Всички потребители на системния администратор имат една много истинска грижа – осигуряването на идентификационни данни през връзка с отдалечен работен плот^(Desktop) . Това е така, защото зловредният софтуер може да намери своя път до всеки друг компютър през настолната връзка и да представлява потенциална заплаха за вашите данни. Ето защо ОС Windows^{(Windows OS)} мига предупреждение „ Уверете се, че имате доверие на този компютър, свързването с ненадежден компютър може да навреди на вашия компютър^{(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)} “, когато се опитате да се свържете с отдалечен работен плот.

В тази публикация ще видим как функцията Remote Credential Guard , която е въведена в  Windows 10 , може да помогне за защитата на идентификационните данни за отдалечен работен плот в Windows 10 Enterprise и Windows Server .

Remote Credential Guard в Windows 10

Функцията е предназначена да елиминира заплахите, преди да се превърне в сериозна ситуация. Той ви помага да защитите вашите идентификационни данни през връзка с отдалечен работен плот^(Desktop) , като пренасочва заявките на Kerberos обратно към устройството, което изисква връзката. Той също така предоставя опит за единичен вход за сесии на отдалечен работен плот .^{(Remote Desktop)}

В случай на злополука, при която целевото устройство е компрометирано, идентификационните данни на потребителя не се разкриват, тъй като както идентификационните данни, така и производните на идентификационните данни никога не се изпращат до целевото устройство.

Режимът на действие на Remote Credential Guard е много подобен на защитата, предлагана от Credential Guard на локална машина, с изключение на Credential Guard също така защитава съхранените идентификационни данни на домейна чрез Credential Manager .

Едно лице може да използва Remote Credential Guard по следните начини:

1. Тъй като идентификационните данни на администратора^{(Administrator)} са силно привилегировани, те трябва да бъдат защитени. С помощта на Remote Credential Guard можете да бъдете сигурни, че вашите идентификационни данни са защитени, тъй като не позволява на идентификационни данни да преминат през мрежата към целевото устройство.
2. Служителите на Helpdesk^(Helpdesk) във вашата организация трябва да се свързват с устройства, присъединени към домейна, които могат да бъдат компрометирани. С Remote Credential Guard служителят на службата за помощ може да използва RDP , за да се свърже с целевото устройство, без да компрометира идентификационните си данни със злонамерен софтуер.

Хардуерни и софтуерни изисквания

За да активирате гладкото функциониране на Remote Credential Guard , уверете се, че са изпълнени следните изисквания на клиента и сървъра за отдалечен работен плот .^{(Remote Desktop)}

1. Клиентът и сървърът за отдалечен работен плот^{(Remote Desktop Client)} трябва да бъдат присъединени към домейн на Active Directory
2. И двете устройства трябва или да се присъединят към един и същ домейн, или сървърът за отдалечен работен плот^{(Remote Desktop)} трябва да бъде присъединен към домейн с връзка на доверие към домейна на клиентското устройство.
3. Удостоверяването на Kerberos трябваше да е активирано.
4. Клиентът за отдалечен работен плот^{(Remote Desktop)} трябва да работи поне с Windows 10 , версия 1607 или Windows Server 2016 .
5. Приложението за универсална платформа на Windows за отдалечен работен плот^{(Remote Desktop Universal Windows Platform)} не поддържа Remote Credential Guard , така че използвайте класическото приложение на Windows за ^(Windows)отдалечен работен плот^{(Remote Desktop)} .

Активирайте Remote Credential Guard чрез системния регистър^(Registry)

За да активирате Remote Credential Guard на целевото устройство, отворете редактора на системния регистър^{(Registry Editor)} и отидете на следния ключ:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Добавете нова DWORD стойност с име DisableRestrictedAdmin . Задайте стойността на тази настройка на системния регистър на 0 , за да включите Remote Credential Guard .

Затворете редактора на системния регистър.

Можете да активирате Remote Credential Guard , като изпълните следната команда от повишен CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Включете Remote Credential Guard с помощта на групови правила^{(Group Policy)}

Възможно е да използвате Remote Credential Guard на клиентското устройство чрез задаване на групова политика^{(Group Policy)} или чрез използване на параметър с връзка с отдалечен работен плот^{(Remote Desktop Connection)} .

От конзолата за управление на групови правила^{(Group Policy Management Console)} отворете Computer Configuration > Administrative Templates > System > Credentials Delegation.

