Remote Credential Guard, Uzak Masaüstü kimlik bilgilerini korur
Tüm sistem yöneticisi kullanıcılarının tek bir gerçek kaygısı vardır: Uzak Masaüstü(Desktop) bağlantısı üzerinden kimlik bilgilerinin güvenliğini sağlamak. Bunun nedeni, kötü amaçlı yazılımın masaüstü bağlantısı üzerinden başka herhangi bir bilgisayara yolunu bulabilmesi ve verileriniz için potansiyel bir tehdit oluşturabilmesidir. Bu nedenle Windows işletim sistemi(Windows OS) , uzak bir masaüstüne bağlanmaya çalıştığınızda “ Bu PC'ye güvendiğinizden emin olun, güvenilmeyen bir bilgisayara bağlanmak PC'nize zarar verebilir(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) ” uyarısını yanıp söner .
Bu gönderide, Windows 10'da tanıtılan (Windows 10)Remote Credential Guard özelliğinin Windows 10 Enterprise ve Windows Server'da(Windows Server) uzak masaüstü kimlik bilgilerinin korunmasına nasıl yardımcı olabileceğini göreceğiz .
(Remote Credential Guard)Windows 10'da(Windows 10) Uzaktan Kimlik Bilgisi Koruması
Bu özellik, tehditleri ciddi bir duruma dönüşmeden ortadan kaldırmak için tasarlanmıştır. Kerberos isteklerini bağlantıyı isteyen cihaza yeniden yönlendirerek, bir Uzak Masaüstü bağlantısı üzerinden kimlik bilgilerinizi korumanıza yardımcı olur. (Desktop)Ayrıca Uzak Masaüstü(Remote Desktop) oturumları için tek oturum açma deneyimleri sağlar.
Hedef cihazın güvenliğinin ihlal edildiği herhangi bir talihsizlik durumunda, hem kimlik bilgileri hem de kimlik bilgileri türevleri asla hedef cihaza gönderilmediğinden kullanıcının kimlik bilgileri ifşa edilmez.
Remote Credential Guard'ın(Remote Credential Guard) çalışma şekli, Credential Guard dışında yerel bir makinede Credential (Credential Guard)Guard tarafından sunulan korumaya çok benzerdir, ayrıca Credential Manager aracılığıyla depolanan etki alanı kimlik bilgilerini korur .
Bir kişi Remote Credential Guard'ı(Remote Credential Guard) aşağıdaki şekillerde kullanabilir :
- Yönetici(Administrator) kimlik bilgileri son derece ayrıcalıklı olduğundan , korunmaları gerekir. Remote Credential Guard'ı(Remote Credential Guard) kullanarak , kimlik bilgilerinin ağ üzerinden hedef cihaza geçmesine izin vermediğinden kimlik bilgilerinizin korunduğundan emin olabilirsiniz.
- Kuruluşunuzdaki yardım masası(Helpdesk) çalışanları, güvenliği ihlal edilebilecek etki alanına katılmış cihazlara bağlanmalıdır. Remote Credential Guard ile yardım masası çalışanı, kimlik bilgilerini kötü amaçlı yazılımlardan ödün vermeden hedef cihaza bağlanmak için RDP'yi kullanabilir.(RDP)
Donanım ve yazılım gereksinimleri
Remote Credential Guard'ın(Remote Credential Guard) sorunsuz çalışmasını sağlamak için, Uzak Masaüstü(Remote Desktop) istemcisi ve sunucusunun aşağıdaki gereksinimlerinin karşılandığından emin olun.
- Uzak Masaüstü İstemcisi(Remote Desktop Client) ve sunucusu bir Active Directory etki alanına katılmalıdır
- Her iki cihaz da aynı etki alanına katılmalıdır veya Uzak Masaüstü(Remote Desktop) sunucusu, istemci cihazının etki alanıyla güven ilişkisi olan bir etki alanına katılmalıdır.
- Kerberos kimlik doğrulaması etkinleştirilmelidir .
- Uzak Masaüstü(Remote Desktop) istemcisi en az Windows 10 , sürüm 1607 veya Windows Server 2016 çalıştırıyor olmalıdır .
- Uzak Masaüstü Evrensel Windows Platformu(Remote Desktop Universal Windows Platform) uygulaması , Uzak Kimlik Bilgisi Korumasını(Remote Credential Guard) desteklemediğinden , Uzak Masaüstü(Remote Desktop) klasik Windows uygulamasını kullanın.
Kayıt Defteri(Registry) aracılığıyla Uzaktan Kimlik Bilgisi Korumasını(Remote Credential Guard) Etkinleştir
Hedef cihazda Remote Credential Guard'ı(Remote Credential Guard) etkinleştirmek için Kayıt Defteri Düzenleyicisi'ni(Registry Editor) açın ve aşağıdaki anahtara gidin:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
DisableRestrictedAdmin adlı yeni bir DWORD değeri ekleyin . Remote Credential Guard'ı(Remote Credential Guard) açmak için bu kayıt defteri ayarının değerini 0 olarak ayarlayın .
Kayıt Defteri Düzenleyicisini kapatın.
Yükseltilmiş bir CMD'den aşağıdaki komutu çalıştırarak Remote Credential Guard'ı(Remote Credential Guard) etkinleştirebilirsiniz :
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
Grup İlkesi'ni(Group Policy) kullanarak Uzaktan Kimlik Bilgisi Korumasını(Remote Credential Guard) açın
Bir Grup İlkesi(Group Policy) ayarlayarak veya Uzak Masaüstü Bağlantısı(Remote Desktop Connection) ile bir parametre kullanarak istemci cihazda Remote Credential Guard kullanmak mümkündür .
