रिमोट क्रेडेंशियल गार्ड रिमोट डेस्कटॉप क्रेडेंशियल की सुरक्षा करता है

सभी सिस्टम एडमिनिस्ट्रेटर उपयोगकर्ताओं की एक बहुत ही वास्तविक चिंता है - रिमोट डेस्कटॉप(Desktop) कनेक्शन पर क्रेडेंशियल हासिल करना । ऐसा इसलिए है क्योंकि मैलवेयर डेस्कटॉप कनेक्शन पर किसी अन्य कंप्यूटर पर अपना रास्ता खोज सकता है और आपके डेटा के लिए संभावित खतरा पैदा कर सकता है। यही कारण है कि जब आप किसी दूरस्थ डेस्कटॉप से ​​कनेक्ट करने का प्रयास करते हैं तो विंडोज ओएस(Windows OS) एक चेतावनी " सुनिश्चित करें कि आप इस पीसी पर भरोसा करते हैं, एक अविश्वसनीय कंप्यूटर से कनेक्ट करना आपके पीसी को नुकसान पहुंचा सकता है "।(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)

इस पोस्ट में, हम देखेंगे कि कैसे रिमोट क्रेडेंशियल गार्ड फीचर, जिसे (Remote Credential Guard)विंडोज 10(Windows 10) में पेश किया गया है  , विंडोज 10 एंटरप्राइज(Windows 10 Enterprise) और विंडोज सर्वर(Windows Server) में रिमोट डेस्कटॉप क्रेडेंशियल्स को सुरक्षित रखने में मदद कर सकता है ।

(Remote Credential Guard)विंडोज 10 .(Windows 10) में रिमोट क्रेडेंशियल गार्ड

फीचर को गंभीर स्थिति में विकसित होने से पहले खतरों को खत्म करने के लिए डिज़ाइन किया गया है। यह Kerberos(Kerberos) अनुरोधों को उस डिवाइस पर पुनर्निर्देशित करके दूरस्थ डेस्कटॉप(Desktop) कनेक्शन पर आपके क्रेडेंशियल्स को सुरक्षित रखने में आपकी सहायता करता है जो कनेक्शन का अनुरोध कर रहा है। यह दूरस्थ डेस्कटॉप(Remote Desktop) सत्रों के लिए एकल साइन-ऑन अनुभव भी प्रदान करता है ।

किसी भी दुर्भाग्य की स्थिति में जहां लक्ष्य डिवाइस से छेड़छाड़ की जाती है, उपयोगकर्ता की साख उजागर नहीं होती है क्योंकि क्रेडेंशियल और क्रेडेंशियल डेरिवेटिव दोनों को कभी भी लक्ष्य डिवाइस पर नहीं भेजा जाता है।

रिमोट क्रेडेंशियल गार्ड

रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) की कार्यप्रणाली काफी हद तक एक स्थानीय मशीन पर क्रेडेंशियल गार्ड द्वारा प्रदान की गई सुरक्षा के समान है, सिवाय क्रेडेंशियल गार्ड को छोड़कर, (Credential Guard)क्रेडेंशियल मैनेजर(Credential Manager) के माध्यम से संग्रहीत डोमेन क्रेडेंशियल्स की भी सुरक्षा करता है ।

एक व्यक्ति निम्नलिखित तरीकों से रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) का उपयोग कर सकता है-

  1. चूंकि प्रशासक(Administrator) क्रेडेंशियल अत्यधिक विशेषाधिकार प्राप्त हैं, इसलिए उन्हें संरक्षित किया जाना चाहिए। रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) का उपयोग करके , आपको आश्वस्त किया जा सकता है कि आपके क्रेडेंशियल सुरक्षित हैं क्योंकि यह क्रेडेंशियल्स को नेटवर्क पर लक्षित डिवाइस तक जाने की अनुमति नहीं देता है।
  2. आपके संगठन के हेल्पडेस्क(Helpdesk) कर्मचारियों को उन डोमेन से जुड़े उपकरणों से कनेक्ट होना चाहिए जिनसे समझौता किया जा सकता है। रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) के साथ , हेल्पडेस्क कर्मचारी मैलवेयर से अपनी साख से समझौता किए बिना लक्ष्य डिवाइस से कनेक्ट करने के लिए आरडीपी का उपयोग कर सकता है।(RDP)

