Remote Credential Guard protegge le credenziali di Desktop remoto

Tutti gli utenti dell'amministratore di sistema hanno una preoccupazione molto reale: proteggere le credenziali tramite una connessione Desktop remoto . Questo perché il malware può raggiungere qualsiasi altro computer tramite la connessione desktop e rappresentare una potenziale minaccia per i tuoi dati. Ecco perché il sistema operativo Windows(Windows OS) mostra un avviso " Assicurati di fidarti di questo PC, la connessione a un computer non attendibile potrebbe danneggiare il tuo PC(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) " quando tenti di connetterti a un desktop remoto.

In questo post, vedremo come la funzionalità Remote Credential Guard , introdotta in  Windows 10 , può aiutare a proteggere le credenziali del desktop remoto in Windows 10 Enterprise e Windows Server .

Protezione delle credenziali remote(Remote Credential Guard) in Windows 10

La funzione è progettata per eliminare le minacce prima che si trasformino in una situazione grave. Ti aiuta a proteggere le tue credenziali su una connessione Desktop remoto reindirizzando le richieste Kerberos al dispositivo che sta richiedendo la connessione. Fornisce inoltre esperienze di accesso singolo per le sessioni di Desktop remoto .(Remote Desktop)

In caso di qualsiasi disgrazia in cui il dispositivo di destinazione è compromesso, le credenziali dell'utente non vengono esposte perché sia ​​le credenziali che le derivate delle credenziali non vengono mai inviate al dispositivo di destinazione.

Protezione delle credenziali remota

Il modus operandi di Remote Credential Guard è molto simile alla protezione offerta da Credential Guard su una macchina locale, ad eccezione di Credential Guard che protegge anche le credenziali di dominio archiviate tramite Credential Manager .

Un individuo può utilizzare Remote Credential Guard nei seguenti modi:

  1. Poiché le credenziali dell'amministratore(Administrator) sono altamente privilegiate, devono essere protette. Utilizzando Remote Credential Guard , puoi essere certo che le tue credenziali sono protette in quanto non consente alle credenziali di passare attraverso la rete al dispositivo di destinazione.
  2. I dipendenti dell'helpdesk(Helpdesk) della tua organizzazione devono connettersi a dispositivi aggiunti a un dominio che potrebbero essere compromessi. Con Remote Credential Guard , il dipendente dell'helpdesk può utilizzare RDP per connettersi al dispositivo di destinazione senza compromettere le proprie credenziali per il malware.

Requisiti hardware e software

Per consentire il corretto funzionamento di Remote Credential Guard , assicurarsi che siano soddisfatti i seguenti requisiti del client e del server di Desktop remoto .(Remote Desktop)

  1. Il client(Remote Desktop Client) e il server Desktop remoto devono essere aggiunti a un dominio di Active Directory
  2. Entrambi i dispositivi devono essere aggiunti allo stesso dominio oppure il server Desktop(Remote Desktop) remoto deve essere aggiunto a un dominio con una relazione di trust con il dominio del dispositivo client.
  3. L' autenticazione Kerberos dovrebbe essere stata abilitata.
  4. Il client Desktop remoto(Remote Desktop) deve eseguire almeno Windows 10 , versione 1607 o Windows Server 2016 .
  5. L' app della piattaforma Windows universale Desktop remoto(Remote Desktop Universal Windows Platform) non supporta Remote Credential Guard , quindi usa l' app Windows classica di Desktop remoto .(Remote Desktop)

Abilita Remote Credential Guard tramite registro(Registry)

Per abilitare Remote Credential Guard sul dispositivo di destinazione, apri l' Editor del Registro(Registry Editor) di sistema e vai alla chiave seguente:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Aggiungi un nuovo valore DWORD denominato DisableRestrictedAdmin . Impostare il valore di questa impostazione del Registro di sistema su 0 per attivare Remote Credential Guard .

Chiudere l'editor del registro.

