Remote Credential Guard ปกป้องข้อมูลรับรองเดสก์ท็อประยะไกล

ผู้ใช้ผู้ดูแลระบบทุกคนมีข้อกังวลอย่างแท้จริงอย่างหนึ่ง นั่นคือ การรักษาความปลอดภัยข้อมูลประจำตัวผ่านการเชื่อมต่อเดสก์ท็อป ระยะไกล (Desktop)เนื่องจากมัลแวร์สามารถหาทางไปยังคอมพิวเตอร์เครื่องอื่นผ่านการเชื่อมต่อเดสก์ท็อปและอาจเป็นภัยคุกคามต่อข้อมูลของคุณ นั่นคือเหตุผลที่ระบบปฏิบัติการ Windows(Windows OS)แสดงคำเตือนว่า " ตรวจสอบให้แน่ใจว่าคุณเชื่อถือพีซีเครื่องนี้ การเชื่อมต่อกับคอมพิวเตอร์ที่ไม่น่าเชื่อถืออาจเป็นอันตรายต่อพีซีของคุณ(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) " เมื่อคุณพยายามเชื่อมต่อกับเดสก์ท็อประยะไกล

ในบทความนี้ เราจะมาดูกันว่าคุณลักษณะRemote Credential Guardซึ่งเปิดตัวใน  Windows 10สามารถช่วยปกป้องข้อมูลรับรองเดสก์ท็อประยะไกลในWindows 10 EnterpriseและWindows Serverได้อย่างไร

Remote Credential GuardในWindows 10

คุณลักษณะนี้ออกแบบมาเพื่อกำจัดภัยคุกคามก่อนที่จะพัฒนาไปสู่สถานการณ์ที่ร้ายแรง ช่วยปกป้องข้อมูลประจำตัวของคุณผ่านการ เชื่อมต่อ เดสก์ท็อป(Desktop) ระยะไกล โดยเปลี่ยนเส้นทาง คำขอ Kerberosกลับไปยังอุปกรณ์ที่ขอการเชื่อมต่อ นอกจากนี้ยังมอบประสบการณ์การลงชื่อเพียงครั้งเดียวสำหรับเซสชันเดสก์ท็อประยะไกล(Remote Desktop)

ในกรณีที่มีเหตุร้ายที่อุปกรณ์เป้าหมายถูกบุกรุก ข้อมูลประจำตัวของผู้ใช้จะไม่ถูกเปิดเผยเนื่องจากทั้งอนุพันธ์ข้อมูลประจำตัวและหนังสือรับรองจะไม่ถูกส่งไปยังอุปกรณ์เป้าหมาย

ยามข้อมูลรับรองระยะไกล

วิธีการดำเนินการของRemote Credential Guardนั้นคล้ายกันมากกับการป้องกันที่Credential Guard นำเสนอ บนเครื่องในเครื่อง ยกเว้นCredential Guardยังปกป้องข้อมูลรับรองของโดเมนที่จัดเก็บไว้ผ่านทางCredential Manager(Credential Manager)

บุคคลสามารถใช้Remote Credential Guardด้วยวิธีต่อไปนี้ -

  1. เนื่องจาก ข้อมูลประจำตัวของ ผู้ดูแลระบบ(Administrator)มีสิทธิพิเศษสูง จึงต้องได้รับการปกป้อง ด้วยการใช้Remote Credential Guardคุณสามารถมั่นใจได้ว่าข้อมูลประจำตัวของคุณได้รับการปกป้องเนื่องจากไม่อนุญาตให้ข้อมูลประจำตัวผ่านเครือข่ายไปยังอุปกรณ์เป้าหมาย
  2. พนักงาน Helpdesk(Helpdesk)ในองค์กรของคุณจะต้องเชื่อมต่อกับอุปกรณ์ที่เข้าร่วมโดเมนซึ่งอาจถูกบุกรุก ด้วยRemote Credential Guardพนักงานฝ่ายช่วยเหลือสามารถใช้RDPเพื่อเชื่อมต่อกับอุปกรณ์เป้าหมายโดยไม่กระทบต่อข้อมูลประจำตัวของพวกเขาต่อมัลแวร์

