حماية الاعتمادية عن بعد يحمي بيانات اعتماد سطح المكتب البعيد

جدول المحتويات:

فيديو: حماية الاعتمادية عن بعد يحمي بيانات اعتماد سطح المكتب البعيد

فيديو: حماية الاعتمادية عن بعد يحمي بيانات اعتماد سطح المكتب البعيد
فيديو: كيفية إنشاء اختصار إلى موقع على الانترنت في كروم على شريط المهام في ويندوز 10 2024, مارس
حماية الاعتمادية عن بعد يحمي بيانات اعتماد سطح المكتب البعيد
حماية الاعتمادية عن بعد يحمي بيانات اعتماد سطح المكتب البعيد
Anonim

يتمتع جميع مستخدمي مشرفي النظام بقلق حقيقي واحد - حيث يقومون بتأمين بيانات الاعتماد عبر اتصال "سطح المكتب البعيد". هذا لأن البرامج الضارة يمكن أن تجد طريقها إلى أي كمبيوتر آخر عبر اتصال سطح المكتب وتشكل تهديدًا محتملاً لبياناتك. هذا هو السبب في قيام نظام التشغيل Windows بتشغيل تحذير "تأكد من أنك تثق في جهاز الكمبيوتر هذا ، وأن الاتصال بجهاز كمبيوتر غير موثوق به قد يضر بجهاز الكمبيوتر الخاص بك" عند محاولة الاتصال بسطح مكتب بعيد. في هذا المنصب ، سوف نرى كيف الحرس الاعتمادي عن بعد الميزة التي تم تقديمها في ويندوز 10 v1607يمكن أن يساعد في حماية بيانات اعتماد سطح المكتب البعيد في ويندوز 10 المؤسسة و ويندوز سيرفر 2016.

الحرس الاعتمادات عن بعد في نظام التشغيل Windows 10

تم تصميم الميزة للقضاء على التهديدات قبل أن تتطور إلى حالة خطيرة. يساعدك على حماية بيانات الاعتماد الخاصة بك عبر اتصال "سطح المكتب البعيد" عن طريق إعادة توجيه كيربيروس طلبات العودة إلى الجهاز الذي يطلب الاتصال. كما يوفر أيضًا تجارب تسجيل دخول فردية لجلسات "سطح المكتب البعيد".

في حالة حدوث أي سوء حظ حيث تم اختراق الجهاز المستهدف ، لا يتم عرض بيانات اعتماد المستخدم نظرًا لأنه لا يتم إرسال كل من المشتقات المعتمدة على بيانات الاعتماد أو الاعتماد إلى الجهاز المستهدف.

تشبه طريقة تشغيل أداة حماية البيانات عن بُعد إلى حد بعيد الحماية التي يوفرها حارس الاعتماد على جهاز محلي باستثناء حماية الاعتماد ، كما تحمي بيانات المخزنة المخزنة من خلال مدير الاعتماد.
تشبه طريقة تشغيل أداة حماية البيانات عن بُعد إلى حد بعيد الحماية التي يوفرها حارس الاعتماد على جهاز محلي باستثناء حماية الاعتماد ، كما تحمي بيانات المخزنة المخزنة من خلال مدير الاعتماد.

يمكن للفرد استخدام الحرس الاعتمادي عن بعد بالطرق التالية-

  1. نظرًا لأن مسوغات المشرف تتمتع بامتيازات عالية ، فيجب حمايتها. وباستخدام Remote Credential Guard ، يمكنك التأكد من حماية بيانات الاعتماد الخاصة بك لأنها لا تسمح لبيانات الاعتماد بالمرور عبر الشبكة إلى الجهاز المستهدف.
  2. يجب أن يتصل موظفو مكتب الدعم الفني في مؤسستك بالأجهزة المرتبطة بالنطاق والتي يمكن اختراقها. باستخدام Remote Credential Guard ، يمكن لموظف مكتب المساعدة استخدام RDP للاتصال بالجهاز المستهدف دون المساس ببيانات الاعتماد الخاصة به إلى البرامج الضارة.

متطلبات الأجهزة والبرامج

لتمكين التنفيذ السلس لحرس الاعتمادات عن بعد ، تأكد من استيفاء المتطلبات التالية لعميل وخادم سطح المكتب البعيد.

