Remote Credential Guard ปกป้องข้อมูลรับรองเดสก์ท็อประยะไกล
ผู้ใช้ผู้ดูแลระบบทุกคนมีข้อกังวลอย่างแท้จริงอย่างหนึ่ง นั่นคือ การรักษาความปลอดภัยข้อมูลประจำตัวผ่านการเชื่อมต่อเดสก์ท็อป ระยะไกล (Desktop)เนื่องจากมัลแวร์สามารถหาทางไปยังคอมพิวเตอร์เครื่องอื่นผ่านการเชื่อมต่อเดสก์ท็อปและอาจเป็นภัยคุกคามต่อข้อมูลของคุณ นั่นคือเหตุผลที่ระบบปฏิบัติการ Windows(Windows OS)แสดงคำเตือนว่า " ตรวจสอบให้แน่ใจว่าคุณเชื่อถือพีซีเครื่องนี้ การเชื่อมต่อกับคอมพิวเตอร์ที่ไม่น่าเชื่อถืออาจเป็นอันตรายต่อพีซีของคุณ(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) " เมื่อคุณพยายามเชื่อมต่อกับเดสก์ท็อประยะไกล
ในบทความนี้ เราจะมาดูกันว่าคุณลักษณะRemote Credential Guardซึ่งเปิดตัวใน Windows 10สามารถช่วยปกป้องข้อมูลรับรองเดสก์ท็อประยะไกลในWindows 10 EnterpriseและWindows Serverได้อย่างไร
Remote Credential GuardในWindows 10
คุณลักษณะนี้ออกแบบมาเพื่อกำจัดภัยคุกคามก่อนที่จะพัฒนาไปสู่สถานการณ์ที่ร้ายแรง ช่วยปกป้องข้อมูลประจำตัวของคุณผ่านการ เชื่อมต่อ เดสก์ท็อป(Desktop) ระยะไกล โดยเปลี่ยนเส้นทาง คำขอ Kerberosกลับไปยังอุปกรณ์ที่ขอการเชื่อมต่อ นอกจากนี้ยังมอบประสบการณ์การลงชื่อเพียงครั้งเดียวสำหรับเซสชันเดสก์ท็อประยะไกล(Remote Desktop)
ในกรณีที่มีเหตุร้ายที่อุปกรณ์เป้าหมายถูกบุกรุก ข้อมูลประจำตัวของผู้ใช้จะไม่ถูกเปิดเผยเนื่องจากทั้งอนุพันธ์ข้อมูลประจำตัวและหนังสือรับรองจะไม่ถูกส่งไปยังอุปกรณ์เป้าหมาย
วิธีการดำเนินการของRemote Credential Guardนั้นคล้ายกันมากกับการป้องกันที่Credential Guard นำเสนอ บนเครื่องในเครื่อง ยกเว้นCredential Guardยังปกป้องข้อมูลรับรองของโดเมนที่จัดเก็บไว้ผ่านทางCredential Manager(Credential Manager)
บุคคลสามารถใช้Remote Credential Guardด้วยวิธีต่อไปนี้ -
- เนื่องจาก ข้อมูลประจำตัวของ ผู้ดูแลระบบ(Administrator)มีสิทธิพิเศษสูง จึงต้องได้รับการปกป้อง ด้วยการใช้Remote Credential Guardคุณสามารถมั่นใจได้ว่าข้อมูลประจำตัวของคุณได้รับการปกป้องเนื่องจากไม่อนุญาตให้ข้อมูลประจำตัวผ่านเครือข่ายไปยังอุปกรณ์เป้าหมาย
- พนักงาน Helpdesk(Helpdesk)ในองค์กรของคุณจะต้องเชื่อมต่อกับอุปกรณ์ที่เข้าร่วมโดเมนซึ่งอาจถูกบุกรุก ด้วยRemote Credential Guardพนักงานฝ่ายช่วยเหลือสามารถใช้RDPเพื่อเชื่อมต่อกับอุปกรณ์เป้าหมายโดยไม่กระทบต่อข้อมูลประจำตัวของพวกเขาต่อมัลแวร์
ข้อกำหนดด้านฮาร์ดแวร์และซอฟต์แวร์
เพื่อให้การทำงานที่ราบรื่นของRemote Credential Guardตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามข้อกำหนดต่อไปนี้ของ ไคลเอ็นต์ เดสก์ท็อประยะไกล(Remote Desktop)และเซิร์ฟเวอร์
- ไคลเอ็นต์เดสก์ท็อประยะไกล(Remote Desktop Client)และเซิร์ฟเวอร์ต้องเข้าร่วมกับโดเมน Active Directory