ข้อกำหนดด้านฮาร์ดแวร์และซอฟต์แวร์

เพื่อให้การทำงานที่ราบรื่นของRemote Credential Guardตรวจสอบให้แน่ใจว่าได้ปฏิบัติตามข้อกำหนดต่อไปนี้ของ ไคลเอ็นต์ เดสก์ท็อประยะไกล(Remote Desktop)และเซิร์ฟเวอร์

  1. ไคลเอ็นต์เดสก์ท็อประยะไกล(Remote Desktop Client)และเซิร์ฟเวอร์ต้องเข้าร่วมกับโดเมน Active Directory
  2. อุปกรณ์ทั้งสองต้องเข้าร่วมโดเมนเดียวกัน หรือ เซิร์ฟเวอร์ เดสก์ท็อประยะไกล(Remote Desktop)ต้องเข้าร่วมโดเมนที่มีความสัมพันธ์ที่เชื่อถือได้กับโดเมนของอุปกรณ์ไคลเอ็นต์
  3. ควรเปิดใช้งานการตรวจสอบสิทธิ์Kerberos
  4. ไคลเอ็นต์เด สก์ท็อประยะไกล(Remote Desktop)ต้องใช้งานอย่างน้อยWindows 10เวอร์ชัน 1607 หรือWindows Server 2016(Windows Server 2016)
  5. แอ ป Remote Desktop Universal Windows Platformไม่รองรับRemote Credential Guardดังนั้น ให้ใช้แอปRemote Desktopคลาสสิก ของ Windows

เปิดใช้งานRemote Credential Guardผ่านRegistry

ในการเปิดใช้ งาน Remote Credential Guardบนอุปกรณ์เป้าหมาย ให้เปิดRegistry Editorและไปที่คีย์ต่อไปนี้:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

เพิ่มค่า DWORD ใหม่ชื่อDisableRestrictedAdmin ตั้งค่าของการตั้งค่ารีจิสทรีนี้เป็น0เพื่อเปิดใช้Remote Credential Guard(Remote Credential Guard)

ปิดตัวแก้ไขรีจิสทรี

คุณสามารถเปิดใช้ งาน Remote Credential Guardได้โดยเรียกใช้คำสั่งต่อไปนี้จาก CMD ที่ยกระดับ:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

เปิดRemote Credential Guardโดยใช้Group Policy

เป็นไปได้ที่จะใช้Remote Credential Guardบนอุปกรณ์ไคลเอนต์โดยการตั้งค่าGroup Policyหรือโดยใช้พารามิเตอร์ด้วยRemote Desktop(Remote Desktop Connection) Connection

จากคอนโซลการจัดการนโยบายกลุ่ม(Group Policy Management Console)ให้ไปที่Computer (.)Computer Configuration > Administrative Templates > System > Credentials Delegation

ตอนนี้ ดับเบิลคลิกจำกัดการมอบหมายข้อมูลประจำตัวไปยังเซิร์ฟเวอร์ระยะไกล(Restrict delegation of credentials to remote servers)เพื่อเปิดกล่องคุณสมบัติ

ใน กล่อง ใช้โหมดที่จำกัดต่อไปนี้(Use the following restricted mode)เลือกRequire Remote Credential Guard นอกจากนี้ยังมีตัวเลือกโหมดผู้ดูแลระบบที่จำกัด อีกด้วย (Restricted Admin mode)สิ่งสำคัญคือเมื่อ ไม่สามารถใช้ Remote Credential Guardได้ จะใช้โหมดผู้ดูแลระบบที่จำกัด(Restricted Admin)

ไม่ว่าในกรณีใดโหมดRemote Credential GuardและRestricted Admin จะส่งข้อมูลรับรองเป็นข้อความที่ชัดเจนไปยัง เซิร์ฟเวอร์Remote Desktop

อนุญาต Remote Credential Guard(Allow Remote Credential Guard)โดยเลือกตัวเลือก ' Prefer Remote Credential Guard '

