حماية الاعتماد الاعتباري يحمي بيانات اعتماد سطح المكتب البعيد

يتمتع جميع مستخدمي مشرفي النظام بقلق حقيقي واحد - حيث يقومون بتأمين بيانات الاعتماد عبر اتصال "سطح المكتب البعيد". هذا لأن البرامج الضارة يمكن أن تجد طريقها إلى أي كمبيوتر آخر عبر اتصال سطح المكتب وتشكل تهديدًا محتملاً لبياناتك. هذا هو السبب في قيام نظام التشغيل Windows بتشغيل تحذير "تأكد من أنك تثق في جهاز الكمبيوتر هذا ، وأن الاتصال بجهاز كمبيوتر غير موثوق به قد يضر بجهاز الكمبيوتر الخاص بك" عند محاولة الاتصال بسطح مكتب بعيد. في هذا المنشور ، سنرى كيف يمكن للميزة Remote Credential Guard ، التي تم تقديمها في Windows 10 v1607 ، أن تساعد في حماية بيانات اعتماد سطح المكتب البعيد في Windows 10 Enterprise و Windows Server 2016 .

Remote Detail Guard في Windows 10

تم تصميم الميزة لإزالة التهديدات قبل أن تتطور إلى حالة خطيرة. يساعدك على حماية بيانات الاعتماد الخاصة بك عبر اتصال "سطح المكتب البعيد" عن طريق إعادة توجيه طلبات Kerberos إلى الجهاز الذي يطلب الاتصال. كما يوفر أيضًا تجارب تسجيل دخول فردية لجلسات "سطح المكتب البعيد".

في حالة حدوث أي سوء حظ حيث تم اختراق الجهاز المستهدف ، لا يتم عرض بيانات اعتماد المستخدم نظرًا لأنه لا يتم إرسال مشتقات بيانات الاعتماد أو الاعتماد إلى الجهاز المستهدف.

طريقة عمل حماية الاعتمادات عن بعد مشابهة إلى حد كبير للحماية التي يوفرها الحرس الاعتمادي على جهاز محلي باستثناء حماية الاعتماد ، كما يحمي بيانات المخزنة المخزنة من خلال مدير الاعتماد.

يمكن للفرد استخدام أداة حماية الاعتمادات عن بعد في الطرق التالية -

1. بما أن مسوغات المسؤول تكون ذات امتياز كبير ، يجب أن تكون محمية. وباستخدام Remote Credential Guard ، يمكنك التأكد من حماية بيانات الاعتماد الخاصة بك لأنها لا تسمح لبيانات الاعتماد بالمرور عبر الشبكة إلى الجهاز المستهدف.
2. يجب على موظفي مكتب الدعم في مؤسستك الاتصال بأجهزة متصلة بالمجال يمكن اختراقها. باستخدام Remote Credential Guard ، يمكن لموظف مكتب المساعدة استخدام RDP للاتصال بالجهاز المستهدف دون المساس ببيانات الاعتماد الخاصة به إلى برامج ضارة.

متطلبات الأجهزة والبرامج

لتمكين التشغيل السلس لحرس الاعتمادات عن بُعد ، تأكد من المتطلبات التالية لـ Remote تم استيفاء عميل سطح المكتب والملقم.

1. يجب أن يكون عميل سطح المكتب البعيد والخادم منضماً إلى مجال Active Directory
2. يجب أن يكون كلا الجهازين قد انضما إلى نفس المجال ، أو أن يكون ملقم سطح المكتب البعيد منضماً إلى مجال مع علاقة الثقة بمجال جهاز العميل.
3. يجب أن تكون مصادقة Kerberos ممكّنة.
4. يجب تشغيل عميل سطح المكتب البعيد على الأقل Windows 10 أو الإصدار 1607 أو Windows Server 2016.
5. سطح المكتب البعيد العالمي Windows Platform لا يدعم التطبيق Remote Credential Guard ، لذلك ، استخدم تطبيق Windows Desktop الكلاسيكي البعيد.

تمكين حماية الاعتمادات عن بُعد عبر التسجيل

لتمكين ميزة حماية الاعتمادات عن بُعد على الجهاز المستهدف ، افتح Re gistry Editor وانتقل إلى المفتاح التالي:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

إضافة قيمة DWORD جديدة باسم DisableRestrictedAdmin . قم بتعيين قيمة إعداد التسجيل هذا إلى 0 لتشغيل Remote Credential Guard.