- อุปกรณ์ทั้งสองต้องเข้าร่วมโดเมนเดียวกัน หรือ เซิร์ฟเวอร์ เดสก์ท็อประยะไกล(Remote Desktop)ต้องเข้าร่วมโดเมนที่มีความสัมพันธ์ที่เชื่อถือได้กับโดเมนของอุปกรณ์ไคลเอ็นต์
- ควรเปิดใช้งานการตรวจสอบสิทธิ์Kerberos
- ไคลเอ็นต์เด สก์ท็อประยะไกล(Remote Desktop)ต้องใช้งานอย่างน้อยWindows 10เวอร์ชัน 1607 หรือWindows Server 2016(Windows Server 2016)
- แอ ป Remote Desktop Universal Windows Platformไม่รองรับRemote Credential Guardดังนั้น ให้ใช้แอปRemote Desktopคลาสสิก ของ Windows
เปิดใช้งานRemote Credential Guardผ่านRegistry
ในการเปิดใช้ งาน Remote Credential Guardบนอุปกรณ์เป้าหมาย ให้เปิดRegistry Editorและไปที่คีย์ต่อไปนี้:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
เพิ่มค่า DWORD ใหม่ชื่อDisableRestrictedAdmin ตั้งค่าของการตั้งค่ารีจิสทรีนี้เป็น0เพื่อเปิดใช้Remote Credential Guard(Remote Credential Guard)
ปิดตัวแก้ไขรีจิสทรี
คุณสามารถเปิดใช้ งาน Remote Credential Guardได้โดยเรียกใช้คำสั่งต่อไปนี้จาก CMD ที่ยกระดับ:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
เปิดRemote Credential Guardโดยใช้Group Policy
เป็นไปได้ที่จะใช้Remote Credential Guardบนอุปกรณ์ไคลเอนต์โดยการตั้งค่าGroup Policyหรือโดยใช้พารามิเตอร์ด้วยRemote Desktop(Remote Desktop Connection) Connection
จากคอนโซลการจัดการนโยบายกลุ่ม(Group Policy Management Console)ให้ไปที่Computer (.)Computer Configuration > Administrative Templates > System > Credentials Delegation
ตอนนี้ ดับเบิลคลิกจำกัดการมอบหมายข้อมูลประจำตัวไปยังเซิร์ฟเวอร์ระยะไกล(Restrict delegation of credentials to remote servers)เพื่อเปิดกล่องคุณสมบัติ
ใน กล่อง ใช้โหมดที่จำกัดต่อไปนี้(Use the following restricted mode)เลือกRequire Remote Credential Guard นอกจากนี้ยังมีตัวเลือกโหมดผู้ดูแลระบบที่จำกัด อีกด้วย (Restricted Admin mode)สิ่งสำคัญคือเมื่อ ไม่สามารถใช้ Remote Credential Guardได้ จะใช้โหมดผู้ดูแลระบบที่จำกัด(Restricted Admin)
ไม่ว่าในกรณีใดโหมดRemote Credential GuardและRestricted Admin จะส่งข้อมูลรับรองเป็นข้อความที่ชัดเจนไปยัง เซิร์ฟเวอร์Remote Desktop
อนุญาต Remote Credential Guard(Allow Remote Credential Guard)โดยเลือกตัวเลือก ' Prefer Remote Credential Guard '
คลิกตกลง(Click OK)และออกจากคอนโซลการจัดการนโยบาย(Group Policy Management Console)กลุ่ม
จากพรอมต์คำสั่ง ให้เรียกใช้gpupdate.exe /forceเพื่อให้แน่ใจว่ามีการใช้วัตถุนโยบายกลุ่ม(Group Policy)
ใช้ Remote Credential Guard(Use Remote Credential Guard)พร้อมพารามิเตอร์ใน การเชื่อมต่อ เดสก์ท็อประยะ(Remote Desktop)ไกล
ถ้าคุณไม่ได้ใช้นโยบายกลุ่ม(Group Policy)ในองค์กรของคุณ คุณสามารถเพิ่มพารามิเตอร์ remoteGuard เมื่อคุณเริ่มการ เชื่อมต่อ เดสก์ท็อป(Desktop Connection) ระยะไกล เพื่อเปิดRemote Credential Guardสำหรับการเชื่อมต่อนั้น
