Remote Credential Guard protegge le credenziali del Desktop remoto

Tutti gli amministratori di sistema hanno una preoccupazione molto sincera: la protezione delle credenziali su una connessione desktop remoto. Questo perché il malware può trovare la sua strada verso qualsiasi altro computer tramite la connessione desktop e rappresentare una potenziale minaccia per i tuoi dati. Questo è il motivo per cui il sistema operativo Windows visualizza un`avvertenza "Assicurati di avere fiducia in questo PC, la connessione a un computer non affidabile potrebbe danneggiare il tuo PC" quando tenti di connetterti a un desktop remoto. In questo post vedremo come la funzione Protezione credenziali remote , introdotta in Windows 10 v1607, può aiutare a proteggere le credenziali del desktop remoto in Windows 10 Enterprise e Windows Server 2016 .

Remote Credential Guard in Windows 10

La funzionalità è progettata per eliminare le minacce prima che si sviluppi in una situazione grave. Ti aiuta a proteggere le tue credenziali su una connessione desktop remoto reindirizzando le richieste Kerberos al dispositivo che sta richiedendo la connessione. Fornisce anche esperienze di single sign-on per le sessioni di Desktop remoto.

In caso di disgrazie in cui il dispositivo di destinazione viene compromesso, le credenziali dell`utente non vengono esposte perché le credenziali e le derivate delle credenziali non vengono mai inviate al dispositivo di destinazione.

Il modus operandi di Remote Credential Guard è molto simile alla protezione offerta da Credential Guard su una macchina locale, ad eccezione di Credential Guard che protegge anche le credenziali del dominio memorizzato tramite Credential Manager.

Un individuo può utilizzare Remote Credential Guard nel seguenti modi-

1. Poiché le credenziali di amministratore sono altamente privilegiate, devono essere protette. Utilizzando Remote Credential Guard, puoi essere certo che le tue credenziali sono protette in quanto non consentono alle credenziali di passare attraverso la rete al dispositivo di destinazione.
2. I dipendenti della tua organizzazione devono connettersi ai dispositivi aggiunti al dominio che potrebbero essere compromessi. Con Remote Credential Guard, il dipendente dell`helpdesk può utilizzare RDP per connettersi al dispositivo di destinazione senza compromettere le proprie credenziali al malware.

Requisiti hardware e software

Per garantire il corretto funzionamento di Remote Credential Guard, verificare i seguenti requisiti di Remote Client e server desktop sono soddisfatti.

1. Il client desktop remoto e il server devono essere uniti a un dominio di Active Directory
2. Entrambi i dispositivi devono essere collegati allo stesso dominio oppure il server Desktop remoto deve essere unito a un dominio con un relazione di fiducia con il dominio del dispositivo client.
3. l`autenticazione Kerberos avrebbe dovuto essere abilitata.
4. Il client Desktop remoto deve essere in esecuzione almeno a Windows 10, versione 1607 o Windows Server 2016.
5. La piattaforma Windows universale desktop remoto l`app non supporta Remote Credential Guard, quindi usa l`app Windows classica di Remote Desktop.

Abilita Remote Credential Guard tramite il registro

Per abilitare Remote Credential Guard sul dispositivo di destinazione, apri Re gistry Editor e vai alla seguente chiave:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Aggiungi un nuovo valore DWORD denominato DisableRestrictedAdmin . Impostare il valore di questa impostazione del registro su 0 per attivare Remote Credential Guard.

Chiudere l`Editor del Registro.

È possibile abilitare Remote Credential Guard eseguendo il seguente comando da un CMD con privilegi elevati:

reg aggiungere HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Attiva Remote Credential Guard utilizzando i Criteri di gruppo

È possibile utilizzare Remote Credential Guard sul dispositivo client mediante impostazione di Criteri di gruppo o utilizzando un parametro con Connessione desktop remoto.

Dalla console Gestione criteri di gruppo, accedere a Configurazione computer> Modelli amministrativi> Sistema> Delega credenziali .

Ora, fare doppio clic su Limita la delega delle credenziali ai server remoti per aprire la relativa finestra delle proprietà.

Ora nella casella Utilizzare la seguente modalità limitata, selezionare Richiedi protezione credenziali remote. È anche presente l`altra opzione Modalità amministratore con restrizioni. La sua importanza è che quando non è possibile utilizzare Remote Credential Guard, utilizzerà la modalità di amministratore con restrizioni.

In ogni caso, né Remote Credential Guard né Restricted Admin mode invieranno le credenziali in chiaro al server Desktop remoto.

Consenti Remote Credential Guard, scegliendo l`opzione ` Preferred Remote Credential Guard.

Fare clic su OK e uscire dalla console Gestione Criteri di gruppo.

Ora, da un prompt dei comandi, eseguire gpupdate.exe / force per garantire che venga applicato l`oggetto Criteri di gruppo.

Utilizzare Remote Credential Guard con un parametro per Connessione desktop remoto

Se non si utilizzano i Criteri di gruppo nell`organizzazione, è possibile aggiungere il parametro remoteGuard quando si avvia Remote Desktop Connection per attivare Remote Credential Guard per quella connessione.

mstsc.exe / remoteGuard

Cose da tenere a mente quando si utilizza Remote Credential Guard

1. Remote Credential Guard non può essere usato per connettersi a un dispositivo aggiunto a Azure Active Directory.
2. Remo te Desktop Credential Guard funziona solo con il protocollo RDP.
3. Remote Credential Guard non include le attestazioni del dispositivo. Ad esempio, se stai tentando di accedere a un file server dal remoto e il file server richiede la rivendicazione del dispositivo, l`accesso verrà negato.
4. Il server e il client devono autenticarsi utilizzando Kerberos.
5. I domini devono avere un trust relazione, o sia il client che il server devono essere uniti allo stesso dominio.
6. Remote Desktop Gateway non è compatibile con Remote Credential Guard.
7. Nessuna credenziale è trapelata al dispositivo di destinazione. Tuttavia, il dispositivo di destinazione acquisisce ancora i ticket del servizio Kerberos autonomamente.
8. Infine, è necessario utilizzare le credenziali dell`utente che ha effettuato l`accesso al dispositivo. Non sono consentite credenziali o credenziali salvate diverse dalla tua.

Puoi leggere ulteriori informazioni su Technet.