Androide

Protección remota de credenciales protege las credenciales de Escritorio remoto

Videoblog | Feindef 2019 | John Cockerill

Videoblog | Feindef 2019 | John Cockerill

Tabla de contenido:

Anonim

Todos los administradores de sistemas tienen una preocupación muy genuina: asegurar las credenciales a través de una conexión de Escritorio remoto. Esto se debe a que el malware puede llegar a cualquier otra computadora a través de la conexión de escritorio y representar una amenaza potencial para sus datos. Es por eso que el sistema operativo Windows muestra una advertencia "Asegúrese de que confíe en esta PC, conectarse a una computadora que no es de confianza podría dañar su PC" cuando intente conectarse a un escritorio remoto. En esta publicación, veremos cómo la función Remote Credential Guard , que se ha introducido en Windows 10 v1607, puede ayudar a proteger las credenciales de escritorio remoto en Windows 10 Enterprise y Windows Server 2016 .

Protección remota de credenciales en Windows 10

La función está diseñada para eliminar las amenazas antes de que se convierta en una situación grave. Le ayuda a proteger sus credenciales a través de una conexión de Escritorio remoto al redirigir las solicitudes Kerberos al dispositivo que está solicitando la conexión. También proporciona experiencias de inicio de sesión único para sesiones de Escritorio remoto.

En caso de que el dispositivo objetivo se vea comprometido, las credenciales del usuario no se exponen porque las credenciales y las derivadas de credenciales nunca se envían al dispositivo de destino.

El modus operandi de Remote Credential Guard es muy similar a la protección ofrecida por Credential Guard en una máquina local, a excepción de Credential Guard que también protege las credenciales de dominio almacenadas mediante Credential Manager.

Una persona puede usar Remote Credential Guard en siguientes formas-

  1. Dado que las credenciales de administrador son altamente privilegiadas, deben estar protegidas. Al usar Remote Credential Guard, puede estar seguro de que sus credenciales están protegidas, ya que no permite que las credenciales pasen a través de la red al dispositivo de destino.
  2. Los empleados de Helpdesk en su organización deben conectarse a dispositivos unidos al dominio que podrían verse comprometidos. Con Remote Credential Guard, el empleado de la mesa de ayuda puede usar RDP para conectarse al dispositivo objetivo sin comprometer sus credenciales con el malware.

Requisitos de hardware y software

Para permitir el funcionamiento sin problemas de Remote Credential Guard, asegúrese de los siguientes requisitos de Remote Se cumplen el cliente y el servidor de escritorio.

  1. El cliente y el servidor de Escritorio remoto deben unirse a un dominio de Active Directory
  2. Ambos dispositivos deben unirse al mismo dominio o el servidor de escritorio remoto debe estar unido a un dominio con un relación de confianza con el dominio del dispositivo del cliente.
  3. La autenticación de Kerberos debería haberse habilitado.
  4. El cliente de Escritorio remoto debe ejecutar al menos Windows 10, versión 1607 o Windows Server 2016.
  5. Plataforma de Windows Universal de escritorio remoto la aplicación no es compatible con Remote Credential Guard, por lo tanto, utilice la aplicación de Windows clásica de Escritorio remoto.

Habilite Guardia de Credencial Remota a través del Registro

Para habilitar la Credencial de Credencial Remota en el dispositivo de destino, abra Re gistry Editor y vaya a la siguiente clave:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

Agregue un nuevo valor DWORD llamado DisableRestrictedAdmin . Establezca el valor de esta configuración de registro en 0 para activar Remote Credential Guard.

Cierre el Editor del registro.

Puede habilitar Remote Credential Guard ejecutando el siguiente comando desde una CMD elevada:

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

Activar Remote Credential Guard utilizando la directiva de grupo

Es posible usar Remote Credential Guard en el dispositivo cliente mediante establecer una política de grupo o mediante un parámetro con Conexión a Escritorio remoto.

Desde la Consola de administración de directivas de grupo, vaya a Configuración del equipo> Plantillas administrativas> Sistema> Delegación de credenciales .

Ahora, haga doble clic en Restringir delegación de credenciales a servidores remotos para abrir su cuadro de propiedades.

Ahora en el cuadro Usar el siguiente modo restringido, elija Requerir Credencial de Credencial Remota. La otra opción Modo de Administrador Restringido también está presente. Su importancia es que cuando Remote Credential Guard no se puede usar, usará el modo de administración restringida.

En cualquier caso, ni Remote Credential Guard ni el modo Restricted Admin enviarán credenciales en texto claro al servidor de escritorio remoto.

Permitir Remote Credential Guard, eligiendo la opción ` Prefer Remote Credential Guard `.

Haga clic en OK y salga de Group Policy Management Console.

Ahora, desde el símbolo del sistema, ejecute gpupdate.exe / force para garantizar que se aplica el objeto de directiva de grupo.

Usar Remote Credential Guard con un parámetro para Conexión a Escritorio remoto

Si no usa la directiva de grupo en su organización, puede agregar el parámetro remoteGuard cuando inicie Conexión a Escritorio remoto para activar Remote Credential Guard para esa conexión.

mstsc.exe / remoteGuard

Cosas que debe tener en cuenta al usar Remote Credential Guard

  1. Remote Credential Guard no se puede usar para conectarse a un dispositivo que está unido a Azure Active Directory.
  2. Remo te Desktop Credential Guard solo funciona con el protocolo RDP.
  3. Remote Credential Guard no incluye reclamos de dispositivos. Por ejemplo, si intenta acceder a un servidor de archivos desde el control remoto y el servidor de archivos requiere reclamo de dispositivo, se denegará el acceso.
  4. El servidor y el cliente deben autenticarse utilizando Kerberos.
  5. Los dominios deben tener una confianza relación, o tanto el cliente como el servidor deben estar unidos al mismo dominio.
  6. Remote Desktop Gateway no es compatible con Remote Credential Guard.
  7. No se filtran credenciales al dispositivo de destino. Sin embargo, el dispositivo de destino aún adquiere los tickets de servicio Kerberos por sí mismo.
  8. Por último, debe usar las credenciales del usuario que ha iniciado sesión en el dispositivo. No se permiten las credenciales o credenciales guardadas que sean diferentes a las tuyas.

Puedes leer más sobre esto en Technet.