Όλοι οι χρήστες διαχειριστών συστήματος έχουν μια πολύ γνήσια ανησυχία - την ασφάλεια των διαπιστευτηρίων μέσω μιας σύνδεσης απομακρυσμένης επιφάνειας εργασίας^(Desktop) . Αυτό συμβαίνει επειδή το κακόβουλο λογισμικό μπορεί να βρει το δρόμο του σε οποιονδήποτε άλλο υπολογιστή μέσω της σύνδεσης επιφάνειας εργασίας και να αποτελέσει πιθανή απειλή για τα δεδομένα σας. Αυτός είναι ο λόγος για τον οποίο το λειτουργικό σύστημα Windows^{(Windows OS)} αναβοσβήνει μια προειδοποίηση « Βεβαιωθείτε ότι εμπιστεύεστε αυτόν τον υπολογιστή, η σύνδεση σε έναν μη αξιόπιστο υπολογιστή μπορεί να βλάψει τον υπολογιστή σας^{(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)} » όταν προσπαθείτε να συνδεθείτε σε μια απομακρυσμένη επιφάνεια εργασίας.

Σε αυτήν την ανάρτηση, θα δούμε πώς η δυνατότητα Remote Credential Guard^{(Remote Credential Guard)} , η οποία έχει εισαχθεί στα  Windows 10 , μπορεί να βοηθήσει στην προστασία των διαπιστευτηρίων απομακρυσμένης επιφάνειας εργασίας στα Windows 10 Enterprise και Windows Server .

Remote Credential Guard στα Windows 10

Το χαρακτηριστικό έχει σχεδιαστεί για την εξάλειψη των απειλών πριν εξελιχθεί σε σοβαρή κατάσταση. Σας βοηθά να προστατεύσετε τα διαπιστευτήριά σας μέσω μιας σύνδεσης απομακρυσμένης επιφάνειας εργασίας^(Desktop) , ανακατευθύνοντας τα αιτήματα Kerberos πίσω στη συσκευή που ζητά τη σύνδεση. Παρέχει επίσης εμπειρίες μονής σύνδεσης για συνεδρίες απομακρυσμένης επιφάνειας εργασίας .^{(Remote Desktop)}

Σε περίπτωση ατυχίας όπου η συσκευή-στόχος παραβιάζεται, τα διαπιστευτήρια του χρήστη δεν εκτίθενται, επειδή τόσο τα διαπιστευτήρια όσο και τα παράγωγα διαπιστευτηρίων δεν αποστέλλονται ποτέ στη συσκευή-στόχο.

Ο τρόπος λειτουργίας του Remote Credential Guard είναι πολύ παρόμοιος με την προστασία που προσφέρει το Credential Guard σε ένα τοπικό μηχάνημα, εκτός από το ότι το Credential Guard προστατεύει επίσης τα αποθηκευμένα διαπιστευτήρια τομέα μέσω του Credential Manager .

Ένα άτομο μπορεί να χρησιμοποιήσει το Remote Credential Guard με τους εξής τρόπους:

1. Δεδομένου ότι τα διαπιστευτήρια διαχειριστή^{(Administrator)} είναι εξαιρετικά προνομιακά, πρέπει να προστατεύονται. Χρησιμοποιώντας το Remote Credential Guard , μπορείτε να είστε βέβαιοι ότι τα διαπιστευτήριά σας προστατεύονται, καθώς δεν επιτρέπει στα διαπιστευτήρια να περάσουν μέσω του δικτύου στη συσκευή-στόχο.
2. Οι υπάλληλοι του Helpdesk^(Helpdesk) στον οργανισμό σας πρέπει να συνδεθούν σε συσκευές συνδεδεμένες σε τομέα που θα μπορούσαν να παραβιαστούν. Με το Remote Credential Guard , ο υπάλληλος του γραφείου υποστήριξης μπορεί να χρησιμοποιήσει το RDP για να συνδεθεί στη συσκευή-στόχο χωρίς να θέτει σε κίνδυνο τα διαπιστευτήριά του σε κακόβουλο λογισμικό.

