对于大多数系统管理员来说,远程桌面是最常用的Windows功能之一。但是每次选择“信任远程PC”时,您都需要承担一些远程桌面凭据泄露的风险。如果您不知道自己所连接的远程计算机,甚至连接到已被感染或被动操纵的远程系统,则凭证泄露的风险就更大。为了消除这种潜在的安全威胁,微软在Windows10周年更新和WindowsServer2016中引入了远程凭据保护(RemoteCredentialGuard)功能。“远程凭据保护”可以通过将Kerberos请求重定向回请求设备来帮助用户保护您的凭据。远程桌面连接,还为远程桌面会话提供SSO(单点登录)支持。如果远程服务器被恶意破坏,由于凭证和从凭证中派生的认证信息都不会发送到目标服务器,因此也可以确保认证凭证不会被暴露。RemoteCredentialGuard常见的使用场景如下:由于Administrator拥有较高的权限,因此需要最大限度的保护。通过使用RemoteCredentialGuard进行远程桌面连接,凭据不会通过网络传递到目标设备。Helpdesk团队管理的设备可能已被感染,“RemoteCredentialGuard”可以保护Helpdesk成员在进行RDP连接时不被恶意软件窃取。下图是RemoteCredentialGuard的工作原理图,可以帮助大家理解其工作原理。远程凭据保护软件和硬件要求远程桌面客户端和服务器必须满足以下要求才能使用远程凭据保护功能:远程桌面服务器和客户端必须是ActiveDirectory的成员。(服务器和客户端必须加入同一个域或加入的域有信任关系)必须使用Kerberos认证操作系统必须是Windows10版本1607或WindowsServer2016Windows10或WS内置的经典“远程桌面连接”2016必须使用的Apps,UWPApps不支持此功能。开启RemoteCredentialGuard功能RemoteCredentialGuard功能默认是不开启的,我们可以通过修改注册表或者配置组策略来手动开启。注册表方法1、使用Windows+R快捷键打开“运行”——执行regedit打开注册表编辑器。2.导航到以下路径:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa3。新建一个DWORD(32位)值,取名为DisableRestrictedAdmin,并将其值设置为0。如果你想偷懒,也可以直接在“命令提示符”中使用以下命令更改注册表:regaddHKLM\SYSTEM\CurrentControlSet\Control\Lsa/vDisableRestrictedAdmin/d0/tREG_DWORD如果要在域成员中批量启用,*最好的方法是通过组策略为特定客户端启用“RemoteCredentialGuard”支持。1、使用Windows+R快捷键打开“运行”——执行gpedit.msc打开组策略编辑器(域管理员直接使用GPMC)。2.进入如下路径:ComputerConfiguration—AdministrativeTemplates—System—CredentialAssignment3.在右侧找到“RestrictAssigningCredentialstoRemoteServers”启用,然后在下拉列表中选择“RequireRemoteCredentialGuard”并点击“确定”4、修改完成后,等待一段时间生效或执行gpupdate/force强制刷新策略。临时启用RemoteCredentialGuard使用参数为RDP连接启用RemoteCredentialGuard除了直接通过注册表或组策略启用RemoteCredentialGuard功能外,还可以通过附加参数临时启用。mstsc.exe/remoteGuard使用RemoteCredentialGuard时的注意事项RemoteCredentialGuard不包含“DeviceStatement”。例如,如果您尝试远程访问文件服务器,而文件服务器需要设备声明,访问将被拒绝。RemoteCredentialGuard不能用于连接到已加入AzureActiveDirectory的设备。RemoteDesktopCredentialGuard仅适用于RDP协议。虽然没有凭据直接发送到目标设备,但目标设备仍会获取Kerberos服务本身的票证。远程桌面网关与RemoteCredentialGuard不兼容。不能使用“已保存”或非自己的凭据,必须使用登录到设备的用户的凭据。客户端和服务器都必须加入同一个域,或者该域必须具有信任关系。服务器和客户端必须使用Kerberos进行身份验证。