Сега щракнете двукратно върху Ограничаване на делегирането на идентификационни данни до отдалечени сървъри,^{(Restrict delegation of credentials to remote servers)} за да отворите полето за свойства.

Сега в полето Използване на следния ограничен режим^{(Use the following restricted mode)} изберете Изискване на Remote Credential Guard. ^{( Require Remote Credential Guard. )}Другата опция Ограничен режим на администратор^{(Restricted Admin mode)} също е налице. Неговото значение е, че когато Remote Credential Guard не може да се използва, той ще използва режим на ограничен администратор^{(Restricted Admin)} .

Във всеки случай, нито Remote Credential Guard , нито режимът с ограничен администратор^{(Restricted Admin)} ще изпращат идентификационни данни в ясен текст до сървъра на отдалечения работен плот .^{(Remote Desktop)}

Разрешете Remote Credential Guard^{(Allow Remote Credential Guard)} , като изберете опцията „ Предпочитам отдалечена защита на идентификационните данни“.^{(Prefer Remote Credential Guard)}

Щракнете върху OK^{(Click OK)} и излезте от конзолата за управление на групови правила^{(Group Policy Management Console)} .

Сега, от командния ред, стартирайте gpupdate.exe /force , за да се уверите, че обектът на груповата политика^{(Group Policy)} е приложен.

Използвайте Remote Credential Guard^{(Use Remote Credential Guard)} с параметър за връзка с отдалечен работен^{(Remote Desktop)} плот

Ако не използвате групови правила^{(Group Policy)} във вашата организация, можете да добавите параметъра remoteGuard, когато стартирате връзка с отдалечен работен плот^{(Desktop Connection)} , за да включите Remote Credential Guard за тази връзка.

mstsc.exe /remoteGuard

Неща, които трябва да имате предвид, когато използвате Remote Credential Guard

1. Remote Credential Guard не може да се използва за свързване към устройство, което е присъединено към Azure Active Directory .
2. Remote Desktop Credential Guard работи само с протокола RDP .
3. Remote Credential Guard не включва претенции за устройство. Например, ако се опитвате да получите достъп до файлов сървър от дистанционното и файловият сървър изисква искане за устройство, достъпът ще бъде отказан.
4. Сървърът и клиентът трябва да се удостоверяват с помощта на Kerberos .
5. Домейните трябва да имат доверителна връзка или и клиентът, и сървърът трябва да бъдат присъединени към един и същ домейн.
6. Шлюзът за отдалечен работен плот^{(Remote Desktop Gateway)} не е съвместим с Remote Credential Guard .
7. Няма изтичане на идентификационни данни към целевото устройство. Въпреки това целевото устройство все още придобива Kerberos Service Tickets самостоятелно.
8. И накрая, трябва да използвате идентификационните данни на потребителя, който е влязъл в устройството. Използването на запазени идентификационни данни или идентификационни данни, които са различни от вашите, не е разрешено.

Можете да прочетете повече за това в Technet .

Свързано^(Related) : Как да увеличите броя на връзките с отдалечен работен плот^{(increase the number of Remote Desktop Connections)} в Windows 10.

Remote Credential Guard protects Remote Desktop credentials

All sуstem administrator users have one very genυine concern – securing credentials оver a Remote Deѕktop connection. This is because malware can find its way to any other computer over the deѕktоp сonnection and pose a potential threat to your data. That is why Windows OS flashes a warning “Make sure you trust this PC, connecting to an untrusted computer might harm your PC” when you try to connect to a remote desktop.

In this post, we will see how the Remote Credential Guard feature, which has been introduced in Windows 10, can help protect remote desktop credentials in Windows 10 Enterprise and Windows Server.

Remote Credential Guard in Windows 10

The feature is designed to eliminate threats before it develops into a serious situation. It helps you protect your credentials over a Remote Desktop connection by redirecting the Kerberos requests back to the device that’s requesting the connection. It also provides single sign-on experiences for Remote Desktop sessions.

In the event of any misfortune where the target device is compromised, credentials of the user are not exposed because both credential and credential derivatives are never sent to the target device.

The modus operandi of Remote Credential Guard is very similar to the protection offered by Credential Guard on a local machine except for Credential Guard also protects stored domain credentials via the Credential Manager.

An individual can use Remote Credential Guard in the following ways-

1. Since Administrator credentials are highly privileged, they must be protected. By using Remote Credential Guard, you can be assured that your credentials are protected as it does not allow credentials to pass over the network to the target device.
2. Helpdesk employees in your organization must connect to domain-joined devices that could be compromised. With Remote Credential Guard, the helpdesk employee can use RDP to connect to the target device without compromising their credentials to malware.

