aygıt hak taleplerini içermez. Örneğin, uzaktaki bir dosya sunucusuna erişmeye çalışıyorsanız ve dosya sunucusu aygıt talebi gerektiriyorsa, erişim reddedilir.
8. Sunucu ve istemci Kerberos kullanarak kimlik doğrulamalıdır.

Etki alanlarının güvenmesi gerekir. ilişki veya istemciyle sunucu aynı etki alanına katılmış olmalıdır.