  1. يجب أن يكون عميل سطح المكتب البعيد والملقم منضماً إلى مجال Active Directory
  2. يجب أن يكون كلا الجهازين منضماً إلى نفس المجال ، أو يجب أن يكون ملقم سطح المكتب البعيد منضماً إلى مجال له علاقة ثقة بنطاق جهاز العميل.
  3. يجب تمكين مصادقة Kerberos.
  4. يجب تشغيل عميل "سطح المكتب البعيد" على الأقل Windows 10 أو الإصدار 1607 أو Windows Server 2016.
  5. لا يدعم تطبيق النظام الأساسي لسطح المكتب البعيد من ® سطح المكتب Remote Credential Guard ، لذا استخدم تطبيق Windows Desktop الكلاسيكي البعيد.

تمكين الحرس الاعتمادات عن بعد عبر التسجيل

لتمكين Remote Credential Guard على الجهاز المستهدف ، افتح محرر التسجيل وانتقل إلى المفتاح التالي:

HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa

أضف قيمة DWORD جديدة مسماة DisableRestrictedAdmin. قم بتعيين قيمة هذا الإعداد التسجيل إلى 0 لتشغيل Remote Credential Guard.

أغلق محرر التسجيل.

يمكنك تمكين Remote Credential Guard عن طريق تشغيل الأمر التالي من CMD المرتفع:

reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

قم بتشغيل "حماية بيانات الاعتماد عن بُعد" باستخدام "نهج المجموعة"

من الممكن استخدام Remote Credential Guard على جهاز العميل عن طريق تعيين "نهج المجموعة" أو باستخدام معلمة مع "الاتصال بسطح المكتب البعيد".

من وحدة التحكم في إدارة نهج المجموعة ، انتقل إلى تكوين الكمبيوتر> قوالب الإدارة> النظام> تفويض بيانات الاعتماد.

الآن ، انقر نقرا مزدوجا فوق تقييد تفويض بيانات الاعتماد للخوادم البعيدة لفتح مربع خصائصه.

الآن في استخدم الوضع المقيد التالي المربع ، اختر يتطلب الحرس الاعتمادات عن بعد. الخيار الآخر وضع المشرف المقيدة موجود ايضا. وتتمثل أهميته في أنه عندما يتعذر استخدام ميزة "بيانات الاعتماد عن بُعد" ، فسيتم استخدام وضع Admin المقيد.

في أي حال ، لن يرسل أي من بيانات الاعتماد الاعتباري أو وضع Admin المقيدة بيانات اعتماد بنص واضح إلى خادم Remote Desktop.

اسمح لوحدات الاعتمادات عن بُعد باختيار تفضل الحرس الاعتمادات عن بعد' اختيار.

انقر فوق "موافق" وإنهاء "وحدة التحكم في إدارة نهج المجموعة".

Image
Image

الآن ، من موجه الأوامر ، قم بتشغيل gpupdate.exe / القوة للتأكد من تطبيق كائن "نهج المجموعة".

استخدم حماية الاعتمادات عن بعد مع معلمة اتصال سطح المكتب البعيد

إذا كنت لا تستخدم Group Policy في مؤسستك ، فيمكنك إضافة المعامل remoteGuard عند بدء Remote Desktop Connection لتشغيل Remote Credential Guard لذلك الاتصال.

mstsc.exe /remoteGuard

أشياء يجب أن تضعها في اعتبارك عند استخدام Remote Credential Guard

  1. لا يمكن استخدام "بيانات الاعتماد عن بُعد" للاتصال بجهاز مرتبط بـ Active Directory Azure.
  2. الحرس الاعتمادات سطح المكتب البعيد يعمل فقط مع بروتوكول RDP.
  3. لا يتضمن "بيانات الاعتماد" عن بُعد مطالبات الجهاز. على سبيل المثال ، إذا كنت تحاول الوصول إلى خادم ملفات من جهاز التحكم عن بُعد ويتطلب خادم الملفات المطالبة بالجهاز ، فسيتم رفض الوصول.
  4. يجب أن يقوم الخادم والعميل بالمصادقة باستخدام Kerberos.
  5. يجب أن يكون لدى المجالات علاقة ثقة ، أو يجب أن يكون كل من العميل والخادم منضما إلى نفس المجال.
  6. بوابة سطح المكتب البعيد غير متوافق مع Remote Credential Guard.
  7. يتم تسريب أية بيانات اعتماد إلى الجهاز الهدف. ومع ذلك ، لا يزال الجهاز الهدف يكتسب تذاكر خدمة Kerberos من تلقاء نفسها.
  8. وأخيرًا ، يجب عليك استخدام بيانات اعتماد المستخدم الذي سجّل دخوله إلى الجهاز. لا يُسمح باستخدام بيانات الاعتماد المحفوظة أو بيانات الاعتماد التي تختلف عن بياناتك.

يمكنك قراءة المزيد عن هذا في Technet.

موصى به: