Remote Credential Guard, Uzak Masaüstü kimlik bilgilerini korur

Tüm sistem yöneticisi kullanıcılarının tek bir gerçek kaygısı vardır: Uzak Masaüstü(Desktop) bağlantısı üzerinden kimlik bilgilerinin güvenliğini sağlamak. Bunun nedeni, kötü amaçlı yazılımın masaüstü bağlantısı üzerinden başka herhangi bir bilgisayara yolunu bulabilmesi ve verileriniz için potansiyel bir tehdit oluşturabilmesidir. Bu nedenle Windows işletim sistemi(Windows OS) , uzak bir masaüstüne bağlanmaya çalıştığınızda “ Bu PC'ye güvendiğinizden emin olun, güvenilmeyen bir bilgisayara bağlanmak PC'nize zarar verebilir(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ” uyarısını yanıp söner .

Bu gönderide, Windows 10'da tanıtılan (Windows 10)Remote Credential Guard özelliğinin  Windows 10 Enterprise ve Windows Server'da(Windows Server) uzak masaüstü kimlik bilgilerinin korunmasına nasıl yardımcı olabileceğini göreceğiz .

(Remote Credential Guard)Windows 10'da(Windows 10) Uzaktan Kimlik Bilgisi Koruması

Bu özellik, tehditleri ciddi bir duruma dönüşmeden ortadan kaldırmak için tasarlanmıştır. Kerberos isteklerini bağlantıyı isteyen cihaza yeniden yönlendirerek, bir Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerinizi korumanıza yardımcı olur. (Desktop)Ayrıca Uzak Masaüstü(Remote Desktop) oturumları için tek oturum açma deneyimleri sağlar.

Hedef cihazın güvenliğinin ihlal edildiği herhangi bir talihsizlik durumunda, hem kimlik bilgileri hem de kimlik bilgileri türevleri asla hedef cihaza gönderilmediğinden kullanıcının kimlik bilgileri ifşa edilmez.

Uzaktan Kimlik Bilgisi Koruması

Remote Credential Guard'ın(Remote Credential Guard) çalışma şekli, Credential Guard dışında yerel bir makinede Credential (Credential Guard)Guard tarafından sunulan korumaya çok benzerdir, ayrıca Credential Manager aracılığıyla depolanan etki alanı kimlik bilgilerini korur .

Bir kişi Remote Credential Guard'ı(Remote Credential Guard) aşağıdaki şekillerde kullanabilir :

  1. Yönetici(Administrator) kimlik bilgileri son derece ayrıcalıklı olduğundan , korunmaları gerekir. Remote Credential Guard'ı(Remote Credential Guard) kullanarak , kimlik bilgilerinin ağ üzerinden hedef cihaza geçmesine izin vermediğinden kimlik bilgilerinizin korunduğundan emin olabilirsiniz.
  2. Kuruluşunuzdaki yardım masası(Helpdesk) çalışanları, güvenliği ihlal edilebilecek etki alanına katılmış cihazlara bağlanmalıdır. Remote Credential Guard ile yardım masası çalışanı, kimlik bilgilerini kötü amaçlı yazılımlardan ödün vermeden hedef cihaza bağlanmak için RDP'yi kullanabilir.(RDP)

Donanım ve yazılım gereksinimleri

Remote Credential Guard'ın(Remote Credential Guard) sorunsuz çalışmasını sağlamak için, Uzak Masaüstü(Remote Desktop) istemcisi ve sunucusunun aşağıdaki gereksinimlerinin karşılandığından emin olun.

  1. Uzak Masaüstü İstemcisi(Remote Desktop Client) ve sunucusu bir Active Directory etki alanına katılmalıdır
  2. Her iki cihaz da aynı etki alanına katılmalıdır veya Uzak Masaüstü(Remote Desktop) sunucusu, istemci cihazının etki alanıyla güven ilişkisi olan bir etki alanına katılmalıdır.
  3. Kerberos kimlik doğrulaması etkinleştirilmelidir .
  4. Uzak Masaüstü(Remote Desktop) istemcisi en az Windows 10 , sürüm 1607 veya Windows Server 2016 çalıştırıyor olmalıdır .
  5. Uzak Masaüstü Evrensel Windows Platformu(Remote Desktop Universal Windows Platform) uygulaması , Uzak Kimlik Bilgisi Korumasını(Remote Credential Guard) desteklemediğinden , Uzak Masaüstü(Remote Desktop) klasik Windows uygulamasını kullanın.

Kayıt Defteri(Registry) aracılığıyla Uzaktan Kimlik Bilgisi Korumasını(Remote Credential Guard) Etkinleştir

Hedef cihazda Remote Credential Guard'ı(Remote Credential Guard) etkinleştirmek için Kayıt Defteri Düzenleyicisi'ni(Registry Editor) açın ve aşağıdaki anahtara gidin:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

DisableRestrictedAdmin adlı yeni bir DWORD değeri ekleyin . Remote Credential Guard'ı(Remote Credential Guard) açmak için bu kayıt defteri ayarının değerini 0 olarak ayarlayın .

