Remote Credential Guard protegge le credenziali di Desktop remoto
Tutti gli utenti dell'amministratore di sistema hanno una preoccupazione molto reale: proteggere le credenziali tramite una connessione Desktop remoto . Questo perché il malware può raggiungere qualsiasi altro computer tramite la connessione desktop e rappresentare una potenziale minaccia per i tuoi dati. Ecco perché il sistema operativo Windows(Windows OS) mostra un avviso " Assicurati di fidarti di questo PC, la connessione a un computer non attendibile potrebbe danneggiare il tuo PC(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) " quando tenti di connetterti a un desktop remoto.
In questo post, vedremo come la funzionalità Remote Credential Guard , introdotta in Windows 10 , può aiutare a proteggere le credenziali del desktop remoto in Windows 10 Enterprise e Windows Server .
Protezione delle credenziali remote(Remote Credential Guard) in Windows 10
La funzione è progettata per eliminare le minacce prima che si trasformino in una situazione grave. Ti aiuta a proteggere le tue credenziali su una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che sta richiedendo la connessione. Fornisce inoltre esperienze di accesso singolo per le sessioni di Desktop remoto .(Remote Desktop)
In caso di qualsiasi disgrazia in cui il dispositivo di destinazione è compromesso, le credenziali dell'utente non vengono esposte perché sia le credenziali che le derivate delle credenziali non vengono mai inviate al dispositivo di destinazione.
Il modus operandi di Remote Credential Guard è molto simile alla protezione offerta da Credential Guard su una macchina locale, ad eccezione di Credential Guard che protegge anche le credenziali di dominio archiviate tramite Credential Manager .
Un individuo può utilizzare Remote Credential Guard nei seguenti modi:
- Poiché le credenziali dell'amministratore(Administrator) sono altamente privilegiate, devono essere protette. Utilizzando Remote Credential Guard , puoi essere certo che le tue credenziali sono protette in quanto non consente alle credenziali di passare attraverso la rete al dispositivo di destinazione.
- I dipendenti dell'helpdesk(Helpdesk) della tua organizzazione devono connettersi a dispositivi aggiunti a un dominio che potrebbero essere compromessi. Con Remote Credential Guard , il dipendente dell'helpdesk può utilizzare RDP per connettersi al dispositivo di destinazione senza compromettere le proprie credenziali per il malware.
Requisiti hardware e software
Per consentire il corretto funzionamento di Remote Credential Guard , assicurarsi che siano soddisfatti i seguenti requisiti del client e del server di Desktop remoto .(Remote Desktop)
- Il client(Remote Desktop Client) e il server Desktop remoto devono essere aggiunti a un dominio di Active Directory
- Entrambi i dispositivi devono essere aggiunti allo stesso dominio oppure il server Desktop(Remote Desktop) remoto deve essere aggiunto a un dominio con una relazione di trust con il dominio del dispositivo client.
- L' autenticazione Kerberos dovrebbe essere stata abilitata.
- Il client Desktop remoto(Remote Desktop) deve eseguire almeno Windows 10 , versione 1607 o Windows Server 2016 .
- L' app della piattaforma Windows universale Desktop remoto(Remote Desktop Universal Windows Platform) non supporta Remote Credential Guard , quindi usa l' app Windows classica di Desktop remoto .(Remote Desktop)
Abilita Remote Credential Guard tramite registro(Registry)
Per abilitare Remote Credential Guard sul dispositivo di destinazione, apri l' Editor del Registro(Registry Editor) di sistema e vai alla chiave seguente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Aggiungi un nuovo valore DWORD denominato DisableRestrictedAdmin . Impostare il valore di questa impostazione del Registro di sistema su 0 per attivare Remote Credential Guard .
Chiudere l'editor del registro.
Puoi abilitare Remote Credential Guard eseguendo il comando seguente da un CMD con privilegi elevati:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Attiva Remote Credential Guard utilizzando Criteri di gruppo(Group Policy)
È possibile utilizzare Remote Credential Guard sul dispositivo client impostando un criterio di gruppo(Group Policy) o utilizzando un parametro con Connessione desktop remoto(Remote Desktop Connection) .
Dalla Console di gestione dei criteri di gruppo(Group Policy Management Console) , accedere a Computer Configuration > Administrative Templates > System > Credentials Delegation.
