सभी सिस्टम प्रशासकों के पास एक बहुत ही वास्तविक चिंता है - रिमोट डेस्कटॉप कनेक्शन पर प्रमाण-पत्र सुरक्षित करना। ऐसा इसलिए है क्योंकि मैलवेयर किसी अन्य कंप्यूटर पर डेस्कटॉप कनेक्शन पर अपना रास्ता ढूंढ सकता है और आपके डेटा के लिए संभावित खतरा उत्पन्न कर सकता है। यही कारण है कि जब आप किसी दूरस्थ डेस्कटॉप से कनेक्ट करने का प्रयास करते हैं तो विंडोज ओएस एक चेतावनी चमकता है "सुनिश्चित करें कि आप इस पीसी पर भरोसा करते हैं, अविश्वसनीय कंप्यूटर से कनेक्ट होने से आपके पीसी को नुकसान पहुंचा सकता है"। इस पोस्ट में, हम देखेंगे कि कैसे रिमोट क्रेडेंशियल गार्ड सुविधा, जिसमें पेश किया गया है विंडोज 10 v1607, रिमोट डेस्कटॉप क्रेडेंशियल्स को सुरक्षित रखने में मदद कर सकता है विंडोज 10 एंटरप्राइज़ तथा विंडोज सर्वर 2016.
विंडोज 10 में रिमोट क्रेडेंशियल गार्ड
यह सुविधा गंभीर स्थिति में विकसित होने से पहले खतरों को खत्म करने के लिए डिज़ाइन की गई है। यह आपको रीडायरेक्ट कर रिमोट डेस्कटॉप कनेक्शन पर अपने क्रेडेंशियल्स को सुरक्षित रखने में मदद करता है करबरोस कनेक्शन का अनुरोध करने वाले डिवाइस पर वापस अनुरोध करता है। यह रिमोट डेस्कटॉप सत्रों के लिए सिंगल साइन-ऑन अनुभव भी प्रदान करता है।
किसी भी दुर्भाग्य की स्थिति में जहां लक्षित डिवाइस से समझौता किया गया है, उपयोगकर्ता के प्रमाण-पत्र प्रकट नहीं किए गए हैं क्योंकि दोनों क्रेडेंशियल और क्रेडेंशियल डेरिवेटिव को कभी भी लक्षित डिवाइस पर नहीं भेजा जाता है।
एक व्यक्ति निम्नलिखित तरीकों से रिमोट क्रेडेंशियल गार्ड का उपयोग कर सकता है-
- चूंकि प्रशासक प्रमाण-पत्रों को अत्यधिक विशेषाधिकार प्राप्त किया जाता है, इसलिए उन्हें संरक्षित किया जाना चाहिए। रिमोट क्रेडेंशियल गार्ड का उपयोग करके, आपको आश्वासन दिया जा सकता है कि आपके क्रेडेंशियल सुरक्षित हैं क्योंकि यह क्रेडेंशियल्स को नेटवर्क पर लक्ष्य डिवाइस पर पास करने की अनुमति नहीं देता है।
- आपके संगठन में हेल्पडेस्क कर्मचारियों को डोमेन-जुड़े डिवाइस से कनेक्ट होना चाहिए जिनसे समझौता किया जा सकता है। रिमोट क्रेडेंशियल गार्ड के साथ, हेल्पडेस्क कर्मचारी अपने डिवाइस को मैलवेयर पर समझौता किए बिना लक्षित डिवाइस से कनेक्ट करने के लिए आरडीपी का उपयोग कर सकता है।
हार्डवेयर और सॉफ्टवेयर आवश्यकताओं
रिमोट क्रेडेंशियल गार्ड के सुचारू कामकाज को सक्षम करने के लिए, दूरस्थ डेस्कटॉप क्लाइंट और सर्वर की निम्न आवश्यकताओं को पूरा कर लें।
- रिमोट डेस्कटॉप क्लाइंट और सर्वर को एक सक्रिय निर्देशिका डोमेन में शामिल होना चाहिए
- दोनों डिवाइसों को या तो एक ही डोमेन में शामिल होना चाहिए, या दूरस्थ डेस्कटॉप सर्वर को क्लाइंट डिवाइस के डोमेन के ट्रस्ट रिलेशनशिप वाले डोमेन में शामिल होना चाहिए।
- केर्बेरो प्रमाणीकरण सक्षम होना चाहिए था।
- दूरस्थ डेस्कटॉप क्लाइंट कम से कम Windows 10, संस्करण 1607 या Windows Server 2016 चलाना आवश्यक है।
- रिमोट डेस्कटॉप यूनिवर्सल विंडोज प्लेटफार्म ऐप रिमोट क्रेडेंशियल गार्ड का समर्थन नहीं करता है, इसलिए दूरस्थ डेस्कटॉप क्लासिक विंडोज ऐप का उपयोग करें।
रजिस्ट्री के माध्यम से रिमोट क्रेडेंशियल गार्ड सक्षम करें
लक्ष्य डिवाइस पर रिमोट क्रेडेंशियल गार्ड को सक्षम करने के लिए, रजिस्ट्री संपादक खोलें और निम्न कुंजी पर जाएं:
HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsa
नाम का एक नया DWORD मान जोड़ें DisableRestrictedAdmin । इस रजिस्ट्री सेटिंग का मान सेट करें 0 रिमोट क्रेडेंशियल गार्ड चालू करने के लिए।
रजिस्ट्री संपादक बंद करें।
आप ऊंचे सीएमडी से निम्न आदेश चलाकर रिमोट क्रेडेंशियल गार्ड को सक्षम कर सकते हैं:
reg add HKLMSYSTEMCurrentControlSetControlLsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
समूह नीति का उपयोग करके रिमोट क्रेडेंशियल गार्ड चालू करें
ग्रुप पॉलिसी सेट करके या रिमोट डेस्कटॉप कनेक्शन के साथ पैरामीटर का उपयोग करके क्लाइंट डिवाइस पर रिमोट क्रेडेंशियल गार्ड का उपयोग करना संभव है।
समूह नीति प्रबंधन कंसोल से, कंप्यूटर कॉन्फ़िगरेशन> व्यवस्थापकीय टेम्पलेट> सिस्टम> प्रमाण-पत्र प्रतिनिधिमंडल पर नेविगेट करें.
