सभी सिस्टम एडमिनिस्ट्रेटर उपयोगकर्ताओं की एक बहुत ही वास्तविक चिंता है - रिमोट डेस्कटॉप कनेक्शन पर क्रेडेंशियल हासिल करना। ऐसा इसलिए है क्योंकि मैलवेयर डेस्कटॉप कनेक्शन पर किसी अन्य कंप्यूटर पर अपना रास्ता खोज सकता है और आपके डेटा के लिए संभावित खतरा पैदा कर सकता है। इसीलिए विंडोज ओएस एक चेतावनी फ्लैश करता है "सुनिश्चित करें कि आप इस पीसी पर भरोसा करते हैं, एक अविश्वसनीय कंप्यूटर से कनेक्ट करने से आपके पीसी को नुकसान हो सकता है ” जब आप किसी दूरस्थ डेस्कटॉप से कनेक्ट करने का प्रयास करते हैं।
इस पोस्ट में, हम देखेंगे कि कैसे रिमोट क्रेडेंशियल गार्ड सुविधा, जिसे Windows 10 . में पेश किया गया है , Windows 10 Enterprise . में दूरस्थ डेस्कटॉप क्रेडेंशियल की सुरक्षा करने में सहायता कर सकता है और विंडोज सर्वर ।
Windows 10 में रिमोट क्रेडेंशियल गार्ड
फीचर को गंभीर स्थिति में विकसित होने से पहले खतरों को खत्म करने के लिए डिज़ाइन किया गया है। यह Kerberos . को पुनर्निर्देशित करके दूरस्थ डेस्कटॉप कनेक्शन पर आपके क्रेडेंशियल्स को सुरक्षित रखने में आपकी सहायता करता है उस डिवाइस पर वापस अनुरोध करता है जो कनेक्शन का अनुरोध कर रहा है। यह दूरस्थ डेस्कटॉप सत्रों के लिए एकल साइन-ऑन अनुभव भी प्रदान करता है।
किसी भी दुर्भाग्य की स्थिति में जहां लक्ष्य डिवाइस से छेड़छाड़ की जाती है, उपयोगकर्ता की साख उजागर नहीं होती है क्योंकि क्रेडेंशियल और क्रेडेंशियल डेरिवेटिव दोनों को कभी भी लक्ष्य डिवाइस पर नहीं भेजा जाता है।
रिमोट क्रेडेंशियल गार्ड की कार्यप्रणाली काफी हद तक एक स्थानीय मशीन पर क्रेडेंशियल गार्ड द्वारा प्रदान की गई सुरक्षा के समान है, सिवाय क्रेडेंशियल गार्ड के, क्रेडेंशियल मैनेजर के माध्यम से संग्रहीत डोमेन क्रेडेंशियल्स की भी सुरक्षा करता है।
एक व्यक्ति निम्नलिखित तरीकों से रिमोट क्रेडेंशियल गार्ड का उपयोग कर सकता है-
- चूंकि प्रशासक क्रेडेंशियल अत्यधिक विशेषाधिकार प्राप्त हैं, इसलिए उन्हें संरक्षित किया जाना चाहिए। रिमोट क्रेडेंशियल गार्ड का उपयोग करके, आपको आश्वस्त किया जा सकता है कि आपके क्रेडेंशियल सुरक्षित हैं क्योंकि यह क्रेडेंशियल्स को नेटवर्क पर लक्षित डिवाइस तक जाने की अनुमति नहीं देता है।
- आपके संगठन के हेल्पडेस्क कर्मचारियों को उन डोमेन से जुड़े उपकरणों से कनेक्ट होना चाहिए जिनसे समझौता किया जा सकता है। रिमोट क्रेडेंशियल गार्ड के साथ, हेल्पडेस्क कर्मचारी मैलवेयर से अपने क्रेडेंशियल्स से समझौता किए बिना लक्ष्य डिवाइस से कनेक्ट करने के लिए आरडीपी का उपयोग कर सकता है।
हार्डवेयर और सॉफ़्टवेयर आवश्यकताएँ
रिमोट क्रेडेंशियल गार्ड के सुचारू कामकाज को सक्षम करने के लिए, सुनिश्चित करें कि दूरस्थ डेस्कटॉप क्लाइंट और सर्वर की निम्नलिखित आवश्यकताओं को पूरा किया गया है।
- दूरस्थ डेस्कटॉप क्लाइंट और सर्वर को एक सक्रिय निर्देशिका डोमेन से जोड़ा जाना चाहिए
- दोनों डिवाइस या तो एक ही डोमेन से जुड़े होने चाहिए, या रिमोट डेस्कटॉप सर्वर को क्लाइंट डिवाइस के डोमेन के साथ एक भरोसेमंद संबंध वाले डोमेन से जोड़ा जाना चाहिए।
- केर्बरोस प्रमाणीकरण सक्षम होना चाहिए था।
- दूरस्थ डेस्कटॉप क्लाइंट कम से कम विंडोज 10, संस्करण 1607 या विंडोज सर्वर 2016 चलाना चाहिए।
- रिमोट डेस्कटॉप यूनिवर्सल विंडोज प्लेटफॉर्म ऐप रिमोट क्रेडेंशियल गार्ड को सपोर्ट नहीं करता है, इसलिए रिमोट डेस्कटॉप क्लासिक विंडोज ऐप का इस्तेमाल करें।
रजिस्ट्री के माध्यम से दूरस्थ क्रेडेंशियल गार्ड सक्षम करें
