Startseite » Windows » Remote Credential Guard schützt Remote Desktop-Anmeldeinformationen in Windows 10

    Remote Credential Guard schützt Remote Desktop-Anmeldeinformationen in Windows 10

    Alle Benutzer von Systemadministratoren haben ein echtes Anliegen - die Sicherung der Anmeldeinformationen über eine Remote Desktop-Verbindung. Dies liegt daran, dass Malware über die Desktop-Verbindung zu jedem anderen Computer gelangen kann und eine potenzielle Bedrohung für Ihre Daten darstellt. Aus diesem Grund blinkt das Windows-Betriebssystem mit einer Warnung: "Stellen Sie sicher, dass Sie diesem PC vertrauen. Die Verbindung zu einem nicht vertrauenswürdigen Computer kann Ihren PC beschädigen", wenn Sie versuchen, eine Verbindung zu einem Remote-Desktop herzustellen. In diesem Beitrag werden wir sehen, wie die Remote Credential Guard Feature, das in eingeführt wurde Windows 10 v1607, kann helfen, Remote-Desktop-Anmeldeinformationen in zu schützen Windows 10 Enterprise und Windows Server 2016.

    Remote Credential Guard in Windows 10

    Die Funktion soll Bedrohungen beseitigen, bevor sie sich in eine ernste Situation entwickelt. Es hilft Ihnen, Ihre Anmeldeinformationen über eine Remote Desktop-Verbindung zu schützen, indem Sie die Kerberos fordert zurück an das Gerät, das die Verbindung anfordert. Es bietet auch einmalige Anmeldungen für Remotedesktopsitzungen.

    Im Falle eines Unglücks, wenn das Zielgerät gefährdet ist, werden die Anmeldeinformationen des Benutzers nicht angezeigt, da sowohl die Anmeldeinformationen als auch die Berechtigungsnachweise niemals an das Zielgerät gesendet werden.

    Der Modus des Remote Credential Guard ist dem von Credential Guard auf einem lokalen Computer gebotenen Schutz sehr ähnlich, mit Ausnahme von Credential Guard werden gespeicherte Domänenanmeldeinformationen auch über den Credential Manager geschützt.

    Eine Person kann den Remote Credential Guard auf folgende Weise verwenden-

    1. Da die Anmeldeinformationen des Administrators sehr privilegiert sind, müssen sie geschützt werden. Durch die Verwendung von Remote Credential Guard können Sie sicher sein, dass Ihre Anmeldeinformationen geschützt sind, da die Anmeldeinformationen nicht über das Netzwerk an das Zielgerät übertragen werden.
    2. Helpdesk-Mitarbeiter in Ihrer Organisation müssen eine Verbindung zu Geräten herstellen, die über Domänen verbunden sind und die möglicherweise gefährdet sind. Mit Remote Credential Guard kann der Helpdesk-Mitarbeiter RDP verwenden, um eine Verbindung zum Zielgerät herzustellen, ohne dass seine Berechtigung durch Malware beeinträchtigt wird.

    Hardware- und Softwarevoraussetzungen

    Um ein reibungsloses Funktionieren des Remote Credential Guard zu ermöglichen, stellen Sie sicher, dass die folgenden Anforderungen an den Remote Desktop-Client und -Server erfüllt sind.

    1. Der Remotedesktop-Client und -Server müssen einer Active Directory-Domäne angehören
    2. Beide Geräte müssen entweder derselben Domäne angehören, oder der Remotedesktop-Server muss einer Domäne mit einer Vertrauensstellung zur Domäne des Clientgeräts angehören.
    3. Die Kerberos-Authentifizierung sollte aktiviert sein.
    4. Auf dem Remote Desktop-Client muss mindestens Windows 10, Version 1607 oder Windows Server 2016 ausgeführt werden.
    5. Die Remote Desktop Universal Windows-Plattform-App unterstützt den Remote Credential Guard nicht. Verwenden Sie daher die klassische Windows-App für Remote Desktop.

    Aktivieren Sie den Remote Credential Guard über die Registrierung

    Öffnen Sie den Registrierungseditor, um Remote Credential Guard auf dem Zielgerät zu aktivieren, und rufen Sie den folgenden Schlüssel auf:

    HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa

    Fügen Sie einen neuen DWORD-Wert mit dem Namen hinzu DisableRestrictedAdmin. Legen Sie den Wert dieser Registrierungseinstellung auf fest 0 Remote Credential Guard aktivieren.