Απαιτήσεις υλικού και λογισμικού

Για να επιτρέψετε την ομαλή λειτουργία του Remote Credential Guard , βεβαιωθείτε ότι πληρούνται οι ακόλουθες απαιτήσεις του προγράμματος-πελάτη και του διακομιστή απομακρυσμένης επιφάνειας εργασίας .^{(Remote Desktop)}

1. Ο πελάτης απομακρυσμένης επιφάνειας εργασίας^{(Remote Desktop Client)} και ο διακομιστής πρέπει να συνδεθούν σε έναν τομέα Active Directory
2. Και οι δύο συσκευές πρέπει είτε να συνδεθούν στον ίδιο τομέα είτε ο διακομιστής απομακρυσμένης επιφάνειας εργασίας^{(Remote Desktop)} πρέπει να συνδεθεί σε έναν τομέα με σχέση εμπιστοσύνης με τον τομέα της συσκευής-πελάτη.
3. Ο έλεγχος ταυτότητας Kerberos θα έπρεπε να είχε ενεργοποιηθεί.
4. Το πρόγραμμα-πελάτης Remote Desktop πρέπει να εκτελεί τουλάχιστον Windows 10 , έκδοση 1607 ή Windows Server 2016 .
5. Η εφαρμογή Remote Desktop Universal Windows Platform δεν υποστηρίζει Remote Credential Guard , επομένως, χρησιμοποιήστε την κλασική εφαρμογή Remote Desktop Windows .

Ενεργοποιήστε το Remote Credential Guard^{(Remote Credential Guard)} μέσω του μητρώου^(Registry)

Για να ενεργοποιήσετε το Remote Credential Guard στη συσκευή προορισμού, ανοίξτε τον Επεξεργαστή Μητρώου^{(Registry Editor)} και μεταβείτε στο ακόλουθο κλειδί:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Προσθέστε μια νέα τιμή DWORD με το όνομα DisableRestrictedAdmin . Ορίστε την τιμή αυτής της ρύθμισης μητρώου στο 0 για να ενεργοποιήσετε το Remote Credential Guard .

Κλείστε τον Επεξεργαστή Μητρώου.

Μπορείτε να ενεργοποιήσετε το Remote Credential Guard εκτελώντας την ακόλουθη εντολή από ένα αυξημένο CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Ενεργοποιήστε το Remote Credential Guard χρησιμοποιώντας την πολιτική ομάδας^{(Group Policy)}

Είναι δυνατό να χρησιμοποιήσετε το Remote Credential Guard στη συσκευή-πελάτη ορίζοντας μια πολιτική ομάδας^{(Group Policy)} ή χρησιμοποιώντας μια παράμετρο με τη σύνδεση απομακρυσμένης επιφάνειας εργασίας^{(Remote Desktop Connection)} .

Από την Κονσόλα διαχείρισης πολιτικής ομάδας^{(Group Policy Management Console)} , μεταβείτε στο Computer Configuration > Administrative Templates > System > Credentials Delegation.

Τώρα, κάντε διπλό κλικ στην επιλογή Περιορισμός εκχώρησης διαπιστευτηρίων σε απομακρυσμένους διακομιστές^{(Restrict delegation of credentials to remote servers)} για να ανοίξετε το πλαίσιο Ιδιότητες.

Τώρα στο πλαίσιο Χρήση της ακόλουθης περιορισμένης λειτουργίας^{(Use the following restricted mode)} , επιλέξτε Απαιτείται απομακρυσμένη προστασία διαπιστευτηρίων. ^{( Require Remote Credential Guard. )}Υπάρχει επίσης η άλλη επιλογή Λειτουργία περιορισμένης διαχείρισης^{(Restricted Admin mode)} . Η σημασία του είναι ότι όταν το Remote Credential Guard δεν μπορεί να χρησιμοποιηθεί, θα χρησιμοποιεί τη λειτουργία περιορισμένης διαχείρισης^{(Restricted Admin)} .

Σε κάθε περίπτωση, ούτε η λειτουργία Remote Credential Guard^{(Remote Credential Guard)} ούτε η λειτουργία περιορισμένης διαχείρισης^{(Restricted Admin)} θα στείλουν τα διαπιστευτήρια σε καθαρό κείμενο στον διακομιστή Remote Desktop .

Επιτρέψτε το Remote Credential Guard^{(Allow Remote Credential Guard)} , επιλέγοντας την επιλογή ' Prefer Remote Credential Guard '.

Κάντε κλικ στο OK^{(Click OK)} και βγείτε από την Κονσόλα διαχείρισης πολιτικής ομάδας^{(Group Policy Management Console)} .

Τώρα, από μια γραμμή εντολών, εκτελέστε το gpupdate.exe /force για να βεβαιωθείτε ότι εφαρμόζεται το αντικείμενο Πολιτικής ομάδας^{(Group Policy)} .

