रिमोट क्रेडेंशियल गार्ड रिमोट डेस्कटॉप क्रेडेंशियल्स की सुरक्षा करता है

सभी सिस्टम प्रशासकों के पास एक बहुत ही वास्तविक चिंता है - दूरस्थ डेस्कटॉप कनेक्शन पर प्रमाण-पत्र सुरक्षित करना। ऐसा इसलिए है क्योंकि मैलवेयर किसी अन्य कंप्यूटर पर डेस्कटॉप कनेक्शन पर अपना रास्ता ढूंढ सकता है और आपके डेटा के लिए संभावित खतरा उत्पन्न कर सकता है। यही कारण है कि जब आप किसी दूरस्थ डेस्कटॉप से ​​कनेक्ट करने का प्रयास करते हैं तो विंडोज ओएस एक चेतावनी चमकता है "सुनिश्चित करें कि आप इस पीसी पर भरोसा करते हैं, अविश्वसनीय कंप्यूटर से कनेक्ट होने से आपके पीसी को नुकसान पहुंचा सकता है"। इस पोस्ट में, हम देखेंगे कि रिमोट क्रेडेंशियल गार्ड सुविधा, जिसे विंडोज 10 v1607 में पेश किया गया है, विंडोज 10 एंटरप्राइज़ में रिमोट डेस्कटॉप क्रेडेंशियल की सुरक्षा में मदद कर सकता है और विंडोज सर्वर 2016 ।

विंडोज 10 में रिमोट क्रेडेंशियल गार्ड

यह सुविधा गंभीर स्थिति में विकसित होने से पहले खतरों को खत्म करने के लिए डिज़ाइन की गई है। यह केर्बेरोस कनेक्शन को अनुरोध करने वाले डिवाइस पर अनुरोधों को पुनर्निर्देशित करके रिमोट डेस्कटॉप कनेक्शन पर आपके क्रेडेंशियल्स को सुरक्षित रखने में आपकी सहायता करता है। यह रिमोट डेस्कटॉप सत्रों के लिए सिंगल साइन-ऑन अनुभव भी प्रदान करता है।

किसी भी दुर्भाग्य की स्थिति में जहां लक्षित डिवाइस से समझौता किया गया है, उपयोगकर्ता के प्रमाण-पत्र प्रकट नहीं होते हैं क्योंकि दोनों क्रेडेंशियल और क्रेडेंशियल डेरिवेटिव को कभी भी लक्षित डिवाइस पर नहीं भेजा जाता है।

रिमोट क्रेडेंशियल गार्ड का मॉडस ऑपरेशन स्थानीय मशीन पर क्रेडेंशियल गार्ड द्वारा प्रदान की गई सुरक्षा के समान है, क्रेडेंशियल गार्ड को छोड़कर क्रेडेंशियल मैनेजर के माध्यम से संग्रहीत डोमेन प्रमाण-पत्रों की भी रक्षा करता है।

एक व्यक्ति रिमोट क्रेडेंशियल गार्ड का उपयोग कर सकता है निम्नलिखित तरीकों-

1. चूंकि प्रशासक प्रमाण-पत्रों को अत्यधिक विशेषाधिकार प्राप्त किया जाता है, इसलिए उन्हें संरक्षित किया जाना चाहिए। रिमोट क्रेडेंशियल गार्ड का उपयोग करके, आपको आश्वस्त किया जा सकता है कि आपके क्रेडेंशियल सुरक्षित हैं क्योंकि यह क्रेडेंशियल्स को नेटवर्क पर लक्षित डिवाइस पर पास करने की अनुमति नहीं देता है।
2. आपके संगठन में हेल्पडेस्क कर्मचारियों को डोमेन से जुड़े डिवाइस से कनेक्ट होना चाहिए जिनसे समझौता किया जा सकता है । रिमोट क्रेडेंशियल गार्ड के साथ, हेल्पडेस्क कर्मचारी अपने डिवाइस को मैलवेयर पर समझौता किए बिना लक्षित डिवाइस से कनेक्ट करने के लिए आरडीपी का उपयोग कर सकता है।

हार्डवेयर और सॉफ्टवेयर आवश्यकताएं

रिमोट क्रेडेंशियल गार्ड के सुचारू कामकाज को सक्षम करने के लिए, रिमोट की निम्नलिखित आवश्यकताओं को सुनिश्चित करें डेस्कटॉप क्लाइंट और सर्वर मिले हैं।

1. रिमोट डेस्कटॉप क्लाइंट और सर्वर को एक सक्रिय निर्देशिका डोमेन में शामिल होना चाहिए
2. दोनों डिवाइसों को या तो एक ही डोमेन में शामिल होना चाहिए, या दूरस्थ डेस्कटॉप सर्वर को किसी डोमेन से जुड़ना होगा क्लाइंट डिवाइस के डोमेन पर विश्वास संबंध।
3. केर्बेरो प्रमाणीकरण सक्षम होना चाहिए था।
4. दूरस्थ डेस्कटॉप क्लाइंट कम से कम Windows 10, संस्करण 1607 या Windows Server 2016 चलाना आवश्यक है।
5. दूरस्थ डेस्कटॉप यूनिवर्सल विंडोज प्लेटफार्म ऐप रिमोट क्रेडेंशियल गार्ड का समर्थन नहीं करता है, इसलिए रिमोट डेस्कटॉप क्लासिक विंडोज ऐप का उपयोग करें।