Grup İlkesi Yönetim Konsolu'ndan(Group Policy Management Console) Bilgisayar Computer Configuration > Administrative Templates > System > Credentials Delegation gidin .
Şimdi, Özellikler kutusunu açmak için kimlik bilgilerinin uzak sunuculara devredilmesini kısıtla'yı(Restrict delegation of credentials to remote servers) çift tıklayın .
Şimdi Aşağıdaki kısıtlı modu kullan(Use the following restricted mode) kutusunda, Uzaktan Kimlik Bilgisi Koruması Gerektir'i seçin. ( Require Remote Credential Guard. )Diğer seçenek Kısıtlı Yönetici modu(Restricted Admin mode) da mevcuttur. Önemi, Remote Credential Guard kullanılamadığında Kısıtlı Yönetici(Restricted Admin) modunu kullanmasıdır.
Her durumda, ne Uzak Kimlik Bilgisi Koruması(Remote Credential Guard) ne de Kısıtlı Yönetici modu, (Restricted Admin)Uzak Masaüstü(Remote Desktop) sunucusuna kimlik bilgilerini düz metin olarak göndermez .
(Allow Remote Credential Guard)' Remote Credential Guard'ı Tercih Et(Prefer Remote Credential Guard) ' seçeneğini seçerek Remote Credential Guard'a izin verin .
Tamam'a tıklayın(Click OK) ve Grup İlkesi Yönetim Konsolu'ndan(Group Policy Management Console) çıkın .
Şimdi, Grup İlkesi(Group Policy) nesnesinin uygulandığından emin olmak için komut isteminden gpupdate.exe /force
(Use Remote Credential Guard)Uzak Masaüstü(Remote Desktop) Bağlantısı parametresiyle Remote Credential Guard'ı kullanma
Kuruluşunuzda Grup İlkesi(Group Policy) kullanmıyorsanız , o bağlantı için Remote Credential Guard'ı(Remote Credential Guard) açmak üzere Remote Desktop Connection'ı(Desktop Connection) başlattığınızda remoteGuard parametresini ekleyebilirsiniz .
mstsc.exe /remoteGuard
Remote Credential Guard'ı(Remote Credential Guard) kullanırken aklınızda bulundurmanız gerekenler
- Uzak Kimlik Bilgisi Koruması , (Remote Credential Guard)Azure Active Directory'ye(Azure Active Directory) katılmış bir cihaza bağlanmak için kullanılamaz .
- Uzak Masaüstü Kimlik Bilgisi Koruması(Remote Desktop Credential Guard) yalnızca RDP protokolüyle çalışır.
- Remote Credential Guard , cihaz taleplerini içermez. Örneğin, uzaktan kumandadan bir dosya sunucusuna erişmeye çalışıyorsanız ve dosya sunucusu cihaz talebi gerektiriyorsa, erişim reddedilecektir.
- Sunucu ve istemci, Kerberos kullanarak kimlik doğrulaması yapmalıdır .
- Etki alanları bir güven ilişkisine sahip olmalıdır veya hem istemci hem de sunucu aynı etki alanına katılmış olmalıdır.
- Uzak Masaüstü Ağ Geçidi , (Remote Desktop Gateway)Remote Credential Guard ile uyumlu değildir .
- Hedef cihaza hiçbir kimlik bilgisi sızdırılmaz. Ancak, hedef cihaz yine de Kerberos Hizmet (Kerberos Service) Biletlerini(Tickets) kendi başına alır.
- Son olarak, cihazda oturum açan kullanıcının kimlik bilgilerini kullanmanız gerekir. Sizinkinden farklı kayıtlı kimlik bilgilerinin veya kimlik bilgilerinin kullanılmasına izin verilmez.
Bununla ilgili daha fazla bilgiyi Technet'te(Technet) okuyabilirsiniz .
İlgili(Related) : Windows 10'da Uzak Masaüstü Bağlantılarının sayısı(increase the number of Remote Desktop Connections) nasıl artırılır.
Related posts
Remote Desktop Connections sayısını Windows 11/10'de arttırın
Windows Key Remote Desktop session'ten geçtikten sonra sıkışmış
Paste'i Remote Desktop Session'de Windows 10'te kopyalayamıyor
RDP connection authentication error; Function desteklenmez talep
Create Remote Desktop Connection shortcut Windows 11/10'te
Windows 10 için Best Free Remote Desktop Software
Fix Remote Desktop connection Windows 10'da Sorunlar ve Hatalar
Microsoft Remote Desktop App Windows 10 için
Windows 10'da (veya Windows 7) Uzak Masaüstü nasıl etkinleştirilir
Fix Uzak Masaüstü Connect Windows 10'de Connect
Windows 10'da Fix Remote Desktop Error Code 0x204
Perform CTRL+ALT+DEL Remote Desktop kullanarak uzak bilgisayarda
Ammyy Admin: Portatif Secure Zero-Config Remote Desktop Software
Remote Desktop tab RDWEB'de Edge browser'den Windows 10'de eksik
Uzak Masaüstü Uygulaması vs. TeamViewer Touch - Hangisi Daha İyi Uygulama?
NoMachine, Windows PC için ücretsiz ve taşınabilir bir Remote Desktop Tool'dir
Bir iç hata Remote Desktop Connection için hata oluştu
2 Dakika altında Windows 10 üzerinde Remote Desktop etkinleştirme
Remote Desktop option Windows 10'da grileşmiş
Windows 10 için Microsoft Remote Desktop Assistant