Remote Credential Guard protege las credenciales de escritorio remoto en Windows 10
Todos los usuarios de administradores de sistemas tienen una preocupación muy genuina: asegurar las credenciales a través de una conexión de Escritorio remoto. Esto se debe a que el malware puede encontrar su camino a cualquier otra computadora a través de la conexión de escritorio y representar una amenaza potencial para sus datos. Es por eso que el sistema operativo Windows muestra una advertencia: "Asegúrese de que confía en esta PC, la conexión a una computadora que no sea de confianza podría dañar su PC" cuando intenta conectarse a un escritorio remoto. En este post, veremos cómo el Guardia de credencial remota característica, que se ha introducido en Windows 10 v1607, puede ayudar a proteger las credenciales de escritorio remoto en Windows 10 Enterprise y Windows Server 2016.
Guardia de credenciales remota en Windows 10
La función está diseñada para eliminar amenazas antes de que se convierta en una situación grave. Le ayuda a proteger sus credenciales a través de una conexión de escritorio remoto al redireccionar el Kerberos vuelve a solicitar al dispositivo que está solicitando la conexión. También proporciona experiencias de inicio de sesión único para sesiones de Escritorio remoto.
En el caso de una desgracia en la que el dispositivo de destino se vea comprometido, las credenciales del usuario no se exponen porque las credenciales y los derivados de credenciales nunca se envían al dispositivo de destino..
El modus operandi de Remote Credential Guard es muy similar a la protección ofrecida por Credential Guard en una máquina local, excepto que Credential Guard también protege las credenciales de dominio almacenadas a través del Administrador de credenciales..
Un individuo puede usar Remote Credential Guard de las siguientes maneras-
- Dado que las credenciales de administrador son altamente privilegiadas, deben estar protegidas. Al usar Remote Credential Guard, puede estar seguro de que sus credenciales están protegidas, ya que no permite que las credenciales pasen de la red al dispositivo de destino..
- Los empleados de Helpdesk en su organización deben conectarse a dispositivos unidos a un dominio que puedan verse comprometidos. Con Remote Credential Guard, el empleado del servicio de asistencia puede utilizar RDP para conectarse al dispositivo de destino sin comprometer sus credenciales de malware..
Requisitos de hardware y software
Para habilitar el funcionamiento sin problemas de Remote Credential Guard, asegúrese de que se cumplan los siguientes requisitos de cliente y servidor de Escritorio remoto.
- El cliente y el servidor de Escritorio remoto deben estar unidos a un dominio de Active Directory
- Ambos dispositivos deben unirse al mismo dominio, o el servidor de Escritorio remoto debe estar unido a un dominio con una relación de confianza con el dominio del dispositivo cliente..
- La autenticación Kerberos debería haber sido habilitada.
- El cliente de Escritorio remoto debe estar ejecutando al menos Windows 10, versión 1607 o Windows Server 2016.
- La aplicación de la plataforma universal de Windows para escritorio remoto no es compatible con Remote Credential Guard, así que use la aplicación clásica de escritorio para Windows.
Habilitar Guardia de Credenciales Remotas a través del Registro
Para habilitar Remote Credential Guard en el dispositivo de destino, abra el Editor del Registro y vaya a la siguiente clave:
HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa
Agregue un nuevo valor DWORD llamado DisableRestrictedAdmin. Establezca el valor de esta configuración de registro en 0 activar la Guardia de credencial remota.
Cerrar el editor de registro.
Puede habilitar la Protección de credenciales remotas ejecutando el siguiente comando desde un CMD elevado:
reg agregar HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD
Activar Guardia de credenciales remotas mediante el uso de la directiva de grupo
Es posible usar Remote Credential Guard en el dispositivo cliente configurando una Política de grupo o usando un parámetro con Conexión a Escritorio remoto.
Desde la Consola de administración de directivas de grupo, vaya a Configuración del equipo> Plantillas administrativas> Sistema> Delegación de credenciales.
Ahora, haga doble clic Restringir la delegación de credenciales a servidores remotos para abrir su cuadro de propiedades.
Ahora en el Usa el siguiente modo restringido caja, elegir Requerir Guardia de Credenciales Remotas. La otra opcion Modo de administrador restringido También está presente. Su importancia es que cuando no se puede usar Remote Credential Guard, usará el modo de administrador restringido.
En cualquier caso, ni Remote Guardential Credential Guard ni el modo de administrador restringido enviarán las credenciales en texto claro al servidor de Escritorio remoto.
Permitir Guardia de credencial remota, seleccionando 'Prefiero Guardia de credencial remota' opción.
Haga clic en Aceptar y salga de la Consola de administración de directivas de grupo..
Ahora, desde un símbolo del sistema, ejecute gpupdate.exe / force para asegurar que el objeto de la directiva de grupo se aplica.
Use Remote Credential Guard con un parámetro para la conexión de escritorio remoto
Si no usa la Política de grupo en su organización, puede agregar el parámetro remoteGuard cuando inicie la Conexión a Escritorio remoto para activar la Protección de credenciales remota para esa conexión.
mstsc.exe / remoteGuard
Cosas que debe tener en cuenta al usar Remote Credential Guard
- Remote Credential Guard no se puede usar para conectarse a un dispositivo que está unido a Azure Active Directory.
- Remote Desktop Credential Guard solo funciona con el protocolo RDP.
- Remote Credential Guard no incluye reclamos de dispositivos. Por ejemplo, si está intentando acceder a un servidor de archivos desde el control remoto y el servidor de archivos requiere una reclamación del dispositivo, se denegará el acceso.
- El servidor y el cliente deben autenticarse usando Kerberos.
- Los dominios deben tener una relación de confianza, o tanto el cliente como el servidor deben estar unidos al mismo dominio.
- Remote Desktop Gateway no es compatible con Remote Credential Guard.
- No se filtran credenciales al dispositivo de destino. Sin embargo, el dispositivo de destino todavía adquiere los tickets de servicio de Kerberos por su cuenta.
- Por último, debe utilizar las credenciales del usuario que ha iniciado sesión en el dispositivo. No se permite el uso de credenciales guardadas o credenciales diferentes a las suyas..