रजिस्ट्री के माध्यम से रिमोट क्रेडेंशियल गार्ड सक्षम करें

लक्ष्य डिवाइस पर रिमोट क्रेडेंशियल गार्ड को सक्षम करने के लिए, पुनः खोलें ग्रिस्ट संपादक और निम्न कुंजी पर जाएं:

HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa

DisableRestrictedAdmin नाम का एक नया DWORD मान जोड़ें। रिमोट क्रेडेंशियल गार्ड चालू करने के लिए इस रजिस्ट्री सेटिंग का मान 0 पर सेट करें।

रजिस्ट्री संपादक को बंद करें।

आप ऊंचे सीएमडी से निम्न आदेश चलाकर रिमोट क्रेडेंशियल गार्ड को सक्षम कर सकते हैं:

reg HKKM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD

समूह नीति का उपयोग कर रिमोट क्रेडेंशियल गार्ड चालू करें

क्लाइंट डिवाइस पर रिमोट क्रेडेंशियल गार्ड का उपयोग करना संभव है समूह नीति सेट करना या रिमोट डेस्कटॉप कनेक्शन के साथ पैरामीटर का उपयोग करके।

समूह नीति प्रबंधन कंसोल से, कंप्यूटर कॉन्फ़िगरेशन> व्यवस्थापकीय टेम्पलेट> सिस्टम> प्रमाण-पत्र प्रतिनिधिमंडल पर नेविगेट करें ।

अब, अपने गुण बॉक्स को खोलने के लिए रिमोट सर्वर पर क्रेडेंशियल्स के प्रतिनिधिमंडल को दोबारा क्लिक करें।

अब निम्न प्रतिबंधित मोड का उपयोग करें बॉक्स, चुनें रिमोट क्रेडेंशियल गार्ड की आवश्यकता है। दूसरा विकल्प प्रतिबंधित व्यवस्थापक मोड भी मौजूद है। इसका महत्व यह है कि जब रिमोट क्रेडेंशियल गार्ड का उपयोग नहीं किया जा सकता है, तो यह प्रतिबंधित व्यवस्थापक मोड का उपयोग करेगा।

किसी भी मामले में, न तो रिमोट क्रेडेंशियल गार्ड और न ही प्रतिबंधित एडमिन मोड रिमोट डेस्कटॉप सर्वर पर स्पष्ट पाठ में प्रमाण पत्र भेज देगा।

अनुमति दें ` रिमोट क्रेडेंशियल गार्ड ` विकल्प चुनकर रिमोट क्रेडेंशियल गार्ड।

ठीक क्लिक करें और समूह नीति प्रबंधन कंसोल से बाहर निकलें।

अब, कमांड प्रॉम्प्ट से, gpupdate.exe चलाएं / बल यह सुनिश्चित करने के लिए कि समूह नीति ऑब्जेक्ट लागू किया गया है।

रिमोट डेस्कटॉप कनेक्शन के पैरामीटर के साथ रिमोट क्रेडेंशियल गार्ड का उपयोग करें

यदि आप अपने संगठन में समूह नीति का उपयोग नहीं करते हैं, तो आप रिमोटगार्ड पैरामीटर जोड़ सकते हैं जब आप उस कनेक्शन के लिए रिमोट क्रेडेंशियल गार्ड चालू करने के लिए रिमोट डेस्कटॉप कनेक्शन शुरू करते हैं।

mstsc.exe / remoteGuard

रिमोट क्रेडेंशियल गार्ड का उपयोग करते समय आपको ध्यान में रखना चाहिए

1. रिमोट क्रेडेंशियल गार्ड को कनेक्ट करने के लिए उपयोग नहीं किया जा सकता एक उपकरण जो Azure सक्रिय निर्देशिका में शामिल हो गया है।
2. रेमो ते डेस्कटॉप क्रेडेंशियल गार्ड केवल आरडीपी प्रोटोकॉल के साथ काम करता है।
3. रिमोट क्रेडेंशियल गार्ड में डिवाइस के दावे शामिल नहीं हैं। उदाहरण के लिए, यदि आप रिमोट से फ़ाइल सर्वर तक पहुंचने का प्रयास कर रहे हैं और फ़ाइल सर्वर को डिवाइस के दावे की आवश्यकता है, तो एक्सेस अस्वीकार कर दिया जाएगा।
4. सर्वर और क्लाइंट को केर्बेरोस का उपयोग करके प्रमाणित करना होगा।
5. डोमेन पर भरोसा होना चाहिए रिश्ते, या क्लाइंट और सर्वर दोनों एक ही डोमेन में शामिल होना चाहिए।
6. रिमोट डेस्कटॉप गेटवे रिमोट क्रेडेंशियल गार्ड के साथ संगत नहीं है।
7. लक्ष्य डिवाइस पर कोई प्रमाण-पत्र लीक नहीं किया गया है। हालांकि, लक्ष्य डिवाइस अभी भी केर्बेरोज सेवा टिकट प्राप्त करता है।
8. अंत में, आपको डिवाइस में लॉग इन किए गए उपयोगकर्ता के प्रमाण-पत्रों का उपयोग करना होगा। आपके द्वारा अलग किए गए सहेजे गए क्रेडेंशियल्स या क्रेडेंशियल्स का उपयोग करने की अनुमति नहीं है।

आप तकनीक पर इस पर और अधिक पढ़ सकते हैं।