Pengaman Jarak Jauh Remote melindungi kredensial Remote Desktop

Semua pengguna administrator sistem memiliki satu perhatian yang sangat asli - mengamankan kredensial melalui koneksi Remote Desktop. Ini karena malware dapat menemukan jalan mereka ke komputer lain melalui koneksi desktop dan menimbulkan ancaman potensial terhadap data Anda. Itulah mengapa OS Windows memunculkan peringatan "Pastikan Anda mempercayai PC ini, menghubungkan ke komputer yang tidak dipercaya dapat membahayakan PC Anda" ketika Anda mencoba untuk terhubung ke desktop jarak jauh. Dalam posting ini, kita akan melihat bagaimana fitur Remote Credential Guard , yang telah diperkenalkan di Windows 10 v1607, dapat membantu melindungi kredensial remote desktop di Windows 10 Enterprise dan Windows Server 2016 .

Pengaman Credential Jarak Jauh di Windows 10

Fitur ini dirancang untuk menghilangkan ancaman sebelum berkembang menjadi situasi yang serius. Ini membantu Anda melindungi kredensial Anda melalui koneksi Remote Desktop dengan mengarahkan kembali Kerberos permintaan kembali ke perangkat yang meminta koneksi. Ini juga menyediakan pengalaman masuk tunggal untuk sesi Remote Desktop.

Jika terjadi malapetaka di mana perangkat target dikompromikan, kredensial pengguna tidak terpapar karena baik derivatif kredensial dan kredensial tidak pernah dikirim ke perangkat target.

Modus operandi Remote Credential Guard sangat mirip dengan perlindungan yang ditawarkan oleh Credential Guard pada mesin lokal kecuali untuk Credential Guard juga melindungi kredensial domain yang tersimpan melalui Credential Manager.

Seseorang dapat menggunakan Remote Credential Guard di cara berikut-

1. Karena kredensial Administrator memiliki hak istimewa yang tinggi, mereka harus dilindungi. Dengan menggunakan Remote Credential Guard, Anda dapat yakin bahwa kredensial Anda dilindungi karena tidak memungkinkan kredensial untuk melewati jaringan ke perangkat target.
2. Karyawan Helpdesk di organisasi Anda harus terhubung ke perangkat yang bergabung dengan domain yang dapat dikompromikan. Dengan Remote Credential Guard, karyawan helpdesk dapat menggunakan RDP untuk terhubung ke perangkat target tanpa mengorbankan kredensial mereka ke malware.

Persyaratan perangkat keras dan perangkat lunak

Untuk memungkinkan kelancaran fungsi Remote Credential Guard, pastikan persyaratan Remote Klien dan server desktop terpenuhi.

1. Klien dan server Desktop Jarak Jauh harus digabungkan ke domain Active Directory
2. Kedua perangkat harus bergabung ke domain yang sama, atau server Desktop Jarak Jauh harus digabungkan ke domain dengan hubungan kepercayaan dengan domain perangkat klien.
3. Otentikasi Kerberos seharusnya sudah diaktifkan.
4. Klien Desktop Jarak Jauh harus menjalankan setidaknya Windows 10, versi 1607 atau Windows Server 2016.
5. Platform Windows Universal Remote Desktop app tidak mendukung Remote Credential Guard jadi, gunakan aplikasi Windows klasik Remote Desktop.

Aktifkan Remote Credential Guard via Registry

Untuk mengaktifkan Remote Credential Guard pada perangkat target, buka Re Gistry Editor dan buka kunci berikut:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Tambahkan nilai DWORD baru bernama DisableRestrictedAdmin . Atur nilai pengaturan registri ini ke 0 untuk mengaktifkan Remote Credential Guard.

Tutup Editor Registri.

Anda dapat mengaktifkan Remote Credential Guard dengan menjalankan perintah berikut dari CMD yang lebih tinggi:

reg tambahkan HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Hidupkan Remote Credential Guard dengan menggunakan Kebijakan Grup

Anda dapat menggunakan Remote Credential Guard pada perangkat klien dengan pengaturan Kebijakan Grup atau dengan menggunakan parameter dengan Remote Desktop Connection.

Dari Konsol Manajemen Kebijakan Grup, arahkan ke Konfigurasi Komputer> Template Administratif> Sistem> Delegasi Kredensial .

Sekarang, klik dua kali Batasi pendelegasian kredensial ke server jarak jauh untuk membuka kotak Properti.

Sekarang di Gunakan mode dibatasi berikut kotak, pilih Memerlukan Remote Credential Guard. Pilihan lain Mode Admin Terbatas juga ada. Maknanya adalah bahwa ketika Remote Credential Guard tidak dapat digunakan, itu akan menggunakan mode Admin Terbatas.

Dalam hal apapun, baik Remote Credential Guard maupun mode Admin Terbatas akan mengirim kredensial dalam teks yang jelas ke server Remote Desktop.

Izinkan Remote Credential Guard, dengan memilih opsi ` Prefer Remote Credential Guard `.

Klik OK dan keluar dari Konsol Manajemen Kebijakan Grup.

Sekarang, dari prompt perintah, jalankan gpupdate.exe / paksa untuk memastikan bahwa objek Kebijakan Grup diterapkan.

Gunakan Pengaman Kredensial Jarak Jauh dengan parameter ke Sambungan Desktop Jarak Jauh

Jika Anda tidak menggunakan Kebijakan Grup di organisasi Anda, Anda dapat menambahkan parameter remoteGuard saat Anda memulai Remote Desktop Connection untuk mengaktifkan Remote Credential Guard untuk koneksi tersebut.

mstsc.exe / remoteGuard

Hal-hal yang harus Anda ingat ketika menggunakan Remote Credential Guard

1. Pengaman Kredensial Jarak Jauh tidak dapat digunakan untuk menyambung ke perangkat yang terhubung ke Azure Active Directory.
2. Remo te Desktop Credential Guard hanya berfungsi dengan protokol RDP.
3. Remote Credential Guard tidak termasuk klaim perangkat. Misalnya, jika Anda mencoba mengakses server file dari remote dan server file memerlukan klaim perangkat, akses akan ditolak.
4. Server dan klien harus mengautentikasi menggunakan Kerberos.
5. Domain harus memiliki kepercayaan hubungan, atau kedua klien dan server harus bergabung ke domain yang sama.
6. Remote Desktop Gateway tidak kompatibel dengan Remote Credential Guard.
7. Tidak ada kredensial yang bocor ke perangkat target. Namun, perangkat target masih memperoleh Tiket Layanan Kerberos dengan sendirinya.
8. Terakhir, Anda harus menggunakan kredensial pengguna yang masuk ke perangkat. Menggunakan kredensial atau kredensial yang disimpan yang berbeda dari milik Anda tidak diizinkan.

Anda dapat membaca lebih lanjut tentang ini di Technet.