हार्डवेयर और सॉफ्टवेयर आवश्यकताएँ

रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) के सुचारू कामकाज को सक्षम करने के लिए , सुनिश्चित करें कि दूरस्थ डेस्कटॉप(Remote Desktop) क्लाइंट और सर्वर की निम्नलिखित आवश्यकताओं को पूरा किया गया है।

  1. दूरस्थ डेस्कटॉप क्लाइंट(Remote Desktop Client) और सर्वर को एक सक्रिय निर्देशिका डोमेन से जोड़ा जाना चाहिए
  2. दोनों उपकरणों को या तो एक ही डोमेन से जोड़ा जाना चाहिए, या दूरस्थ डेस्कटॉप(Remote Desktop) सर्वर को क्लाइंट डिवाइस के डोमेन के साथ एक विश्वास संबंध वाले डोमेन से जोड़ा जाना चाहिए।
  3. Kerberos प्रमाणीकरण सक्षम होना चाहिए था ।
  4. रिमोट डेस्कटॉप क्लाइंट कम से कम (Remote Desktop)विंडोज 10(Windows 10) , संस्करण 1607 या विंडोज सर्वर 2016(Windows Server 2016) चलाना चाहिए ।
  5. रिमोट डेस्कटॉप यूनिवर्सल विंडोज प्लेटफॉर्म(Remote Desktop Universal Windows Platform) ऐप रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) का समर्थन नहीं करता है, इसलिए रिमोट डेस्कटॉप(Remote Desktop) क्लासिक विंडोज(Windows) ऐप का उपयोग करें।

रजिस्ट्री(Registry) के माध्यम से दूरस्थ क्रेडेंशियल गार्ड(Remote Credential Guard) सक्षम करें

लक्ष्य डिवाइस पर रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) को सक्षम करने के लिए , रजिस्ट्री संपादक(Registry Editor) खोलें और निम्न कुंजी पर जाएं:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

DisableRestrictedAdmin नाम का एक नया DWORD मान जोड़ें । रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) चालू करने के लिए इस रजिस्ट्री सेटिंग का मान 0 पर सेट करें ।

रजिस्ट्री संपादक को बंद करें।

आप एक उन्नत सीएमडी से निम्न आदेश चलाकर रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) को सक्षम कर सकते हैं :

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

समूह नीति(Group Policy) का उपयोग करके रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) चालू करें

समूह नीति सेट करके या (Group Policy)रिमोट डेस्कटॉप कनेक्शन(Remote Desktop Connection) वाले पैरामीटर का उपयोग करके क्लाइंट डिवाइस पर रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) का उपयोग करना संभव है ।

समूह नीति प्रबंधन कंसोल(Group Policy Management Console) से , Computer Configuration > Administrative Templates > System > Credentials Delegation पर नेविगेट करें

अब, इसके गुण बॉक्स को खोलने के लिए दूरस्थ सर्वर पर क्रेडेंशियल्स के प्रतिनिधिमंडल को प्रतिबंधित(Restrict delegation of credentials to remote servers) करें पर डबल-क्लिक करें।

अब निम्न प्रतिबंधित मोड का उपयोग करें(Use the following restricted mode) बॉक्स में, रिमोट क्रेडेंशियल गार्ड की आवश्यकता चुनें। ( Require Remote Credential Guard. )दूसरा विकल्प रिस्ट्रिक्टेड एडमिन मोड(Restricted Admin mode) भी मौजूद है। इसका महत्व यह है कि जब रिमोट क्रेडेंशियल गार्ड का उपयोग नहीं किया जा सकता है, तो यह (Remote Credential Guard)प्रतिबंधित व्यवस्थापक(Restricted Admin) मोड का उपयोग करेगा ।

किसी भी स्थिति में, न तो दूरस्थ क्रेडेंशियल गार्ड(Remote Credential Guard) और न ही प्रतिबंधित व्यवस्थापक मोड (Restricted Admin)दूरस्थ डेस्कटॉप(Remote Desktop) सर्वर को स्पष्ट पाठ में क्रेडेंशियल भेजेगा ।

(Allow Remote Credential Guard)रिमोट क्रेडेंशियल गार्ड को ' प्रेफर रिमोट क्रेडेंशियल गार्ड(Prefer Remote Credential Guard) ' विकल्प चुनकर अनुमति दें ।