Χρησιμοποιήστε το Remote Credential Guard^{(Use Remote Credential Guard)} με μια παράμετρο για τη σύνδεση απομακρυσμένης επιφάνειας εργασίας^{(Remote Desktop)}

Εάν δεν χρησιμοποιείτε την Πολιτική ομάδας^{(Group Policy)} στον οργανισμό σας, μπορείτε να προσθέσετε την παράμετρο remoteGuard όταν ξεκινάτε τη Σύνδεση απομακρυσμένης επιφάνειας εργασίας^{(Desktop Connection)} για να ενεργοποιήσετε το Remote Credential Guard για αυτήν τη σύνδεση.

mstsc.exe /remoteGuard

Πράγματα που πρέπει να έχετε υπόψη όταν χρησιμοποιείτε το Remote Credential Guard

1. Το Remote Credential Guard^{(Remote Credential Guard)} δεν μπορεί να χρησιμοποιηθεί για σύνδεση σε συσκευή που είναι συνδεδεμένη στο Azure Active Directory .
2. Το Remote Desktop Credential Guard^{(Remote Desktop Credential Guard)} λειτουργεί μόνο με το πρωτόκολλο RDP .
3. Το Remote Credential Guard^{(Remote Credential Guard)} δεν περιλαμβάνει αξιώσεις συσκευής. Για παράδειγμα, εάν προσπαθείτε να αποκτήσετε πρόσβαση σε έναν διακομιστή αρχείων από το τηλεχειριστήριο και ο διακομιστής αρχείων απαιτεί αξίωση συσκευής, η πρόσβαση θα απορριφθεί.
4. Ο διακομιστής και ο πελάτης πρέπει να πραγματοποιήσουν έλεγχο ταυτότητας χρησιμοποιώντας το Kerberos .
5. Οι τομείς πρέπει να έχουν σχέση εμπιστοσύνης ή και ο πελάτης και ο διακομιστής πρέπει να συνδεθούν στον ίδιο τομέα.
6. Το Remote Desktop Gateway^{(Remote Desktop Gateway)} δεν είναι συμβατό με το Remote Credential Guard .
7. Δεν διαρρέουν διαπιστευτήρια στη συσκευή προορισμού. Ωστόσο, η συσκευή-στόχος εξακολουθεί να αποκτά από μόνη της τα Kerberos Service Tickets .
8. Τέλος, πρέπει να χρησιμοποιήσετε τα διαπιστευτήρια του χρήστη που είναι συνδεδεμένος στη συσκευή. Δεν επιτρέπεται η χρήση αποθηκευμένων διαπιστευτηρίων ή διαπιστευτηρίων που είναι διαφορετικά από τα δικά σας.

Μπορείτε να διαβάσετε περισσότερα για αυτό στο Technet .

Σχετικό^(Related) : Πώς να αυξήσετε τον αριθμό των συνδέσεων απομακρυσμένης επιφάνειας εργασίας^{(increase the number of Remote Desktop Connections)} στα Windows 10.

Remote Credential Guard protects Remote Desktop credentials

All system administrator users havе one very genuine concern – securing credentiаls over a Remote Desktop connectіon. This is because malware can find its way to any other computer over the desktop connection and pose a potential threat to your dаta. Thаt is why Windows OS flashes a warning “Make sure you trust this PC, connecting to an untrusted computer might harm your PC” when you try to connect to a remote desktop.

In this post, we will see how the Remote Credential Guard feature, which has been introduced in Windows 10, can help protect remote desktop credentials in Windows 10 Enterprise and Windows Server.

Remote Credential Guard in Windows 10

The feature is designed to eliminate threats before it develops into a serious situation. It helps you protect your credentials over a Remote Desktop connection by redirecting the Kerberos requests back to the device that’s requesting the connection. It also provides single sign-on experiences for Remote Desktop sessions.

In the event of any misfortune where the target device is compromised, credentials of the user are not exposed because both credential and credential derivatives are never sent to the target device.

The modus operandi of Remote Credential Guard is very similar to the protection offered by Credential Guard on a local machine except for Credential Guard also protects stored domain credentials via the Credential Manager.

An individual can use Remote Credential Guard in the following ways-

1. Since Administrator credentials are highly privileged, they must be protected. By using Remote Credential Guard, you can be assured that your credentials are protected as it does not allow credentials to pass over the network to the target device.
2. Helpdesk employees in your organization must connect to domain-joined devices that could be compromised. With Remote Credential Guard, the helpdesk employee can use RDP to connect to the target device without compromising their credentials to malware.

Hardware and software requirements

To enable smooth functioning of the Remote Credential Guard, ensure the following requirements of Remote Desktop client and server are met.

1. The Remote Desktop Client and server must be joined to an Active Directory domain
2. Both devices must either joined to the same domain, or the Remote Desktop server must be joined to a domain with a trust relationship to the client device’s domain.
3. The Kerberos authentication should have been enabled.
4. The Remote Desktop client must be running at least Windows 10, version 1607 or Windows Server 2016.
5. The Remote Desktop Universal Windows Platform app doesn’t support Remote Credential Guard so, use Remote Desktop classic Windows app.

Enable Remote Credential Guard via Registry

To enable Remote Credential Guard on the target device, open Registry Editor and go to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Add a new DWORD value named DisableRestrictedAdmin. Set the value of this registry setting to 0 to turn on Remote Credential Guard.