Puoi abilitare Remote Credential Guard eseguendo il comando seguente da un CMD con privilegi elevati:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Attiva Remote Credential Guard utilizzando Criteri di gruppo(Group Policy)

È possibile utilizzare Remote Credential Guard sul dispositivo client impostando un criterio di gruppo(Group Policy) o utilizzando un parametro con Connessione desktop remoto(Remote Desktop Connection) .

Dalla Console di gestione dei criteri di gruppo(Group Policy Management Console) , accedere a Computer Configuration > Administrative Templates > System > Credentials Delegation.

Ora, fai doppio clic su Limita delega delle credenziali ai server remoti(Restrict delegation of credentials to remote servers) per aprire la sua finestra Proprietà.

Ora nella casella Usa la seguente modalità con restrizioni(Use the following restricted mode) , scegli Richiedi protezione credenziali remote. ( Require Remote Credential Guard. )È presente anche l'altra opzione Modalità amministratore con restrizioni(Restricted Admin mode) . Il suo significato è che quando non è possibile utilizzare Remote Credential Guard , utilizzerà la modalità di amministrazione con restrizioni(Restricted Admin) .

In ogni caso, né la modalità Remote Credential GuardRestricted Admin invieranno le credenziali in chiaro al server Desktop(Remote Desktop) remoto.

Consenti Remote Credential Guard(Allow Remote Credential Guard) , scegliendo l'opzione ' Prefer Remote Credential Guard '.

Fare clic su OK(Click OK) ed uscire dalla Console di gestione dei criteri di gruppo(Group Policy Management Console) .

criteri di gruppo di protezione delle credenziali remote

Ora, da un prompt dei comandi, esegui gpupdate.exe /force per assicurarti che l' oggetto Criteri(Group Policy) di gruppo sia applicato.

Utilizzare Remote Credential Guard(Use Remote Credential Guard) con un parametro per Connessione desktop remoto(Remote Desktop)

Se non utilizzi Criteri(Group Policy) di gruppo nella tua organizzazione, puoi aggiungere il parametro remoteGuard quando avvii Connessione desktop(Desktop Connection) remoto per attivare Remote Credential Guard per quella connessione.

mstsc.exe /remoteGuard

Cose da tenere a mente quando si utilizza Remote Credential Guard

  1. Remote Credential Guard non può essere usato per connettersi a un dispositivo aggiunto ad Azure Active Directory .
  2. Remote Desktop Credential Guard funziona solo con il protocollo RDP .
  3. Remote Credential Guard non include le attestazioni sul dispositivo. Ad esempio, se stai tentando di accedere a un file server dal remoto e il file server richiede l'attestazione del dispositivo, l'accesso verrà negato.
  4. Il server e il client devono autenticarsi utilizzando Kerberos .
  5. I domini devono avere una relazione di trust oppure sia il client che il server devono essere uniti allo stesso dominio.
  6. Remote Desktop Gateway non è compatibile con Remote Credential Guard .
  7. Nessuna credenziale è trapelata al dispositivo di destinazione. Tuttavia, il dispositivo di destinazione continua ad acquisire autonomamente i ticket di (Tickets)servizio Kerberos(Kerberos Service) .
  8. Infine, è necessario utilizzare le credenziali dell'utente che ha effettuato l'accesso al dispositivo. Non è consentito utilizzare credenziali salvate o credenziali diverse dalle tue.

Puoi leggere di più su questo su Technet .

Correlati(Related) : come aumentare il numero di connessioni desktop remoto(increase the number of Remote Desktop Connections) in Windows 10.



Martina Caputo

About the author

Dopo quasi 20 anni nel settore della tecnologia, ho imparato molto sui prodotti Apple e su come personalizzarli per le mie esigenze. In particolare, so utilizzare la piattaforma iOS per creare aspetti personalizzati e interagire con i miei utenti tramite le preferenze dell'applicazione. Questa esperienza mi ha fornito preziose informazioni su come Apple progetta i suoi prodotti e su come migliorare al meglio la loro esperienza utente.


Related posts