Remote Credential Guard保护远程桌面凭证

所有系统管理员用户都有一个非常值得关注的问题 - 通过远程桌面连接来保护凭据。这是因为恶意软件可以通过桌面连接找到通往任何其他计算机的路，并对您的数据构成潜在威胁。这就是为什么当您尝试连接到远程桌面时，Windows操作系统闪烁警告“确保您信任此PC，连接到不可信的计算机可能会损害您的PC”。在本文中，我们将了解 Windows 10 v1607 中引入的 远程凭据防护 功能如何帮助保护 Windows 10 Enterprise 中的远程桌面凭据 和 Windows Server 2016 。

Windows 10中的Remote Credential Guard

该功能旨在消除威胁发展为严重情况之前的威胁。通过将 Kerberos 请求重定向到请求连接的设备，它可以帮助您通过远程桌面连接保护您的凭证。它还为远程桌面会话提供单点登录体验。

如果目标设备受到任何危害，用户的凭证不会公开，因为凭证和凭证派生都不会发送到目标设备。

Remote Credential Guard的操作方式与Credential Guard在本地机器上提供的保护非常相似，除了Credential Guard还通过凭证管理器保护存储的域凭证。

个人可以使用Remote Credential Guard遵循以下方法 -

1. 由于管理员凭证拥有很高的权限，因此必须对其进行保护。通过使用Remote Credential Guard，可以确保您的凭据受到保护，因为它不允许凭据通过网络传递到目标设备。
2. 组织中的帮助台员工必须连接到可能受到攻击的加入域的设备。借助Remote Credential Guard，帮助台员工可以使用RDP连接到目标设备，而不会将其凭据泄露给恶意软件。

硬件和软件要求

要启用Remote Credential Guard的平稳运行，请确保Remote桌面客户端和服务器已满足

1. 远程桌面客户端和服务器必须连接到Active Directory域
2. 两个设备必须加入同一个域，或者必须将远程桌面服务器连接到域信任关系到客户端设备的域
3. 应该已启用Kerberos身份验证
4. 远程桌面客户端必须至少运行Windows 10,1607或Windows Server 2016.
5. 远程桌面通用Windows平台应用程序不支持Remote Credential Guard，因此请使用Remote Desktop经典Windows应用程序。

通过注册表启用远程凭证保护

要在目标设备上启用远程凭证保护，请打开Re gistry编辑器并转到以下注册表项：

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

添加一个名为 DisableRestrictedAdmin 的新DWORD值。将此注册表设置的值设置为 0 以打开Remote Credential Guard。

关闭注册表编辑器。

可以通过从提升的CMD运行以下命令来启用Remote Credential Guard：

reg add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

使用组策略打开Remote Credential Guard

可以在客户端设备上使用Remote Credential Guard设置组策略或通过远程桌面连接使用参数

在组策略管理控制台中，导航到计算机配置>管理模板>系统>凭证授权

现在，双击 将凭据委派给远程服务器 以打开其属性框。

现在在 中使用以下受限模式 框，选择 >需要远程凭据保护。 另一个选项 受限管理模式 也存在。它的意义在于，当Remote Credential Guard无法使用时，它将使用Restricted Admin模式。

在任何情况下，Remote Credential Guard和Restricted Admin模式都不会以明文形式向远程桌面服务器发送凭证。通过选择`

偏好远程证书防护 `选项远程证书防护 单击确定并退出组策略管理控制台

现在，从命令提示符运行

gpupdate.exe / force 以确保应用组策略对象 将远程凭证保护与参数一起用于远程桌面连接

如果组织中未使用组策略，则可以添加remoteGuard参数当您启动远程桌面连接以打开该连接的Remote Credential Guard时

mstsc.exe / remoteGuard

使用Remote Credential Guard时请注意的事项

Remote Credential Guard不能用于连接到一个连接到Azure Active Directory的设备。

1. Remo te Desktop Credential Guard仅适用于RDP协议。
2. Remote Credential Guard不包含设备声明。例如，如果您尝试从远程访问文件服务器，并且文件服务器需要设备声明，则访问将被拒绝。
3. 服务器和客户端必须使用Kerberos进行身份验证
4. 域必须具有信任关系，或者客户端和服务器都必须加入到同一个域中
5. 远程桌面网关与远程凭证保护不兼容
6. 没有凭证泄漏到目标设备。但是，目标设备仍然自行获取Kerberos服务凭单。
7. 最后，您必须使用登录设备的用户的凭据。不允许使用保存的凭据或不同于您的证书
8. 您可以在Technet上阅读更多信息