Semua pengguna sistem administrator memiliki satu perhatian yang sangat asli - mengamankan kredensial melalui koneksi Remote Desktop. Ini karena malware dapat menemukan jalan mereka ke komputer lain melalui koneksi desktop dan menimbulkan ancaman potensial terhadap data Anda. Itulah mengapa OS Windows memunculkan peringatan “Pastikan Anda mempercayai PC ini, menghubungkan ke komputer yang tidak dipercaya dapat membahayakan PC Anda” ketika Anda mencoba untuk terhubung ke desktop jarak jauh. Dalam posting ini, kita akan melihat bagaimana Remote Credential Guard fitur, yang telah diperkenalkan di Windows 10 v1607, dapat membantu melindungi kredensial desktop jarak jauh di Windows 10 Enterprise dan Windows Server 2016.
Remote Credential Guard di Windows 10
Fitur ini dirancang untuk menghilangkan ancaman sebelum berkembang menjadi situasi yang serius. Ini membantu Anda melindungi kredensial Anda melalui koneksi Remote Desktop dengan mengarahkan ulang Kerberos meminta kembali ke perangkat yang meminta koneksi. Ini juga menyediakan satu pengalaman masuk untuk sesi Remote Desktop.
Jika terjadi malapetaka di mana perangkat target dikompromikan, kredensial pengguna tidak terpapar karena baik derivatif kredensial dan kredensial tidak pernah dikirim ke perangkat target.
Seseorang dapat menggunakan Remote Credential Guard dengan cara-cara berikut-
- Karena kredensial Administrator sangat diistimewakan, mereka harus dilindungi. Dengan menggunakan Remote Credential Guard, Anda dapat yakin bahwa kredensial Anda dilindungi karena tidak memungkinkan kredensial untuk melewati jaringan ke perangkat target.
- Karyawan Helpdesk di organisasi Anda harus terhubung ke perangkat yang bergabung dengan domain yang dapat dikompromikan. Dengan Remote Credential Guard, karyawan helpdesk dapat menggunakan RDP untuk terhubung ke perangkat target tanpa mengorbankan kredensial mereka ke malware.
Persyaratan perangkat keras dan perangkat lunak
Untuk memungkinkan kelancaran fungsi Remote Credential Guard, pastikan persyaratan berikut dari klien dan server Remote Desktop terpenuhi.
- Klien dan server Desktop Jarak Jauh harus digabungkan ke domain Active Directory
- Kedua perangkat harus bergabung ke domain yang sama, atau server Desktop Jarak Jauh harus digabungkan ke domain dengan hubungan kepercayaan ke domain perangkat klien.
- Otentikasi Kerberos seharusnya sudah diaktifkan.
- Klien Remote Desktop harus menjalankan setidaknya Windows 10, versi 1607 atau Windows Server 2016.
- Aplikasi Platform Desktop Universal Jarak Jauh tidak mendukung Pengaman Kredensial Jarak Jauh, jadi gunakan aplikasi Windows klasik Jarak Jauh.
Aktifkan Remote Credential Guard melalui Registry
Untuk mengaktifkan Remote Credential Guard pada perangkat target, buka Registry Editor dan masuk ke kunci berikut:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
Tambahkan nilai DWORD baru bernama NonaktifkanRestrictedAdmin. Atur nilai pengaturan registri ini ke 0 untuk mengaktifkan Remote Credential Guard.
Tutup Editor Registri.
Anda dapat mengaktifkan Remote Credential Guard dengan menjalankan perintah berikut dari CMD yang ditinggikan:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Aktifkan Remote Credential Guard dengan menggunakan Kebijakan Grup
Adalah mungkin untuk menggunakan Remote Credential Guard pada perangkat klien dengan menetapkan Kebijakan Grup atau dengan menggunakan parameter dengan Remote Desktop Connection.
Dari Konsol Manajemen Kebijakan Grup, navigasikan ke Konfigurasi Komputer> Template Administratif> Sistem> Delegasi Kredensial.
Sekarang, klik dua kali Batasi pendelegasian kredensial ke server jarak jauh untuk membuka kotak Properties-nya.
Sekarang di Gunakan mode terbatas berikut kotak, pilih Membutuhkan Penjaga Pelindung Jarak Jauh. Pilihan lainnya Mode Admin Terbatas juga hadir. Maknanya adalah bahwa ketika Remote Credential Guard tidak dapat digunakan, itu akan menggunakan mode Admin Terbatas.
Dalam hal apapun, baik Remote Credential Guard maupun mode Admin Terbatas akan mengirim kredensial dalam teks yang jelas ke server Remote Desktop.
Izinkan Remote Credential Guard, dengan memilih 'Lebih memilih Remote Credential Guard' pilihan.
Klik OK dan keluar dari Konsol Manajemen Kebijakan Grup.
Sekarang, dari prompt perintah, jalankan gpupdate.exe / force untuk memastikan bahwa objek Kebijakan Grup diterapkan.
Gunakan Remote Credential Guard dengan parameter ke Remote Desktop Connection
Jika Anda tidak menggunakan Kebijakan Grup di organisasi Anda, Anda dapat menambahkan parameter remoteGuard ketika Anda memulai Remote Desktop Connection untuk mengaktifkan Remote Credential Guard untuk koneksi itu.
mstsc.exe /remoteGuard
Hal-hal yang harus diingat ketika menggunakan Remote Credential Guard
- Remote Credential Guard tidak dapat digunakan untuk menyambung ke perangkat yang terhubung ke Azure Active Directory.
- Remote Desktop Credential Guard hanya berfungsi dengan protokol RDP.
- Remote Credential Guard tidak termasuk klaim perangkat. Misalnya, jika Anda mencoba mengakses server file dari remote dan server file memerlukan klaim perangkat, akses akan ditolak.
- Server dan klien harus mengotentikasi menggunakan Kerberos.
- Domain harus memiliki hubungan kepercayaan, atau klien dan server harus bergabung ke domain yang sama.
- Remote Desktop Gateway tidak kompatibel dengan Remote Credential Guard.
- Tidak ada kredensial yang bocor ke perangkat target. Namun, perangkat target masih memperoleh Tiket Layanan Kerberos dengan sendirinya.
- Terakhir, Anda harus menggunakan kredensial pengguna yang masuk ke perangkat. Menggunakan kredensial atau kredensial yang disimpan yang berbeda dari Anda yang tidak diizinkan.
Anda dapat membaca lebih lanjut tentang ini di Technet.