目次:
Windows 10 v1607 で導入された リモート資格情報ガード 機能が、 Windows 10 Enterprise および Windows Server 2016 。 Windows 10のリモート資格情報ガード
この機能は、深刻な状況に発展する前に脅威を排除するように設計されています。
Kerberos 要求を接続を要求しているデバイスにリダイレクトすることで、リモートデスクトップ接続を介して資格情報を保護するのに役立ちます。また、リモートデスクトップセッションのシングルサインオンエクスペリエンスも提供します。 ターゲットデバイスが侵害された場合、資格情報と資格情報の両方がターゲットデバイスに送信されることはないため、ユーザーの資格情報は公開されません。
Remote Credential Guardの操作は、ローカルコンピュータ上のCredential Guardが提供する保護と非常によく似ていますが、Credential Managerを使用して保存されたドメインの資格情報も保護します。
管理者の資格情報は高度な権限を持つため、保護する必要があります。リモート資格情報ガードを使用すると、資格情報がネットワーク経由でターゲットデバイスに渡されることを許可しないため、資格情報が保護されます。
組織内のヘルプデスクの従業員は、侵害されたドメインに参加したデバイスに接続する必要があります。リモート資格情報ガードを使用すると、ヘルプデスクの従業員は、RDPを使用してマルウェアに対する資格情報を損なうことなく、ターゲットデバイスに接続できます。
- ハードウェアおよびソフトウェア要件
- リモート認証ガードの円滑な機能を実現するには、
リモートデスクトップクライアントとサーバーをActive Directoryドメインに参加させる必要があります。
両方のデバイスが同じドメインに参加するか、リモートデスクトップサーバーが
- Kerberos認証が有効になっている必要があります
- リモートデスクトップクライアントは、少なくともWindows 10、バージョン1607またはWindows Server 2016で動作している必要があります。
- リモートデスクトップユニバーサルWindowsプラットフォームアプリケーションはリモート資格情報ガードをサポートしていないため、リモートデスクトップクラシックWindowsアプリケーションを使用します。
- レジストリ経由でリモート資格情報ガードを有効にする
- ターゲットデバイスでリモート資格情報ガードを有効にするには、
HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa
DisableRestrictedAdmin
という名前の新しいDWORD値を追加します。 レジストリエディタを終了します。昇格したCMDから次のコマンドを実行して、リモート資格情報ガードを有効にすることができます。 0
REG add HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD
グループポリシーを使用してリモート資格情報ガードを有効にする
クライアントデバイスでリモート資格情報ガードを使用することができます。
グループポリシー管理コンソールから、コンピュータの構成>管理用テンプレート>システム>資格証明の委任
に移動します。
リモートサーバーへの資格情報の委任を制限する
をクリックしてプロパティボックスを開きます。次の制限モード
を使用するボックスで リモート資格情報ガードを必要とする。 他のオプション 制限付き管理者モード も存在する。リモート資格情報ガードを使用できない場合、制限付き管理モードが使用されます。 いずれの場合でも、リモート資格情報ガードも制限付き管理モードも、クリアテキストの資格情報をリモートデスクトップサーバーに送信しません。 リモート資格情報ガード
を選択する
OKをクリックし、グループポリシー管理コンソールを終了する コマンドプロンプトから gpupdate.exeを実行します/ force
を使用して、グループポリシーオブジェクトが確実に適用されるようにします。
Remote Credential Guardとリモートデスクトップ接続のパラメータを使用する 組織内でグループポリシーを使用しない場合は、remoteGuardパラメータ mstsc.exe / remoteGuard
リモート資格情報ガードを使用する際に留意すべき事項
リモート資格情報ガードを使用して接続することはできません。 Azure Active Directoryに参加しているデバイス。
Remo Desktop Credential GuardはRDPプロトコルでのみ動作します。
Remote Credential Guardにはデバイスクレームは含まれていません。たとえば、リモートからファイルサーバーにアクセスしようとしていて、ファイルサーバーにデバイスクレームが必要な場合、アクセスは拒否されます。
- サーバーとクライアントはKerberosを使用して認証する必要があります
- クライアントとサーバーの両方が同じドメインに参加している必要があります。
- リモートデスクトップゲートウェイはリモート資格情報ガードと互換性がありません。
- 資格情報はターゲットデバイスに漏洩しません。ただし、ターゲットデバイスは引き続き独自のKerberosサービスチケットを取得します。
- 最後に、デバイスにログインしているユーザーの資格情報を使用する必要があります。保存された資格情報またはあなたとは異なる資格情報を使用することはできません。
- Technet。
- で詳細を読むことができます。