คลิกตกลง(Click OK)และออกจากคอนโซลการจัดการนโยบาย(Group Policy Management Console)กลุ่ม

remote-credential-guard-group-policy

จากพรอมต์คำสั่ง ให้เรียกใช้gpupdate.exe /forceเพื่อให้แน่ใจว่ามีการใช้วัตถุนโยบายกลุ่ม(Group Policy)

ใช้ Remote Credential Guard(Use Remote Credential Guard)พร้อมพารามิเตอร์ใน การเชื่อมต่อ เดสก์ท็อประยะ(Remote Desktop)ไกล

ถ้าคุณไม่ได้ใช้นโยบายกลุ่ม(Group Policy)ในองค์กรของคุณ คุณสามารถเพิ่มพารามิเตอร์ remoteGuard เมื่อคุณเริ่มการ เชื่อมต่อ เดสก์ท็อป(Desktop Connection) ระยะไกล เพื่อเปิดRemote Credential Guardสำหรับการเชื่อมต่อนั้น

mstsc.exe /remoteGuard

สิ่งที่คุณควรจำไว้เมื่อใช้Remote Credential Guard

  1. (Remote Credential Guard)ไม่สามารถใช้Remote Credential Guard เพื่อเชื่อมต่อกับอุปกรณ์ ที่ เข้าร่วม Azure Active Directory
  2. Remote Desktop Credential Guardใช้งานได้กับโปรโตคอลRDP เท่านั้น(RDP)
  3. Remote Credential Guardไม่รวมการอ้างสิทธิ์อุปกรณ์ ตัวอย่างเช่น หากคุณกำลังพยายามเข้าถึงไฟล์เซิร์ฟเวอร์จากรีโมตและเซิร์ฟเวอร์ไฟล์ต้องการการอ้างสิทธิ์อุปกรณ์ การเข้าถึงจะถูกปฏิเสธ
  4. เซิร์ฟเวอร์และไคลเอ็นต์ต้องตรวจสอบสิทธิ์โดยใช้Kerberos
  5. โดเมนต้องมีความสัมพันธ์ที่เชื่อถือได้ หรือทั้งไคลเอ็นต์และเซิร์ฟเวอร์ต้องเข้าร่วมในโดเมนเดียวกัน
  6. Remote Desktop Gateway เข้ากันไม่ ได้กับRemote Credential Guard
  7. ไม่มีข้อมูลประจำตัวรั่วไหลไปยังอุปกรณ์เป้าหมาย อย่างไรก็ตาม อุปกรณ์เป้าหมายยังคงได้รับKerberos Service Ticketsด้วยตัวมันเอง
  8. สุดท้าย คุณต้องใช้ข้อมูลประจำตัวของผู้ใช้ที่เข้าสู่ระบบอุปกรณ์ ไม่อนุญาตให้ใช้ข้อมูลประจำตัวที่บันทึกไว้หรือข้อมูลประจำตัวที่แตกต่างจากของคุณ

คุณสามารถอ่านเพิ่มเติมเกี่ยวกับเรื่องนี้ได้ที่Technet

ที่เกี่ยวข้อง(Related) : วิธีเพิ่มจำนวนการเชื่อมต่อเดสก์ท็อประยะไกล(increase the number of Remote Desktop Connections)ใน Windows 10



อดิเทพ ตะลุมพุก

About the author

ฉันเป็นผู้เชี่ยวชาญ Windows 10 ที่ได้รับการแนะนำเป็นอย่างยิ่ง และฉันเชี่ยวชาญในการช่วยเหลือผู้คนในการปรับแต่งรูปลักษณ์ของคอมพิวเตอร์และทำให้เครื่องมือ Office ของพวกเขาใช้งานง่ายขึ้น ฉันใช้ทักษะของฉันเพื่อช่วยให้ผู้อื่นค้นพบวิธีที่มีประสิทธิภาพที่สุดในการทำงานกับ Microsoft Office รวมถึงวิธีจัดรูปแบบข้อความและกราฟิกสำหรับการพิมพ์ออนไลน์ วิธีสร้างธีมที่กำหนดเองสำหรับ Outlook และแม้กระทั่งวิธีปรับแต่งรูปลักษณ์ของแถบงานบนเดสก์ท็อป คอมพิวเตอร์.


Related posts