Remote Credential Guard bảo vệ thông tin đăng nhập Máy tính Từ xa

Tất cả người dùng quản trị viên hệ thống đều có một mối quan tâm thực sự - bảo mật thông tin xác thực qua kết nối Máy tính(Desktop) Từ xa . Điều này là do phần mềm độc hại có thể tìm đường đến bất kỳ máy tính nào khác qua kết nối máy tính để bàn và gây ra mối đe dọa tiềm tàng cho dữ liệu của bạn. Đó là lý do tại sao Hệ điều hành Windows(Windows OS) nhấp nháy cảnh báo “ Đảm bảo rằng bạn tin cậy PC này, kết nối với một máy tính không đáng tin cậy có thể gây hại cho PC của bạn(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ” khi bạn cố gắng kết nối với một máy tính từ xa.

Trong bài đăng này, chúng ta sẽ xem tính năng Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) , đã được giới thiệu trong  Windows 10 , có thể giúp bảo vệ thông tin đăng nhập máy tính từ xa trong Windows 10 EnterpriseWindows Server như thế nào .

Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) trong Windows 10

Tính năng này được thiết kế để loại bỏ các mối đe dọa trước khi nó phát triển thành một tình huống nghiêm trọng. Nó giúp bạn bảo vệ thông tin đăng nhập của mình qua kết nối Máy tính Từ xa bằng cách chuyển hướng các yêu cầu (Desktop)Kerberos trở lại thiết bị yêu cầu kết nối. Nó cũng cung cấp trải nghiệm đăng nhập một lần cho các phiên Máy tính Từ xa .(Remote Desktop)

Trong trường hợp bất hạnh xảy ra khi thiết bị mục tiêu bị xâm phạm, thông tin đăng nhập của người dùng sẽ không bị lộ vì cả thông tin đăng nhập và dẫn xuất thông tin xác thực không bao giờ được gửi đến thiết bị đích.

Bảo vệ thông tin xác thực từ xa

Phương thức hoạt động của Trình bảo vệ thông tin xác thực từ xa(Remote Credential Guard) rất giống với bảo vệ do Trình bảo vệ thông tin xác thực cung cấp trên máy cục bộ ngoại trừ Trình(Credential Guard) bảo vệ thông tin xác thực cũng bảo vệ thông tin đăng nhập miền được lưu trữ thông qua Trình quản lý(Credential Manager) thông tin xác thực .

Một cá nhân có thể sử dụng Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) theo những cách sau-

  1. Vì thông tin đăng nhập của Quản trị(Administrator) viên có đặc quyền cao, chúng phải được bảo vệ. Bằng cách sử dụng Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) , bạn có thể yên tâm rằng thông tin đăng nhập của mình được bảo vệ vì nó không cho phép thông tin xác thực truyền qua mạng tới thiết bị mục tiêu.
  2. Nhân(Helpdesk) viên bộ phận trợ giúp trong tổ chức của bạn phải kết nối với các thiết bị đã tham gia miền có thể bị xâm phạm. Với Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) , nhân viên bộ phận trợ giúp có thể sử dụng RDP để kết nối với thiết bị mục tiêu mà không làm ảnh hưởng đến thông tin đăng nhập của họ với phần mềm độc hại.

Yêu cầu phần cứng và phần mềm

Để cho phép Bộ bảo vệ thông tin xác thực từ xa(Remote Credential Guard) hoạt động trơn tru , hãy đảm bảo đáp ứng các yêu cầu sau của máy khách và máy chủ Máy tính Từ xa(Remote Desktop) .

  1. Máy khách(Remote Desktop Client) và máy chủ Máy tính Từ xa phải được kết hợp với miền Active Directory
  2. Cả hai thiết bị phải được tham gia vào cùng một miền hoặc máy chủ Máy tính Từ xa(Remote Desktop) phải được tham gia vào miền có mối quan hệ tin cậy với miền của thiết bị khách.
  3. Xác thực Kerberos nên đã được bật.
  4. Máy khách Máy tính Từ xa(Remote Desktop) phải chạy ít nhất Windows 10 , phiên bản 1607 hoặc Windows Server 2016 .
  5. Ứng dụng Remote Desktop Universal Windows Platform không hỗ trợ Remote Credential Guard , vì vậy, hãy sử dụng ứng dụng Remote Desktop Windows cổ điển .

Bật bảo vệ thông tin xác thực từ xa(Remote Credential Guard) qua sổ đăng ký(Registry)

Để bật Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) trên thiết bị mục tiêu, hãy mở Trình chỉnh sửa sổ đăng ký(Registry Editor) và đi tới khóa sau:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Thêm một giá trị DWORD mới có tên là DisableRestrictedAdmin . Đặt giá trị của cài đặt đăng ký này thành 0 để bật Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) .

Đóng Trình chỉnh sửa sổ đăng ký.

