對于大多數系統(tǒng)管理員來說，遠程桌面是最常用的 Windows 功能之一。但每次選擇「信任遠程 PC」時，都需要冒一些遠程桌面憑據泄漏的風險，如果你對所連接的遠程計算機并不了解，甚至在連接一臺已受感染或被動了手腳的遠程系統(tǒng)，憑據泄漏風險就更大了。

為了消除這一潛在安全威脅，微軟在 Windows 10 周年更新和 Windows Server 2016 中引入了遠程憑據保護(Remote Credential Guard)功能。「遠程憑據保護」可以幫助用戶通過遠程桌面連接將 Kerberos 請求重定向回請求發(fā)起設備來保護您的憑據，同時還為遠程桌面會話提供了 SSO(單點登錄)支持。如果遠程服務器已被惡意攻陷，由于憑據和憑據衍生的驗證信息都不會發(fā)往目標服務器，也可保證驗證憑據不會暴露。

遠程憑據保護的常見使用場景如下：

• 由于 Administrator 擁有很高特權，必需受到***程度的保護。通過使用「遠程憑據保護」進行 Remote Desktop 連接，憑據不會通過網絡傳遞到目標設備。
• Helpdesk 團隊管理的設備可能已經被感染，「Remote Credential Guard」可以保護 Helpdesk 成員在進行 RDP 連接時不被惡意軟件竊取憑據。

下圖為 Remote Credential Guard 的工作示意圖，可以幫助大家了解其工作原理。

遠程憑據保護軟、硬件要求

遠程桌面客戶端和服務器必須滿足以下要求才能使用遠程憑據保護特性：

• Remote Desktop 服務器和客戶端必需是 Active Directory 成員。(服務器和客戶端必需加入同一域或加入的域有信任關系)
• 必須使用 Kerberos 身份驗證
• 操作系統(tǒng)必需是 Windows 10 version 1607 或 Windows Server 2016
• 必需使用 Windows 10 或 WS 2016 中內置的經典「遠程桌面連接」應用，UWP 應用不支持此特性。

啟用遠程憑據保護功能

Remote Credential Guard 功能默認不啟用，我們可以通過更改注冊表或配置組策略的方式手動開啟。

注冊表方法

1.使用 Windows + R 快捷鍵打開「運行」— 執(zhí)行 regedit 打開注冊表編輯器。

2.導航到如下路徑：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 

3.新建一個名為 DisableRestrictedAdmin 的 DWORD (32 位)值，并將其值設置為 0 即可。

如果你想偷懶，也可在「命令提示符」中直接使用如下命令更改注冊表：

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD 

組策略方法

如果要在域成員中批量啟用，***的辦法就是通過組策略為特定客戶端啟用「遠程憑據保護」支持。

1.使用 Windows + R 快捷鍵打開「運行」— 執(zhí)行 gpedit.msc 打開組策略編輯器(域管理員直接使用 GPMC)。

2.導航到如下路徑：

計算機配置—管理模板—系統(tǒng)—憑據分配

3.在右側找到「限制向遠程服務器分配憑據」將其啟用，再在下拉列表中選擇「需要遠程 Credential Guard」后點擊「確定」

4.更改完成后，等待一些時間即可生效或者執(zhí)行 gpupdate /force 強制刷新策略。

臨時啟用遠程憑據保護

使用參數為RDP連接啟用遠程憑據保護

除了通過注冊表或組策略直接啟用遠程憑據保護功能外，還可以通過附加參數臨時啟用。

mstsc.exe /remoteGuard 

使用遠程憑據保護時的注意事項

• 遠程憑據保護不包括「設備聲明」。 例如，如果您嘗試從遠程訪問文件服務器，并且文件服務器需要設備聲明，則訪問將被拒絕。
• 遠程憑據保護不能用于連接到加入 Azure Active Directory 的設備。
• 遠程桌面憑證保護僅適用于 RDP 協(xié)議。
• 雖然不會有憑據直接發(fā)送到目標設備，但目標設備仍然自己獲取 Kerberos 服務的 Ticket。
• 遠程桌面網關與遠程憑據保護不兼容。
• 無能使用「已保存」或非自身的憑據，必須使用登錄到設備的用戶憑據。
• 客戶端和服務器都必須加入到同一個域或域必須具有信任關系。
• 服務器和客戶端必須使用 Kerberos 進行身份驗證。