أغلق محرر التسجيل.

يمكنك تمكين Remote Credential Guard عن طريق تشغيل الأمر التالي من CMD المرتفع:

reg يضيف HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

تشغيل حماية الاعتمادات عن بُعد باستخدام سياسة المجموعة

من الممكن استخدام Remote Credential Guard على جهاز العميل بواسطة تعيين "نهج المجموعة" أو باستخدام معلمة باستخدام "الاتصال بسطح المكتب البعيد".

من وحدة التحكم في إدارة نهج المجموعة ، انتقل إلى تكوين الكمبيوتر> قوالب الإدارة> النظام> تفويض بيانات الاعتماد .

الآن ، انقر نقرًا مزدوجًا فوق تقييد تفويض بيانات الاعتماد للخوادم البعيدة لفتح مربع خصائصه.

الآن في المربع استخدم وضع التقييد التالي ، اختر يتطلب تأمين اعتمادات عن بُعد. الخيار الآخر وضع Admin المقيدة موجود أيضًا. وتتمثل أهميته في أنه عندما يتعذر استخدام ميزة "بيانات الاعتماد عن بُعد" ، سيتم استخدام وضع Admin مقيد.

على أي حال ، لن يقوم وضع "بيانات اعتماد اعتماد" أو وضع "وضع تقييد المحتوى" بإرسال بيانات اعتماد بنص واضح إلى خادم "سطح المكتب البعيد".

سماح Remote Credential Guard ، باختيار الخيار Prefer Remote Credential Guard `.

انقر فوق موافق ، ثم قم بالخروج من وحدة التحكم في إدارة نهج المجموعة.

الآن ، من موجه الأوامر ، قم بتشغيل gpupdate.exe / force للتأكد من تطبيق كائن "نهج المجموعة".

استخدام "بيانات الاعتماد البعيد" مع معلمة "اتصال سطح المكتب البعيد"

إذا لم تستخدم "نهج المجموعة" في مؤسستك ، يمكنك إضافة المعلمة remoteGuard عند بدء تشغيل "الاتصال بسطح المكتب البعيد" لتشغيل "حماية بيانات الاعتماد عن بُعد" لهذا الاتصال.

mstsc.exe / remoteGuard

أشياء يجب أن تضعها في اعتبارك عند استخدام Remote Credential Guard

1. لا يمكن استخدام "الاعتماد الاعتمادي البعيد" للاتصال بـ جهاز مرتبط بـ Azure Active Directory.
2. Remo ﯾﻌﻣل ﺣﻣﺎﯾﺔ اﻟﻣواد اﻻﻋﺗﻣﺎدﯾﺔ ﻣن ﻣﮐﺗب اﻟﻣدﺧل ﻓﻘط ﻣﻊ ﺑروﺗوﮐول RDP.
3. ﻻ ﯾﺷﻣل ﺟﮭﺎز اﻹﻋﺗﻣﺎن ﻋن ﺑﻌد إدﻋﺎءات اﻟﺟﮭﺎز. على سبيل المثال ، إذا كنت تحاول الوصول إلى خادم ملفات من جهاز التحكم عن بعد ويتطلب خادم الملفات المطالبة بالجهاز ، فسيتم رفض الوصول.
4. يجب أن يقوم الخادم والعميل بالمصادقة باستخدام Kerberos.
5. يجب أن يكون لدى المجالات ثقة العلاقة ، أو يجب أن يكون كل من العميل والخادم منضماً إلى نفس المجال.
6. بوابة سطح المكتب البعيد غير متوافقة مع Remote Credential Guard.
7. لا يتم تسريب بيانات الاعتماد إلى الجهاز المستهدف. ومع ذلك ، لا يزال الجهاز الهدف يكتسب تذاكر خدمة Kerberos من تلقاء نفسه.
8. وأخيرا ، يجب عليك استخدام بيانات اعتماد المستخدم الذي تم تسجيل دخوله إلى الجهاز. لا يُسمح باستخدام بيانات الاعتماد المحفوظة أو بيانات الاعتماد التي تختلف عن بياناتك.

يمكنك قراءة المزيد عن هذا في Technet.