अब, डबल-क्लिक करें रिमोट सर्वर पर क्रेडेंशियल्स के प्रतिनिधिमंडल को प्रतिबंधित करें अपने गुण बॉक्स खोलने के लिए।
अब में निम्नलिखित प्रतिबंधित मोड का प्रयोग करें बॉक्स, चुनें रिमोट क्रेडेंशियल गार्ड की आवश्यकता है। दूसरा विकल्प प्रतिबंधित व्यवस्थापक मोड भी मौजूद है इसका महत्व यह है कि जब रिमोट क्रेडेंशियल गार्ड का उपयोग नहीं किया जा सकता है, तो यह प्रतिबंधित व्यवस्थापक मोड का उपयोग करेगा।
किसी भी मामले में, न तो रिमोट क्रेडेंशियल गार्ड और न ही प्रतिबंधित एडमिन मोड दूरस्थ डेस्कटॉप सर्वर पर स्पष्ट पाठ में प्रमाण पत्र भेज देगा।
रिमोट क्रेडेंशियल गार्ड को अनुमति देकर, 'रिमोट क्रेडेंशियल गार्ड को पसंद करें'विकल्प।
ठीक क्लिक करें और समूह नीति प्रबंधन कंसोल से बाहर निकलें।
अब, कमांड प्रॉम्प्ट से, चलाएं gpupdate.exe / बल यह सुनिश्चित करने के लिए कि समूह नीति वस्तु लागू की गई है।
रिमोट डेस्कटॉप कनेक्शन के पैरामीटर के साथ रिमोट क्रेडेंशियल गार्ड का उपयोग करें
यदि आप अपने संगठन में समूह नीति का उपयोग नहीं करते हैं, तो आप उस कनेक्शन के लिए रिमोट क्रेडेंशियल गार्ड चालू करने के लिए दूरस्थ डेस्कटॉप कनेक्शन प्रारंभ करते समय दूरस्थगार्ड पैरामीटर जोड़ सकते हैं।
mstsc.exe /remoteGuard
रिमोट क्रेडेंशियल गार्ड का उपयोग करते समय आपको ध्यान में रखना चाहिए
- रिमोट क्रेडेंशियल गार्ड का उपयोग किसी डिवाइस से कनेक्ट करने के लिए नहीं किया जा सकता है जो Azure Active Directory से जुड़ा हुआ है।
- रिमोट डेस्कटॉप क्रेडेंशियल गार्ड केवल आरडीपी प्रोटोकॉल के साथ काम करता है।
- रिमोट क्रेडेंशियल गार्ड में डिवाइस के दावे शामिल नहीं हैं। उदाहरण के लिए, यदि आप रिमोट से फ़ाइल सर्वर तक पहुंचने का प्रयास कर रहे हैं और फ़ाइल सर्वर को डिवाइस दावा की आवश्यकता है, तो एक्सेस अस्वीकार कर दी जाएगी।
- सर्वर और क्लाइंट को Kerberos का उपयोग कर प्रमाणित करना होगा।
- डोमेन के पास ट्रस्ट रिलेशनशिप होना चाहिए, या क्लाइंट और सर्वर दोनों एक ही डोमेन में शामिल होना चाहिए।
- रिमोट डेस्कटॉप गेटवे रिमोट क्रेडेंशियल गार्ड के साथ संगत नहीं है।
- लक्ष्य डिवाइस पर कोई प्रमाण-पत्र लीक नहीं किया गया है। हालांकि, लक्ष्य डिवाइस अभी भी केर्बेरोज सेवा टिकट अपने आप प्राप्त करता है।
- अंत में, आपको डिवाइस में लॉग इन किए गए उपयोगकर्ता के प्रमाण-पत्रों का उपयोग करना होगा। सहेजे गए क्रेडेंशियल या क्रेडेंशियल का उपयोग करना जो आपके से अलग हैं, की अनुमति नहीं है।
आप तकनीक पर इस पर और अधिक पढ़ सकते हैं।
