Remote Credential Guard protege las credenciales de Remote Desktop

Todos los usuarios administradores del sistema tienen una preocupación muy genuina: asegurar las credenciales a través de una conexión de Escritorio(Desktop) remoto . Esto se debe a que el malware puede llegar a cualquier otra computadora a través de la conexión de escritorio y representar una amenaza potencial para sus datos. Es por eso que el sistema operativo Windows(Windows OS) muestra una advertencia " Asegúrese de confiar en esta PC, conectarse a una computadora que no es de confianza podría dañar su PC(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) " cuando intenta conectarse a un escritorio remoto.

En esta publicación, veremos cómo la función Remote Credential Guard , que se introdujo en  Windows 10 , puede ayudar a proteger las credenciales de escritorio remoto en Windows 10 Enterprise y Windows Server .

Protección remota de credenciales(Remote Credential Guard) en Windows 10

La función está diseñada para eliminar las amenazas antes de que se conviertan en una situación grave. Le ayuda a proteger sus credenciales a través de una conexión de escritorio(Desktop) remoto al redirigir las solicitudes de Kerberos al dispositivo que solicita la conexión. También proporciona experiencias de inicio de sesión único para sesiones de escritorio remoto .(Remote Desktop)

En el caso de cualquier desgracia en la que el dispositivo de destino se vea comprometido, las credenciales del usuario no se exponen porque tanto la credencial como los derivados de la credencial nunca se envían al dispositivo de destino.

Guardia remota de credenciales

El modus operandi de Remote Credential Guard es muy similar a la protección que ofrece Credential Guard en una máquina local, excepto que Credential Guard también protege las credenciales de dominio almacenadas a través de Credential Manager .

Una persona puede usar Remote Credential Guard de las siguientes maneras:

  1. Dado que las credenciales de administrador(Administrator) tienen muchos privilegios, deben protegerse. Al usar Remote Credential Guard , puede estar seguro de que sus credenciales están protegidas, ya que no permite que las credenciales pasen por la red al dispositivo de destino.
  2. Los empleados del departamento(Helpdesk) de soporte técnico de su organización deben conectarse a dispositivos unidos a un dominio que podrían verse comprometidos. Con Remote Credential Guard , el empleado de la mesa de ayuda puede usar RDP para conectarse al dispositivo de destino sin comprometer sus credenciales con el malware.

Requisitos de hardware y software

Para permitir el buen funcionamiento de Remote Credential Guard , asegúrese de que se cumplan los siguientes requisitos del cliente y servidor de Escritorio remoto .(Remote Desktop)

  1. El cliente y el servidor de Escritorio remoto(Remote Desktop Client) deben estar unidos a un dominio de Active Directory
  2. Ambos dispositivos deben unirse al mismo dominio o el servidor de Escritorio remoto(Remote Desktop) debe estar unido a un dominio con una relación de confianza con el dominio del dispositivo cliente.
  3. La autenticación Kerberos debería estar habilitada.
  4. El cliente de Escritorio remoto(Remote Desktop) debe ejecutar al menos Windows 10 , versión 1607 o Windows Server 2016 .
  5. La aplicación Remote Desktop Universal Windows Platform no es compatible con Remote Credential Guard , por lo tanto, use la aplicación clásica de Windows Remote Desktop .

Habilite Remote Credential Guard a través del registro(Registry)

Para habilitar Remote Credential Guard en el dispositivo de destino, abra el Editor del Registro(Registry Editor) y vaya a la siguiente clave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Agregue un nuevo valor DWORD denominado DisableRestrictedAdmin . Establezca el valor de esta configuración de registro en 0 para activar Remote Credential Guard .

Cierra el Editor del Registro.

Puede habilitar Remote Credential Guard ejecutando el siguiente comando desde un CMD elevado:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Active Remote Credential Guard mediante la directiva de grupo(Group Policy)

Es posible usar Remote Credential Guard en el dispositivo cliente configurando una Política de grupo(Group Policy) o usando un parámetro con Remote Desktop Connection .

Desde la Consola de administración de directivas de grupo(Group Policy Management Console) , vaya a Computer Configuration > Administrative Templates > System > Credentials Delegation.

Ahora, haga doble clic en Restringir la delegación de credenciales a servidores remotos(Restrict delegation of credentials to remote servers) para abrir su cuadro de Propiedades.

Ahora, en el cuadro Usar el siguiente modo restringido(Use the following restricted mode) , elija Requerir protección remota de credenciales. ( Require Remote Credential Guard. )La otra opción Modo de administración restringida(Restricted Admin mode) también está presente. Su importancia es que cuando no se puede usar Remote Credential Guard , usará el modo de administración restringida(Restricted Admin) .

En cualquier caso, ni Remote Credential Guard ni el modo de administración restringida(Restricted Admin) enviarán credenciales en texto no cifrado al servidor de escritorio remoto .(Remote Desktop)

Permitir Remote Credential Guard(Allow Remote Credential Guard) , eligiendo la opción ' Preferir Remote Credential Guard '.(Prefer Remote Credential Guard)

Haga clic en Aceptar(Click OK) y salga de la Consola de administración de directivas de grupo(Group Policy Management Console) .

directiva de grupo de protección de credenciales remotas

Ahora, desde un símbolo del sistema, ejecute gpupdate.exe /force para asegurarse de que se aplique el objeto de directiva de grupo .(Group Policy)

Use Remote Credential Guard con un parámetro para Conexión a escritorio(Remote Desktop) remoto

Si no usa la directiva de grupo(Group Policy) en su organización, puede agregar el parámetro remoteGuard cuando inicie la Conexión a escritorio(Desktop Connection) remoto para activar Remote Credential Guard para esa conexión.

mstsc.exe /remoteGuard

Cosas que debe tener en cuenta al usar Remote Credential Guard

  1. Remote Credential Guard no se puede usar para conectarse a un dispositivo que está unido a Azure Active Directory .
  2. Remote Desktop Credential Guard solo funciona con el protocolo RDP .
  3. Remote Credential Guard no incluye reclamaciones de dispositivos. Por ejemplo, si está intentando acceder a un servidor de archivos desde el control remoto y el servidor de archivos requiere un reclamo de dispositivo, se denegará el acceso.
  4. El servidor y el cliente deben autenticarse mediante Kerberos .
  5. Los dominios deben tener una relación de confianza, o tanto el cliente como el servidor deben estar unidos al mismo dominio.
  6. Remote Desktop Gateway no es compatible con Remote Credential Guard .
  7. No se filtran credenciales al dispositivo de destino. Sin embargo, el dispositivo de destino sigue adquiriendo los vales (Tickets)de servicio de Kerberos(Kerberos Service) por sí solo.
  8. Por último, debe utilizar las credenciales del usuario que ha iniciado sesión en el dispositivo. No se permite el uso de credenciales guardadas o credenciales que sean diferentes a las suyas.

Puede leer más sobre esto en Technet .

Relacionado(Related) : Cómo aumentar la cantidad de conexiones de escritorio remoto(increase the number of Remote Desktop Connections) en Windows 10.



Domingo Delgado

About the author

Soy un profesional de atención al cliente de Windows 10/11/10 con más de 5 años de experiencia. También he sido un ávido jugador durante los últimos años y tengo un gran interés en Xbox One. Mi enfoque actual es ayudar a los clientes con los problemas que tienen con sus sistemas Windows 10 o Windows 11, a menudo mediante el uso de nuestras herramientas de servicio al cliente, como el soporte del centro de llamadas y la ayuda en línea.


Related posts