लक्ष्य डिवाइस पर रिमोट क्रेडेंशियल गार्ड को सक्षम करने के लिए, रजिस्ट्री संपादक खोलें और निम्न कुंजी पर जाएं:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
DisableRestrictedAdmin . नाम का एक नया DWORD मान जोड़ें . इस रजिस्ट्री सेटिंग का मान 0 . पर सेट करें रिमोट क्रेडेंशियल गार्ड चालू करने के लिए।
रजिस्ट्री संपादक को बंद करें।
आप एक उन्नत सीएमडी से निम्न आदेश चलाकर रिमोट क्रेडेंशियल गार्ड को सक्षम कर सकते हैं:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
ग्रुप पॉलिसी का उपयोग करके रिमोट क्रेडेंशियल गार्ड चालू करें
ग्रुप पॉलिसी सेट करके या रिमोट डेस्कटॉप कनेक्शन के साथ पैरामीटर का उपयोग करके क्लाइंट डिवाइस पर रिमोट क्रेडेंशियल गार्ड का उपयोग करना संभव है।
समूह नीति प्रबंधन कंसोल से, कंप्यूटर कॉन्फ़िगरेशन> व्यवस्थापकीय टेम्पलेट> सिस्टम> क्रेडेंशियल डेलिगेशन पर नेविगेट करें।
अब, डबल-क्लिक करें क्रेडेंशियल्स के प्रत्यायोजन को दूरस्थ सर्वर पर प्रतिबंधित करें इसके गुण बॉक्स को खोलने के लिए।
अब निम्न प्रतिबंधित मोड का उपयोग करें . में बॉक्स में, रिमोट क्रेडेंशियल गार्ड की आवश्यकता चुनें। दूसरा विकल्प प्रतिबंधित व्यवस्थापन मोड भी मौजूद है। इसका महत्व यह है कि जब रिमोट क्रेडेंशियल गार्ड का उपयोग नहीं किया जा सकता है, तो यह प्रतिबंधित व्यवस्थापक मोड का उपयोग करेगा।
किसी भी स्थिति में, न तो दूरस्थ क्रेडेंशियल गार्ड और न ही प्रतिबंधित व्यवस्थापक मोड दूरस्थ डेस्कटॉप सर्वर को स्पष्ट पाठ में क्रेडेंशियल भेजेगा।
'रिमोट क्रेडेंशियल गार्ड को प्राथमिकता दें . चुनकर रिमोट क्रेडेंशियल गार्ड को अनुमति दें 'विकल्प।
ठीक क्लिक करें और समूह नीति प्रबंधन कंसोल से बाहर निकलें।
अब, कमांड प्रॉम्प्ट से, gpupdate.exe /force चलाएं यह सुनिश्चित करने के लिए कि समूह नीति वस्तु लागू होती है।
रिमोट डेस्कटॉप कनेक्शन के पैरामीटर के साथ रिमोट क्रेडेंशियल गार्ड का उपयोग करें
यदि आप अपने संगठन में समूह नीति का उपयोग नहीं करते हैं, तो आप उस कनेक्शन के लिए रिमोट क्रेडेंशियल गार्ड को चालू करने के लिए दूरस्थ डेस्कटॉप कनेक्शन प्रारंभ करते समय रिमोटगार्ड पैरामीटर जोड़ सकते हैं।
mstsc.exe /remoteGuard
रिमोट क्रेडेंशियल गार्ड का उपयोग करते समय आपको किन बातों का ध्यान रखना चाहिए
- रिमोट क्रेडेंशियल गार्ड का उपयोग किसी ऐसे डिवाइस से कनेक्ट करने के लिए नहीं किया जा सकता है जो Azure Active Directory से जुड़ा है।
- रिमोट डेस्कटॉप क्रेडेंशियल गार्ड केवल आरडीपी प्रोटोकॉल के साथ काम करता है।
- रिमोट क्रेडेंशियल गार्ड में डिवाइस के दावे शामिल नहीं हैं। उदाहरण के लिए, यदि आप किसी फ़ाइल सर्वर को रिमोट से एक्सेस करने का प्रयास कर रहे हैं और फ़ाइल सर्वर को डिवाइस के दावे की आवश्यकता है, तो एक्सेस से इनकार कर दिया जाएगा।
- सर्वर और क्लाइंट को Kerberos का उपयोग करके प्रमाणित करना होगा।
- डोमेन का एक विश्वास संबंध होना चाहिए, या क्लाइंट और सर्वर दोनों को एक ही डोमेन से जोड़ा जाना चाहिए।
- रिमोट डेस्कटॉप गेटवे रिमोट क्रेडेंशियल गार्ड के साथ संगत नहीं है।
- लक्ष्य डिवाइस में कोई क्रेडेंशियल लीक नहीं होते हैं। हालांकि, लक्ष्य डिवाइस अभी भी अपने आप Kerberos सेवा टिकट प्राप्त करता है।
- अंत में, आपको उस उपयोगकर्ता के क्रेडेंशियल्स का उपयोग करना चाहिए जो डिवाइस में लॉग इन है। आपके से भिन्न सहेजे गए क्रेडेंशियल या क्रेडेंशियल का उपयोग करने की अनुमति नहीं है।
आप इस बारे में Technet पर अधिक पढ़ सकते हैं।
संबंधित :विंडोज 10 में रिमोट डेस्कटॉप कनेक्शन की संख्या कैसे बढ़ाएं।