Ora, fai doppio clic su Limita delega delle credenziali ai server remoti(Restrict delegation of credentials to remote servers) per aprire la sua finestra Proprietà.
Ora nella casella Usa la seguente modalità con restrizioni(Use the following restricted mode) , scegli Richiedi protezione credenziali remote. ( Require Remote Credential Guard. )È presente anche l'altra opzione Modalità amministratore con restrizioni(Restricted Admin mode) . Il suo significato è che quando non è possibile utilizzare Remote Credential Guard , utilizzerà la modalità di amministrazione con restrizioni(Restricted Admin) .
In ogni caso, né la modalità Remote Credential Guard né Restricted Admin invieranno le credenziali in chiaro al server Desktop(Remote Desktop) remoto.
Consenti Remote Credential Guard(Allow Remote Credential Guard) , scegliendo l'opzione ' Prefer Remote Credential Guard '.
Fare clic su OK(Click OK) ed uscire dalla Console di gestione dei criteri di gruppo(Group Policy Management Console) .
Ora, da un prompt dei comandi, esegui gpupdate.exe /force per assicurarti che l' oggetto Criteri(Group Policy) di gruppo sia applicato.
Utilizzare Remote Credential Guard(Use Remote Credential Guard) con un parametro per Connessione desktop remoto(Remote Desktop)
Se non utilizzi Criteri(Group Policy) di gruppo nella tua organizzazione, puoi aggiungere il parametro remoteGuard quando avvii Connessione desktop(Desktop Connection) remoto per attivare Remote Credential Guard per quella connessione.
mstsc.exe /remoteGuard
Cose da tenere a mente quando si utilizza Remote Credential Guard
- Remote Credential Guard non può essere usato per connettersi a un dispositivo aggiunto ad Azure Active Directory .
- Remote Desktop Credential Guard funziona solo con il protocollo RDP .
- Remote Credential Guard non include le attestazioni sul dispositivo. Ad esempio, se stai tentando di accedere a un file server dal remoto e il file server richiede l'attestazione del dispositivo, l'accesso verrà negato.
- Il server e il client devono autenticarsi utilizzando Kerberos .
- I domini devono avere una relazione di trust oppure sia il client che il server devono essere uniti allo stesso dominio.
- Remote Desktop Gateway non è compatibile con Remote Credential Guard .
- Nessuna credenziale è trapelata al dispositivo di destinazione. Tuttavia, il dispositivo di destinazione continua ad acquisire autonomamente i ticket di (Tickets)servizio Kerberos(Kerberos Service) .
- Infine, è necessario utilizzare le credenziali dell'utente che ha effettuato l'accesso al dispositivo. Non è consentito utilizzare credenziali salvate o credenziali diverse dalle tue.
Puoi leggere di più su questo su Technet .
Correlati(Related) : come aumentare il numero di connessioni desktop remoto(increase the number of Remote Desktop Connections) in Windows 10.
Related posts
Aumentare il numero di Remote Desktop Connections in Windows 11/10
Windows Key Bloccato dopo il passaggio da Remote Desktop session
Impossibile copiare Paste in Remote Desktop Session in Windows 10
RDP connection authentication error; Function richiesto non è supportato
Create Remote Desktop Connection shortcut in Windows 11/10
Cambia listening port per Remote Desktop
Connect iPhone a Windows 10 PC utilizzando Microsoft Remote Desktop
Connettiti a un PC Windows da Ubuntu utilizzando Connessione desktop remoto
Accedi ai tuoi Computer remoto tramite Chrome Remote Desktop
Remote Desktop Services Cause High CPU in Windows 10
Remote Desktop non funziona o non si connetterà in Windows 10
Come configurare il desktop remoto tramite router
Come abilitare Desktop remoto in Windows 10 (o Windows 7)
NoMachine è uno Remote Desktop Tool gratuito e portatile per Windows PC
Fix Remote Desktop non riesce a trovare lo computer error in Windows 11/10
Domande semplici: cosa sono le connessioni desktop remoto?
Remove History Voci dello Remote Desktop Connection in Windows 11/10
Per firmare in remoto, è necessario accedere tramite Remote Desktop Services
L'errore non riuscito logon attempt durante il collegamento Remote Desktop
Come controllare un PC Windows utilizzando Desktop remoto per Mac