Kayıt Defteri Düzenleyicisini kapatın.

Yükseltilmiş bir CMD'den aşağıdaki komutu çalıştırarak Remote Credential Guard'ı(Remote Credential Guard) etkinleştirebilirsiniz :

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Grup İlkesi'ni(Group Policy) kullanarak Uzaktan Kimlik Bilgisi Korumasını(Remote Credential Guard) açın

Bir Grup İlkesi(Group Policy) ayarlayarak veya Uzak Masaüstü Bağlantısı(Remote Desktop Connection) ile bir parametre kullanarak istemci cihazda Remote Credential Guard kullanmak mümkündür .

Grup İlkesi Yönetim Konsolu'ndan(Group Policy Management Console) Bilgisayar Computer Configuration > Administrative Templates > System > Credentials Delegation gidin .

Şimdi, Özellikler kutusunu açmak için kimlik bilgilerinin uzak sunuculara devredilmesini kısıtla'yı(Restrict delegation of credentials to remote servers) çift tıklayın .

Şimdi Aşağıdaki kısıtlı modu kullan(Use the following restricted mode) kutusunda, Uzaktan Kimlik Bilgisi Koruması Gerektir'i seçin. ( Require Remote Credential Guard. )Diğer seçenek Kısıtlı Yönetici modu(Restricted Admin mode) da mevcuttur. Önemi, Remote Credential Guard kullanılamadığında Kısıtlı Yönetici(Restricted Admin) modunu kullanmasıdır.

Her durumda, ne Uzak Kimlik Bilgisi Koruması(Remote Credential Guard) ne de Kısıtlı Yönetici modu, (Restricted Admin)Uzak Masaüstü(Remote Desktop) sunucusuna kimlik bilgilerini düz metin olarak göndermez .

(Allow Remote Credential Guard)' Remote Credential Guard'ı Tercih Et(Prefer Remote Credential Guard) ' seçeneğini seçerek Remote Credential Guard'a izin verin .

Tamam'a tıklayın(Click OK) ve Grup İlkesi Yönetim Konsolu'ndan(Group Policy Management Console) çıkın .

uzak-kimlik-koruyucu-grubu ilkesi

Şimdi, Grup İlkesi(Group Policy) nesnesinin uygulandığından emin olmak için komut isteminden gpupdate.exe /force

(Use Remote Credential Guard)Uzak Masaüstü(Remote Desktop) Bağlantısı parametresiyle Remote Credential Guard'ı kullanma

Kuruluşunuzda Grup İlkesi(Group Policy) kullanmıyorsanız , o bağlantı için Remote Credential Guard'ı(Remote Credential Guard) açmak üzere Remote Desktop Connection'ı(Desktop Connection) başlattığınızda remoteGuard parametresini ekleyebilirsiniz .

mstsc.exe /remoteGuard

Remote Credential Guard'ı(Remote Credential Guard) kullanırken aklınızda bulundurmanız gerekenler

  1. Uzak Kimlik Bilgisi Koruması , (Remote Credential Guard)Azure Active Directory'ye(Azure Active Directory) katılmış bir cihaza bağlanmak için kullanılamaz .
  2. Uzak Masaüstü Kimlik Bilgisi Koruması(Remote Desktop Credential Guard) yalnızca RDP protokolüyle çalışır.
  3. Remote Credential Guard , cihaz taleplerini içermez. Örneğin, uzaktan kumandadan bir dosya sunucusuna erişmeye çalışıyorsanız ve dosya sunucusu cihaz talebi gerektiriyorsa, erişim reddedilecektir.
  4. Sunucu ve istemci, Kerberos kullanarak kimlik doğrulaması yapmalıdır .
  5. Etki alanları bir güven ilişkisine sahip olmalıdır veya hem istemci hem de sunucu aynı etki alanına katılmış olmalıdır.
  6. Uzak Masaüstü Ağ Geçidi , (Remote Desktop Gateway)Remote Credential Guard ile uyumlu değildir .
  7. Hedef cihaza hiçbir kimlik bilgisi sızdırılmaz. Ancak, hedef cihaz yine de Kerberos Hizmet (Kerberos Service) Biletlerini(Tickets) kendi başına alır.
  8. Son olarak, cihazda oturum açan kullanıcının kimlik bilgilerini kullanmanız gerekir. Sizinkinden farklı kayıtlı kimlik bilgilerinin veya kimlik bilgilerinin kullanılmasına izin verilmez.

Bununla ilgili daha fazla bilgiyi Technet'te(Technet) okuyabilirsiniz .

İlgili(Related) : Windows 10'da Uzak Masaüstü Bağlantılarının sayısı(increase the number of Remote Desktop Connections) nasıl artırılır.



Ahmet Çetin

About the author

Windows 11 veya 10 uygulamaları geliştirme ve bakımını 10 yılı aşkın deneyime sahip bir yazılım mühendisiyim. Ayrıca Google Dokümanlar ve Microsoft Edge ile çalışma deneyimim var. Bu alanlardaki becerilerim beni gelecekte yazılım mühendisliği rolleri için mükemmel bir aday yapıyor.


Related posts