自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

Windows 10遠程憑據(jù)保護,幫你實現(xiàn)安全的遠程桌面連接

作者:佚名
系統(tǒng) Windows 系統(tǒng)運維
微軟在 Windows 10 周年更新和 Windows Server 2016 中引入了遠程憑據(jù)保護(Remote Credential Guard)功能?!高h程憑據(jù)保護」可以幫助用戶通過遠程桌面連接將 Kerberos 請求重定向回請求發(fā)起設備來保護您的憑據(jù),同時還為遠程桌面會話提供了 SSO(單點登錄)支持。

對于大多數(shù)系統(tǒng)管理員來說,遠程桌面是最常用的 Windows 功能之一。但每次選擇「信任遠程 PC」時,都需要冒一些遠程桌面憑據(jù)泄漏的風險,如果你對所連接的遠程計算機并不了解,甚至在連接一臺已受感染或被動了手腳的遠程系統(tǒng),憑據(jù)泄漏風險就更大了。

為了消除這一潛在安全威脅,微軟在 Windows 10 周年更新和 Windows Server 2016 中引入了遠程憑據(jù)保護(Remote Credential Guard)功能?!高h程憑據(jù)保護」可以幫助用戶通過遠程桌面連接將 Kerberos 請求重定向回請求發(fā)起設備來保護您的憑據(jù),同時還為遠程桌面會話提供了 SSO(單點登錄)支持。如果遠程服務器已被惡意攻陷,由于憑據(jù)和憑據(jù)衍生的驗證信息都不會發(fā)往目標服務器,也可保證驗證憑據(jù)不會暴露。

遠程憑據(jù)保護的常見使用場景如下:

  • 由于 Administrator 擁有很高特權,必需受到***程度的保護。通過使用「遠程憑據(jù)保護」進行 Remote Desktop 連接,憑據(jù)不會通過網(wǎng)絡傳遞到目標設備。
  • Helpdesk 團隊管理的設備可能已經(jīng)被感染,「Remote Credential Guard」可以保護 Helpdesk 成員在進行 RDP 連接時不被惡意軟件竊取憑據(jù)。

下圖為 Remote Credential Guard 的工作示意圖,可以幫助大家了解其工作原理。

遠程憑據(jù)保護軟、硬件要求

遠程桌面客戶端和服務器必須滿足以下要求才能使用遠程憑據(jù)保護特性:

  • Remote Desktop 服務器和客戶端必需是 Active Directory 成員。(服務器和客戶端必需加入同一域或加入的域有信任關系)
  • 必須使用 Kerberos 身份驗證
  • 操作系統(tǒng)必需是 Windows 10 version 1607 或 Windows Server 2016
  • 必需使用 Windows 10 或 WS 2016 中內(nèi)置的經(jīng)典「遠程桌面連接」應用,UWP 應用不支持此特性。

啟用遠程憑據(jù)保護功能

Remote Credential Guard 功能默認不啟用,我們可以通過更改注冊表或配置組策略的方式手動開啟。

注冊表方法

1.使用 Windows + R 快捷鍵打開「運行」— 執(zhí)行 regedit 打開注冊表編輯器。

2.導航到如下路徑:

  1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 

3.新建一個名為 DisableRestrictedAdmin 的 DWORD (32 位)值,并將其值設置為 0 即可。

如果你想偷懶,也可在「命令提示符」中直接使用如下命令更改注冊表:

  1. reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD 

組策略方法

如果要在域成員中批量啟用,***的辦法就是通過組策略為特定客戶端啟用「遠程憑據(jù)保護」支持。

1.使用 Windows + R 快捷鍵打開「運行」— 執(zhí)行 gpedit.msc 打開組策略編輯器(域管理員直接使用 GPMC)。

2.導航到如下路徑:

計算機配置—管理模板—系統(tǒng)—憑據(jù)分配

3.在右側找到「限制向遠程服務器分配憑據(jù)」將其啟用,再在下拉列表中選擇「需要遠程 Credential Guard」后點擊「確定」

4.更改完成后,等待一些時間即可生效或者執(zhí)行 gpupdate /force 強制刷新策略。

臨時啟用遠程憑據(jù)保護

使用參數(shù)為RDP連接啟用遠程憑據(jù)保護

除了通過注冊表或組策略直接啟用遠程憑據(jù)保護功能外,還可以通過附加參數(shù)臨時啟用。

  1. mstsc.exe /remoteGuard 

使用遠程憑據(jù)保護時的注意事項

  • 遠程憑據(jù)保護不包括「設備聲明」。 例如,如果您嘗試從遠程訪問文件服務器,并且文件服務器需要設備聲明,則訪問將被拒絕。
  • 遠程憑據(jù)保護不能用于連接到加入 Azure Active Directory 的設備。
  • 遠程桌面憑證保護僅適用于 RDP 協(xié)議。
  • 雖然不會有憑據(jù)直接發(fā)送到目標設備,但目標設備仍然自己獲取 Kerberos 服務的 Ticket。
  • 遠程桌面網(wǎng)關與遠程憑據(jù)保護不兼容。
  • 無能使用「已保存」或非自身的憑據(jù),必須使用登錄到設備的用戶憑據(jù)。
  • 客戶端和服務器都必須加入到同一個域或域必須具有信任關系。
  • 服務器和客戶端必須使用 Kerberos 進行身份驗證。
責任編輯:武曉燕 來源: 系統(tǒng)極客
Windows 10遠程桌面連接
相關推薦

2010-08-04 09:43:29

遠程桌面連接

2019-03-13 10:45:21

憑據(jù)Windows 10遠程桌面

2019-07-31 14:48:03

Windows 10遠程桌面黑屏

2009-01-11 09:59:30

遠程服務摩卡遠程管理

2009-11-19 13:36:45

2012-08-21 09:40:41

2019-08-23 19:53:12

WindowsUbuntu遠程桌面工具

2011-01-10 16:04:01

windowslinux遠程

2016-01-05 09:37:41

遠程桌面連接Windows 10

2018-10-09 09:20:43

修復windows遠程桌面

2010-03-04 09:02:40

Windows 7遠程桌面

2013-07-25 09:42:00

遠程桌面連接遠程控制

2010-01-04 09:36:05

2022-05-16 07:35:21

Windows遠程桌面遠程服務器

2022-08-22 12:57:46

遠程桌面Windows

2019-07-30 11:12:21

Windows 10遠程桌面錯誤0x104

2012-09-06 09:34:19

微軟Win 8遠程桌面

2013-11-19 20:07:18

遠程桌面文件文件傳輸

2021-01-14 11:03:10

Windows工具微軟
點贊
收藏

51CTO技術棧公眾號