mstsc.exe /remoteGuard
สิ่งที่คุณควรจำไว้เมื่อใช้Remote Credential Guard
- (Remote Credential Guard)ไม่สามารถใช้Remote Credential Guard เพื่อเชื่อมต่อกับอุปกรณ์ ที่ เข้าร่วม Azure Active Directory
- Remote Desktop Credential Guardใช้งานได้กับโปรโตคอลRDP เท่านั้น(RDP)
- Remote Credential Guardไม่รวมการอ้างสิทธิ์อุปกรณ์ ตัวอย่างเช่น หากคุณกำลังพยายามเข้าถึงไฟล์เซิร์ฟเวอร์จากรีโมตและเซิร์ฟเวอร์ไฟล์ต้องการการอ้างสิทธิ์อุปกรณ์ การเข้าถึงจะถูกปฏิเสธ
- เซิร์ฟเวอร์และไคลเอ็นต์ต้องตรวจสอบสิทธิ์โดยใช้Kerberos
- โดเมนต้องมีความสัมพันธ์ที่เชื่อถือได้ หรือทั้งไคลเอ็นต์และเซิร์ฟเวอร์ต้องเข้าร่วมในโดเมนเดียวกัน
- Remote Desktop Gateway เข้ากันไม่ ได้กับRemote Credential Guard
- ไม่มีข้อมูลประจำตัวรั่วไหลไปยังอุปกรณ์เป้าหมาย อย่างไรก็ตาม อุปกรณ์เป้าหมายยังคงได้รับKerberos Service Ticketsด้วยตัวมันเอง
- สุดท้าย คุณต้องใช้ข้อมูลประจำตัวของผู้ใช้ที่เข้าสู่ระบบอุปกรณ์ ไม่อนุญาตให้ใช้ข้อมูลประจำตัวที่บันทึกไว้หรือข้อมูลประจำตัวที่แตกต่างจากของคุณ
คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ที่Technet
ที่เกี่ยวข้อง(Related) : วิธีเพิ่มจำนวนการเชื่อมต่อเดสก์ท็อประยะไกล(increase the number of Remote Desktop Connections)ใน Windows 10
Related posts
เพิ่มจำนวน Remote Desktop Connections ใน Windows 11/10
รหัส Windows ติดหลังจากเปลี่ยนจาก Remote Desktop session
ไม่สามารถคัดลอก Paste ใน Remote Desktop Session ใน Windows 10
RDP connection authentication error; ไม่รองรับ Function ไม่ได้รับการร้องขอ
Create Remote Desktop Connection shortcut ใน Windows 11/10
เปิดใช้งานบน Remote Desktop Windows 10 อายุต่ำกว่า 2 นาที
Ulterius: ฟรี Remote Desktop software เพื่อจัดการคอมพิวเตอร์จากระยะไกล
Connect iPhone ถึง Windows 10 PC โดยใช้ Microsoft Remote Desktop
Remote Desktop option Greyed Out บน Windows 10
Ammyy Admin: แบบพกพา Secure Zero-Config Remote Desktop Software
เปลี่ยน listening port สำหรับ Remote Desktop
วิธีการส่ง Ctrl+Alt+Delete ใน Remote Desktop Session
Remove History รายการจาก Remote Desktop Connection ใน Windows 11/10
ข้อผิดพลาดที่ล้มเหลว logon attempt ขณะเชื่อมต่อ Remote Desktop
วิธีกำหนดค่าเดสก์ท็อประยะไกลผ่านเราเตอร์
ในการลงชื่อเข้าใช้จากระยะไกลคุณต้องลงชื่อเข้าใช้ผ่าน Remote Desktop Services
Command Line Parameters สำหรับ Remote Desktop Connections
เปิดใช้งาน Remote Desktop ใช้ Command Prompt or PowerShell
Fix Remote Desktop ไม่พบ computer error ใน Windows 11/10
วิธีใช้เดสก์ท็อประยะไกลใน Windows 10