Bạn có thể bật Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) bằng cách chạy lệnh sau từ CMD nâng cao:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Bật Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) bằng cách sử dụng Chính sách nhóm(Group Policy)

Có thể sử dụng Bảo vệ Thông tin Đăng nhập Từ xa(Remote Credential Guard) trên thiết bị khách bằng cách đặt Chính sách Nhóm(Group Policy) hoặc bằng cách sử dụng một tham số với Kết nối Máy tính Từ xa(Remote Desktop Connection) .

Từ Bảng điều khiển quản lý chính sách nhóm(Group Policy Management Console) , điều hướng đến Computer Configuration > Administrative Templates > System > Credentials Delegation.

Bây giờ, bấm đúp vào Hạn chế ủy quyền thông tin xác thực cho các máy chủ từ xa(Restrict delegation of credentials to remote servers) để mở hộp Thuộc tính của nó.

Bây giờ trong hộp Sử dụng chế độ hạn chế sau(Use the following restricted mode) , chọn Yêu cầu Bảo vệ Thông tin Đăng nhập Từ xa. ( Require Remote Credential Guard. )Tùy chọn khác Chế độ quản trị hạn chế(Restricted Admin mode) cũng có sẵn. Ý nghĩa của nó là khi không thể sử dụng Bảo vệ thông tin xác thực từ xa , nó sẽ sử dụng (Remote Credential Guard)chế độ Quản trị viên hạn(Restricted Admin) chế.

Trong mọi trường hợp, cả Chế độ bảo vệ thông tin xác thực từ xa(Remote Credential Guard) và Chế độ quản trị hạn(Restricted Admin) chế sẽ không gửi thông tin xác thực dưới dạng văn bản rõ ràng đến máy chủ Máy tính từ xa(Remote Desktop) .

Cho phép bảo vệ thông tin xác thực từ xa(Allow Remote Credential Guard) , bằng cách chọn tùy chọn ' Ưu tiên bảo vệ(Prefer Remote Credential Guard) thông tin xác thực từ xa '.

Nhấp vào OK(Click OK) và thoát khỏi Bảng điều khiển quản lý chính sách nhóm(Group Policy Management Console) .

chính sách thông tin đăng nhập từ xa-bảo vệ-nhóm

Bây giờ, từ dấu nhắc lệnh, hãy chạy gpupdate.exe /force để đảm bảo rằng đối tượng Chính sách Nhóm(Group Policy) được áp dụng.

Sử dụng Bảo vệ thông tin xác thực từ xa(Use Remote Credential Guard) với một tham số để Kết nối Máy tính Từ xa(Remote Desktop)

Nếu bạn không sử dụng Chính sách Nhóm(Group Policy) trong tổ chức của mình, bạn có thể thêm tham số remoteGuard khi khởi động Kết nối Máy tính(Desktop Connection) Từ xa để bật Bảo vệ Thông tin(Remote Credential Guard) Đăng nhập Từ xa cho kết nối đó.

mstsc.exe /remoteGuard

Những điều bạn cần lưu ý khi sử dụng Bảo vệ thông tin xác thực từ xa(Remote Credential Guard)

  1. (Remote Credential Guard)Không thể sử dụng Trình bảo vệ thông tin xác thực từ xa để kết nối với thiết bị được tham gia vào Azure Active Directory .
  2. Remote Desktop Credential Guard chỉ hoạt động với giao thức RDP .
  3. Bảo vệ thông tin xác thực từ xa(Remote Credential Guard) không bao gồm xác nhận quyền sở hữu thiết bị. Ví dụ: nếu bạn đang cố gắng truy cập máy chủ tệp từ điều khiển từ xa và máy chủ tệp yêu cầu xác nhận quyền sở hữu thiết bị, quyền truy cập sẽ bị từ chối.
  4. Máy chủ và máy khách phải xác thực bằng Kerberos .
  5. Các miền phải có mối quan hệ tin cậy hoặc cả máy khách và máy chủ phải được liên kết với cùng một miền.
  6. Remote Desktop Gateway không tương thích với Remote Credential Guard .
  7. Không có thông tin đăng nhập nào bị rò rỉ cho thiết bị mục tiêu. Tuy nhiên, thiết bị mục tiêu vẫn tự nhận được (Tickets)dịch vụ Kerberos(Kerberos Service) .
  8. Cuối cùng, bạn phải sử dụng thông tin đăng nhập của người dùng đã đăng nhập vào thiết bị. Không được phép sử dụng thông tin đăng nhập đã lưu hoặc thông tin đăng nhập khác với thông tin đăng nhập của bạn.

Bạn có thể đọc thêm về điều này tại Technet .

Liên quan(Related) : Cách tăng số lượng Kết nối Máy tính Từ xa(increase the number of Remote Desktop Connections) trong Windows 10.



About the author

Tôi là kỹ sư phần cứng với hơn 10 năm kinh nghiệm làm việc trên hệ điều hành IOS và MacOS. Tôi cũng là giáo viên dạy lớp tối trong 5 năm qua và đã tự học cách sử dụng Google Chrome. Kỹ năng của tôi trong cả hai lĩnh vực khiến tôi trở thành ứng cử viên hoàn hảo cho công việc phát triển trang web, thiết kế đồ họa hoặc bảo mật web.



Related posts