Hardware and software requirements

To enable smooth functioning of the Remote Credential Guard, ensure the following requirements of Remote Desktop client and server are met.

1. The Remote Desktop Client and server must be joined to an Active Directory domain
2. Both devices must either joined to the same domain, or the Remote Desktop server must be joined to a domain with a trust relationship to the client device’s domain.
3. The Kerberos authentication should have been enabled.
4. The Remote Desktop client must be running at least Windows 10, version 1607 or Windows Server 2016.
5. The Remote Desktop Universal Windows Platform app doesn’t support Remote Credential Guard so, use Remote Desktop classic Windows app.

Enable Remote Credential Guard via Registry

To enable Remote Credential Guard on the target device, open Registry Editor and go to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Add a new DWORD value named DisableRestrictedAdmin. Set the value of this registry setting to 0 to turn on Remote Credential Guard.

Close the Registry Editor.

You can enable Remote Credential Guard by running the following command from an elevated CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Turn on Remote Credential Guard by using Group Policy

It is possible to use Remote Credential Guard on the client device by setting a Group Policy or by using a parameter with Remote Desktop Connection.

From the Group Policy Management Console, navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation.

Now, double-click Restrict delegation of credentials to remote servers to open its Properties box.

Now in the Use the following restricted mode box, choose Require Remote Credential Guard. The other option Restricted Admin mode is also present. Its significance is that when Remote Credential Guard cannot be used, it will use Restricted Admin mode.

In any case, neither Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

Allow Remote Credential Guard, by choosing ‘Prefer Remote Credential Guard’ option.

Click OK and exit the Group Policy Management Console.

Now, from a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

Use Remote Credential Guard with a parameter to Remote Desktop Connection

If you don’t use Group Policy in your organization, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

Things you should keep in mind when using Remote Credential Guard

1. Remote Credential Guard cannot be used to connect to a device that is joined to Azure Active Directory.
2. Remote Desktop Credential Guard only works with the RDP protocol.
3. Remote Credential Guard does not include device claims. For example, if you’re trying to access a file server from the remote and the file server requires device claim, access will be denied.
4. The server and client must authenticate using Kerberos.
5. The domains must have a trust relationship, or both the client and the server must be joined to the same domain.
6. Remote Desktop Gateway is not compatible with Remote Credential Guard.
7. No credentials are leaked to the target device . However, the target device still acquires the Kerberos Service Tickets on its own.
8. Lastly, you must use the credentials of the user who is logged into the device. Using saved credentials or credentials that are different than yours are not permitted.

You can read more on this at Technet.

Related: How to increase the number of Remote Desktop Connections in Windows 10.

Related posts

• Увеличете броя на връзките с отдалечен работен плот в Windows 11/10

• Ключът на Windows заседна след превключване от сесия на отдалечен работен плот

• Не може да се копира поставяне в сесия на отдалечен работен плот в Windows 10

• Възникна грешка при удостоверяване. Исканата функция не се поддържа

• Създайте пряк път за връзка с отдалечен работен плот в Windows 11/10

• Отдалеченият работен плот не работи или не се свързва в Windows 11/10

• Помощник за отдалечен работен плот на Microsoft за Windows 10

• Fix Remote Desktop не може да намери компютърната грешка в Windows 11/10

• Как да използвате отдалечен работен плот (RDP) в Windows 11/10 Home

• Приложението за отдалечен работен плот срещу TeamViewer Touch – кое е по-доброто приложение?

• Разделът за отдалечен работен плот в RDWEB липсва в браузъра Edge в Windows 10

• Как да конфигурирате отдалечен работен плот чрез рутер

• Осъществявайте отдалечен достъп до компютъра си с помощта на отдалечен работен плот на Chrome

• Как да активирате отдалечен работен плот в Windows 10 (или Windows 7)

• Как да активирате и използвате връзката с отдалечен работен плот в Windows 11/10

• Как да блокирате отдалечен работен плот на вашия компютър с Windows -

• RDP връзката се прекъсва, когато активирате звук на отдалечен работен плот

• Как да използвате приложението за отдалечен работен плот в Windows 10

• Свържете се с компютър с Windows от Ubuntu, като използвате връзка с отдалечен работен плот

• Поправете код за грешка на отдалечения работен плот 0x104 на Windows 11/10