Close the Registry Editor.

You can enable Remote Credential Guard by running the following command from an elevated CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Turn on Remote Credential Guard by using Group Policy

It is possible to use Remote Credential Guard on the client device by setting a Group Policy or by using a parameter with Remote Desktop Connection.

From the Group Policy Management Console, navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation.

Now, double-click Restrict delegation of credentials to remote servers to open its Properties box.

Now in the Use the following restricted mode box, choose Require Remote Credential Guard. The other option Restricted Admin mode is also present. Its significance is that when Remote Credential Guard cannot be used, it will use Restricted Admin mode.

In any case, neither Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

Allow Remote Credential Guard, by choosing ‘Prefer Remote Credential Guard’ option.

Click OK and exit the Group Policy Management Console.

Now, from a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

Use Remote Credential Guard with a parameter to Remote Desktop Connection

If you don’t use Group Policy in your organization, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

Things you should keep in mind when using Remote Credential Guard

1. Remote Credential Guard cannot be used to connect to a device that is joined to Azure Active Directory.
2. Remote Desktop Credential Guard only works with the RDP protocol.
3. Remote Credential Guard does not include device claims. For example, if you’re trying to access a file server from the remote and the file server requires device claim, access will be denied.
4. The server and client must authenticate using Kerberos.
5. The domains must have a trust relationship, or both the client and the server must be joined to the same domain.
6. Remote Desktop Gateway is not compatible with Remote Credential Guard.
7. No credentials are leaked to the target device . However, the target device still acquires the Kerberos Service Tickets on its own.
8. Lastly, you must use the credentials of the user who is logged into the device. Using saved credentials or credentials that are different than yours are not permitted.

You can read more on this at Technet.

Related: How to increase the number of Remote Desktop Connections in Windows 10.

Related posts

• Αυξήστε τον αριθμό των συνδέσεων απομακρυσμένης επιφάνειας εργασίας στα Windows 11/10

• Το κλειδί των Windows κόλλησε μετά την εναλλαγή από την περίοδο λειτουργίας απομακρυσμένης επιφάνειας εργασίας

• Δεν είναι δυνατή η αντιγραφή επικόλλησης σε περίοδο λειτουργίας απομακρυσμένης επιφάνειας εργασίας στα Windows 10

• Παρουσιάστηκε σφάλμα ελέγχου ταυτότητας, η λειτουργία που ζητήθηκε δεν υποστηρίζεται

• Δημιουργία συντόμευσης σύνδεσης απομακρυσμένης επιφάνειας εργασίας στα Windows 11/10

• Συνδέστε το Android στα Windows 10 χρησιμοποιώντας την Απομακρυσμένη επιφάνεια εργασίας της Microsoft

• Δεν υπάρχουν διακομιστές αδειών απομακρυσμένης επιφάνειας εργασίας. Η απομακρυσμένη συνεδρία αποσυνδέθηκε

• Αλλάξτε τη θύρα ακρόασης για την Απομακρυσμένη επιφάνεια εργασίας

• Πώς να χρησιμοποιήσετε την Απομακρυσμένη επιφάνεια εργασίας (RDP) στα Windows 11/10 Home

• Συνδεθείτε σε έναν υπολογιστή με Windows από το Ubuntu χρησιμοποιώντας τη σύνδεση απομακρυσμένης επιφάνειας εργασίας

• Πώς να χρησιμοποιήσετε την απομακρυσμένη επιφάνεια εργασίας στα Windows 10

• Πώς να χρησιμοποιήσετε την εφαρμογή Remote Desktop στα Windows 10

• Τρόπος ρύθμισης παραμέτρων απομακρυσμένης επιφάνειας εργασίας μέσω δρομολογητή

• Το NoMachine είναι ένα δωρεάν και φορητό εργαλείο απομακρυσμένης επιφάνειας εργασίας για υπολογιστή με Windows

• Διορθώστε τον κωδικό σφάλματος απομακρυσμένης επιφάνειας εργασίας 0x204 στα Windows 11/10

• Παράμετροι γραμμής εντολών για συνδέσεις απομακρυσμένης επιφάνειας εργασίας

• Σφάλμα αποτυχίας προσπάθειας σύνδεσης κατά τη σύνδεση της Απομακρυσμένης επιφάνειας εργασίας

• Ulterius: Δωρεάν λογισμικό Remote Desktop για απομακρυσμένη διαχείριση υπολογιστών

• Διορθώστε ζητήματα και σφάλματα σύνδεσης απομακρυσμένης επιφάνειας εργασίας στα Windows 11/10

• Απομακρυσμένη πρόσβαση στον υπολογιστή σας χρησιμοποιώντας την Απομακρυσμένη επιφάνεια εργασίας Chrome