Tất cả người quản trị hệ thống đều có một mối quan tâm rất chính hãng - bảo mật thông tin qua kết nối Remote Desktop. Điều này là do phần mềm độc hại có thể tìm đường đến bất kỳ máy tính nào khác qua kết nối máy tính để bàn và gây ra mối đe dọa tiềm ẩn cho dữ liệu của bạn. Đó là lý do tại sao hệ điều hành Windows nhấp nháy cảnh báo “Đảm bảo bạn tin cậy máy tính này, kết nối với máy tính không tin cậy có thể gây hại cho PC của bạn” khi bạn cố kết nối với máy tính từ xa. Trong bài viết này, chúng ta sẽ thấy cách Remote Credential Guard tính năng đã được giới thiệu trong Windows 10 v1607, có thể giúp bảo vệ thông tin đăng nhập từ xa trên máy tính Windows 10 Enterprise và Windows Server 2016.
Remote Credential Guard trong Windows 10
Tính năng này được thiết kế để loại bỏ các mối đe dọa trước khi nó phát triển thành một tình huống nghiêm trọng. Nó giúp bạn bảo vệ thông tin đăng nhập của mình qua kết nối Remote Desktop bằng cách chuyển hướng Kerberos yêu cầu quay lại thiết bị yêu cầu kết nối. Nó cũng cung cấp các trải nghiệm đăng nhập một lần cho các phiên Remote Desktop.
Trong trường hợp có bất kỳ sự bất hạnh nào mà thiết bị mục tiêu bị xâm phạm, thông tin đăng nhập của người dùng không được hiển thị vì cả các dẫn xuất chứng chỉ và thông tin xác thực không bao giờ được gửi đến thiết bị đích.
Một cá nhân có thể sử dụng Remote Credential Guard theo các cách sau
- Vì thông tin đăng nhập của quản trị viên có đặc quyền cao nên chúng phải được bảo vệ. Bằng cách sử dụng Remote Credential Guard, bạn có thể yên tâm rằng thông tin đăng nhập của bạn được bảo vệ vì nó không cho phép thông tin đăng nhập truyền qua mạng tới thiết bị đích.
- Nhân viên trợ giúp trong tổ chức của bạn phải kết nối với các thiết bị đã tham gia miền có thể bị xâm phạm. Với Remote Credential Guard, nhân viên trợ giúp có thể sử dụng RDP để kết nối với thiết bị đích mà không ảnh hưởng tới các phần mềm độc hại của họ.
Yêu cầu phần cứng và phần mềm
Để cho phép hoạt động trơn tru của Remote Credential Guard, đảm bảo các yêu cầu sau đây của máy khách và máy chủ Remote Desktop được đáp ứng.
- Máy khách và máy khách Remote Desktop phải được nối với miền Active Directory
- Cả hai thiết bị phải tham gia vào cùng một miền hoặc máy chủ Remote Desktop phải được kết hợp với một miền có mối quan hệ tin cậy với miền của thiết bị khách.
- Xác thực Kerberos đã được bật.
- Máy khách Remote Desktop phải đang chạy ít nhất Windows 10, phiên bản 1607 hoặc Windows Server 2016.
- Ứng dụng Remote Desktop Universal Windows Platform không hỗ trợ Remote Credential Guard, vì vậy, hãy sử dụng ứng dụng Windows Remote Desktop cổ điển.
Kích hoạt tính năng bảo vệ từ xa thông qua Registry
Để kích hoạt Remote Credential Guard trên thiết bị đích, mở Registry Editor và đi đến khóa sau:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Thêm một giá trị DWORD mới có tên DisableRestrictedAdmin. Đặt giá trị của cài đặt đăng ký này thành 0 để bật Remote Credential Guard.
Đóng Registry Editor.
Bạn có thể bật Remote Credential Guard bằng cách chạy lệnh sau từ CMD nâng cao:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Bật Remote Credential Guard bằng cách sử dụng Group Policy
Có thể sử dụng Remote Credential Guard trên thiết bị khách bằng cách thiết lập Group Policy hoặc bằng cách sử dụng một tham số với Remote Desktop Connection.
Từ Bảng điều khiển quản lý chính sách nhóm, điều hướng đến Cấu hình máy tính> Mẫu quản trị> Hệ thống> Ủy nhiệm chứng chỉ.
Bây giờ, nhấp đúp Giới hạn ủy nhiệm ủy nhiệm cho các máy chủ từ xa để mở hộp Thuộc tính của nó.
Bây giờ trong Sử dụng chế độ hạn chế sau hộp, chọn Yêu cầu bảo vệ thông tin từ xa. Tùy chọn khác Chế độ quản trị bị hạn chế cũng có mặt. Ý nghĩa của nó là khi Remote Credential Guard không thể sử dụng, nó sẽ sử dụng chế độ Admin bị hạn chế.
Trong bất kỳ trường hợp nào, cả Remote Credential Guard lẫn Restricted Admin mode đều sẽ gửi thông tin đăng nhập bằng văn bản rõ ràng tới máy chủ Remote Desktop.
Cho phép bảo vệ bằng chứng xác thực từ xa, bằng cách chọn ‘Ưu tiên bảo vệ thông tin từ xa' Tùy chọn.
Bấm OK và thoát khỏi Bảng điều khiển quản lý chính sách nhóm.
Bây giờ, từ dấu nhắc lệnh, hãy chạy gpupdate.exe / force để đảm bảo rằng đối tượng Group Policy được áp dụng.
Sử dụng Remote Credential Guard với tham số kết nối Remote Desktop
Nếu bạn không sử dụng Group Policy trong tổ chức của mình, bạn có thể thêm tham số remoteGuard khi bạn khởi động Remote Desktop Connection để bật Remote Credential Guard cho kết nối đó.
mstsc.exe /remoteGuard
Những điều bạn nên ghi nhớ khi sử dụng Remote Credential Guard
- Không thể sử dụng Bảo vệ thông tin xác thực từ xa để kết nối với thiết bị được nối với Azure Active Directory.
- Remote Desktop Credential Guard chỉ hoạt động với giao thức RDP.
- Remote Credential Guard không bao gồm các xác nhận quyền sở hữu thiết bị. Ví dụ: nếu bạn đang cố truy cập máy chủ tệp từ xa và máy chủ tệp yêu cầu xác nhận quyền sở hữu thiết bị, quyền truy cập sẽ bị từ chối.
- Máy chủ và máy khách phải xác thực bằng Kerberos.
- Các miền phải có mối quan hệ tin cậy hoặc cả khách hàng và máy chủ phải được tham gia vào cùng một miền.
- Remote Desktop Gateway không tương thích với Remote Credential Guard.
- Không có thông tin đăng nhập nào bị rò rỉ cho thiết bị đích. Tuy nhiên, thiết bị đích vẫn tự mua lại bản thân Dịch vụ Kerberos.
- Cuối cùng, bạn phải sử dụng thông tin đăng nhập của người dùng đã đăng nhập vào thiết bị. Không cho phép sử dụng bằng chứng xác thực hoặc thông tin đăng nhập đã lưu khác với thông tin đăng nhập của bạn.
Bạn có thể đọc thêm về điều này tại Technet.