ठीक क्लिक करें और (Click OK)समूह नीति प्रबंधन कंसोल(Group Policy Management Console) से बाहर निकलें ।

रिमोट-क्रेडेंशियल-गार्ड-ग्रुप-नीति

अब, कमांड प्रॉम्प्ट से, यह सुनिश्चित करने के लिए gpupdate.exe /force चलाएँ कि समूह नीति(Group Policy) ऑब्जेक्ट लागू है।

(Use Remote Credential Guard)रिमोट डेस्कटॉप(Remote Desktop) कनेक्शन के पैरामीटर के साथ रिमोट क्रेडेंशियल गार्ड का उपयोग करें

यदि आप अपने संगठन में समूह नीति(Group Policy) का उपयोग नहीं करते हैं, तो आप उस कनेक्शन के लिए दूरस्थ क्रेडेंशियल गार्ड(Remote Credential Guard) चालू करने के लिए दूरस्थ डेस्कटॉप कनेक्शन(Desktop Connection) प्रारंभ करते समय रिमोटगार्ड पैरामीटर जोड़ सकते हैं ।

mstsc.exe /remoteGuard

रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) का उपयोग करते समय आपको जिन बातों का ध्यान रखना चाहिए

  1. रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) का उपयोग किसी ऐसे डिवाइस से कनेक्ट करने के लिए नहीं किया जा सकता है जो Azure Active Directory से जुड़ा है ।
  2. रिमोट डेस्कटॉप क्रेडेंशियल गार्ड(Remote Desktop Credential Guard) केवल आरडीपी(RDP) प्रोटोकॉल के साथ काम करता है।
  3. रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) में डिवाइस के दावे शामिल नहीं हैं। उदाहरण के लिए, यदि आप किसी फ़ाइल सर्वर को रिमोट से एक्सेस करने का प्रयास कर रहे हैं और फ़ाइल सर्वर को डिवाइस के दावे की आवश्यकता है, तो एक्सेस अस्वीकार कर दिया जाएगा।
  4. सर्वर और क्लाइंट को Kerberos का उपयोग करके प्रमाणित करना होगा ।
  5. डोमेन में एक विश्वास संबंध होना चाहिए, या क्लाइंट और सर्वर दोनों को एक ही डोमेन से जोड़ा जाना चाहिए।
  6. रिमोट डेस्कटॉप गेटवे (Remote Desktop Gateway)रिमोट क्रेडेंशियल गार्ड(Remote Credential Guard) के साथ संगत नहीं है ।
  7. लक्ष्य डिवाइस पर कोई साख लीक नहीं हुई है। हालाँकि, लक्ष्य डिवाइस अभी भी अपने आप Kerberos सर्विस (Kerberos Service) टिकट(Tickets) प्राप्त करता है ।
  8. अंत में, आपको उस उपयोगकर्ता के क्रेडेंशियल्स का उपयोग करना चाहिए जो डिवाइस में लॉग इन है। आपके से भिन्न सहेजे गए क्रेडेंशियल या क्रेडेंशियल का उपयोग करने की अनुमति नहीं है।

आप इस पर टेक्नेट(Technet) पर अधिक पढ़ सकते हैं ।

संबंधित(Related) : विंडोज 10 में रिमोट डेस्कटॉप कनेक्शन की संख्या कैसे बढ़ाएं ।(increase the number of Remote Desktop Connections)



Seema Varkey

About the author

मैं एक हार्डवेयर इंजीनियर हूं, जो iPhone और iPad जैसे Apple उत्पादों के डिजाइन और विकास में विशेषज्ञता रखता है। मुझे आईओएस और एज डिवाइस दोनों के साथ-साथ गिट और स्विफ्ट जैसे सॉफ्टवेयर डेवलपमेंट टूल्स का अनुभव है। दोनों क्षेत्रों में मेरा कौशल मुझे इस बात की एक मजबूत समझ देता है कि Apple डिवाइस ऑपरेटिंग सिस्टम (OS) एप्लिकेशन और डेटा स्रोतों के साथ कैसे इंटरैक्ट करता है। इसके अतिरिक्त, गिट के साथ मेरा अनुभव मुझे कोड संस्करण नियंत्रण प्रणाली पर काम करने में सक्षम बनाता है, जो सॉफ्टवेयर विकसित करते समय दक्षता और उत्पादकता में सुधार करने में मदद कर सकता है।


Related posts