Remote Desktop beveiligen met Remote Credential Guard in Windows 10
Voor de meeste systeembeheerders is Remote Desktop een van de meest gebruikte functies in Windows. Hoe goed het ook is, elke keer dat u de optie "Zorg ervoor dat u deze pc vertrouwt" selecteert, loopt u het risico uw machine in gevaar te brengen door uw externe bureaubladreferenties te onthullen. Dit geldt met name als het externe systeem onbekend voor u is of als het op de een of andere manier is geïnfecteerd.
Om dit te elimineren introduceerde Microsoft de Remote Credential Guard-functie. Wanneer u deze functie inschakelt, kan Windows uw inloggegevens beschermen door de Kerberos-aanvragen op de juiste manier om te leiden naar het systeem dat daarom vraagt. U kunt als volgt eenvoudig de functie Remote Credential Guard inschakelen om het externe bureaublad in Windows 10 te beveiligen.
Schakel Remote Credential Gaurd uit Groepsbeleid in
Het gebruik van de Windows Group Policy Editor om externe identificatiebeveiliging in te schakelen is een van de gemakkelijkste manieren. Zoek om te beginnen naar gpedit.msc
en druk op de knop Enter.
De bovenstaande actie opent de Windows Group Policy Editor. Navigeer hier in het linkerdeelvenster naar de locatie "Computerconfiguratie -> Beheersjablonen -> Systeem -> Delegatie van referenties".
Zoek het beleid "Beperk overdracht van referenties naar externe servers" en dubbelklik erop.
Zodra u dubbelklikt op het beleid, wordt het venster met beleidsinstellingen geopend. Selecteer hier het keuzerondje "Ingeschakeld". Met deze actie worden nieuwe opties in het veld Opties ingeschakeld. Selecteer de optie "Externe legitimatieguard vereist" in het vervolgkeuzemenu en klik vervolgens op de knop "OK" om de wijzigingen op te slaan.
Als je klaar bent, ziet dit er zo uit in de Groepsbeleid-editor.
Herstart gewoon je systeem en de instellingen worden van kracht. Als u niet opnieuw wilt opstarten, opent u de opdrachtprompt als beheerder en voert u vervolgens de onderstaande opdracht uit om de groepsbeleidsinstellingen bij te werken.
GPUpdate.exe / force
Schakel Remote Credential Guard van register in
Als u liever Windows Register-editor gebruikt, dan kunt u hetzelfde doen door simpelweg een nieuwe waarde toe te voegen. Om dat te doen, druk op "Win + R, " typ regedit
en druk op de knop Enter.
De bovenstaande actie opent de Windows Register-editor. Navigeer hier naar de volgende locatie in het linkerdeelvenster.
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa
Zodra u hier bent, klikt u met de rechtermuisknop in het rechterdeelvenster en selecteert u vervolgens de optie "Nieuw -> DWORD (32-bits) waarde".
Met deze actie wordt een nieuwe DWORD-waarde gemaakt. Geef de nieuwe waarde de naam "DisableRestrictedAdmin" en druk op de knop Enter.
Dubbelklik nu op de nieuwe waarde om het venster Waarde bewerken te openen. Zorg ervoor dat de waardegegevens zijn ingesteld op "0" en klik vervolgens op de knop "OK" om de wijzigingen op te slaan.
Start het systeem opnieuw om de wijzigingen door te voeren.
Inschakelen vanaf de opdrachtprompt
In plaats van de Remote Credential Guard volledig in te schakelen, kunt u de functie ook per geval inschakelen via de opdrachtprompt.
Open hiervoor de opdrachtprompt en gebruik vervolgens de onderstaande opdracht om een nieuwe Extern bureaublad-verbinding te maken. Zoals je kunt zien, zal de parameter /remoteGaurd
de Remote Credential Guard inschakelen voor die verbinding.
mstsc.exe / remoteGuard
Reageer hieronder met uw gedachten en ervaringen over het gebruik van de bovenstaande methoden om de functie Remote Credential Guard in Windows in te schakelen.