    Schließen Sie den Registrierungseditor.

    Sie können Remote Credential Guard aktivieren, indem Sie den folgenden Befehl von einer erhöhten CMD aus ausführen:

    reg add HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

    Aktivieren Sie Remote Credential Guard mithilfe von Gruppenrichtlinien

    Sie können Remote Credential Guard auf dem Clientgerät verwenden, indem Sie eine Gruppenrichtlinie festlegen oder einen Parameter für die Remotedesktopverbindung verwenden.

    Navigieren Sie in der Gruppenrichtlinien-Verwaltungskonsole zu Computerkonfiguration> Administrative Vorlagen> System> Delegierung von Anmeldeinformationen.

    Doppelklicken Sie jetzt Beschränken Sie die Delegierung von Anmeldeinformationen an Remote-Server um das Eigenschaften-Fenster zu öffnen.

    Jetzt in der Verwenden Sie den folgenden eingeschränkten Modus Box wählen Remote Credential Guard erforderlich. Die andere Option Eingeschränkter Admin-Modus ist auch anwesend. Die Bedeutung ist, dass Remote Credential Guard den eingeschränkten Verwaltungsmodus verwendet, wenn Remote Credential Guard nicht verwendet werden kann.

    In jedem Fall senden weder der Remote Credential Guard- noch der Restricted Admin-Modus Anmeldeinformationen in Klartext an den Remote Desktop-Server.

    Remote Credential Guard zulassen, indem Sie 'Remote Credential Guard bevorzugen' Möglichkeit.

    Klicken Sie auf OK und beenden Sie die Gruppenrichtlinien-Verwaltungskonsole.

    Führen Sie nun eine Eingabeaufforderung aus gpupdate.exe / force um sicherzustellen, dass das Gruppenrichtlinienobjekt angewendet wird.

    Verwenden Sie Remote Credential Guard mit einem Parameter für die Remotedesktopverbindung

    Wenn Sie in Ihrer Organisation keine Gruppenrichtlinien verwenden, können Sie den Parameter remoteGuard hinzufügen, wenn Sie die Remotedesktopverbindung starten, um den Remote Credential Guard für diese Verbindung zu aktivieren.

    mstsc.exe / remoteGuard

    Dinge, die Sie bei der Verwendung des Remote Credential Guard beachten sollten

    1. Remote Credential Guard kann nicht verwendet werden, um eine Verbindung zu einem Gerät herzustellen, das mit Azure Active Directory verbunden ist.
    2. Remote Desktop Credential Guard funktioniert nur mit dem RDP-Protokoll.
    3. Remote Credential Guard enthält keine Geräteansprüche. Wenn Sie beispielsweise versuchen, über das Remote auf einen Dateiserver zuzugreifen und der Dateiserver einen Geräteanspruch erfordert, wird der Zugriff verweigert.
    4. Der Server und der Client müssen sich mit Kerberos authentifizieren.
    5. Die Domänen müssen eine Vertrauensbeziehung haben, oder der Client und der Server müssen derselben Domäne angehören.
    6. Remote Desktop Gateway ist nicht mit Remote Credential Guard kompatibel.
    7. Es werden keine Anmeldeinformationen an das Zielgerät übertragen. Das Zielgerät erwirbt die Kerberos-Service-Tickets jedoch weiterhin eigenständig.
    8. Zuletzt müssen Sie die Anmeldeinformationen des Benutzers verwenden, der am Gerät angemeldet ist. Die Verwendung gespeicherter Anmeldeinformationen oder Anmeldeinformationen, die von Ihren abweichen, sind nicht zulässig.
    Mehr dazu erfahren Sie bei Technet.

    Remote Server Administration Tools für Windows 7 veröffentlicht
    Remote-Sitzung wurde getrennt. Keine Remotedesktop-Clientzugriffslizenzen verfügbar
    Remote Administration Tools - Neue Bedrohungen
    Nächster Artikel
    Remoteserver-Verwaltungstools für Windows 10
    Vorheriger Artikel
    Fernbedienung von Apple TV vom iPad, iPhone oder iPod Touch