Enterprise Mobility at Microsoft (SME Roundtable October 2016)
Table des matières:
Tous les utilisateurs d`administrateurs système ont un véritable souci: sécuriser les informations d`identification via une connexion Bureau à distance. En effet, les logiciels malveillants peuvent se retrouver sur n`importe quel autre ordinateur via la connexion au bureau et constituer une menace potentielle pour vos données. c`est pourquoi le système d`exploitation Windows affiche un avertissement "Assurez-vous de faire confiance à ce PC, la connexion à un ordinateur non approuvé peut endommager votre PC" lorsque vous essayez de vous connecter à un poste de travail distant. Dans cet article, nous verrons comment la fonctionnalité Remote Credential Guard , qui a été introduite dans Windows 10 v1607, peut aider à protéger les informations d`identification distantes dans Windows 10 Enterprise et Windows Server 2016 .
Remote Credential Guard dans Windows 10
Cette fonctionnalité est conçue pour éliminer les menaces avant qu`elles ne se transforment en situation sérieuse. Il vous aide à protéger vos informations d`identification via une connexion Bureau à distance en redirigeant les demandes Kerberos vers le périphérique qui demande la connexion.
En cas d`incident où le périphérique cible est compromis, les informations d`identification de l`utilisateur ne sont pas exposées car les informations d`identification et les informations d`identification ne sont jamais envoyées au périphérique cible.
Le mode opératoire de Remote Credential Guard est très similaire à la protection offerte par Credential Guard sur une machine locale, à l`exception de Credential Guard qui protège également les informations de domaine stockées via Credential Manager.
Un individu peut utiliser Remote Credential Guard dans façons suivantes -
- Comme les informations d`identification de l`administrateur sont hautement privilégiées, elles doivent être protégées. En utilisant Remote Credential Guard, vous pouvez être assuré que vos informations d`identification sont protégées car elles ne permettent pas de passer le réseau sur le périphérique cible.
- Les employés du service d`assistance de votre organisation doivent se connecter aux périphériques associés au domaine.. Avec Remote Credential Guard, l`employé du helpdesk peut utiliser RDP pour se connecter au périphérique cible sans compromettre leurs informations d`identification contre les logiciels malveillants.
Configuration matérielle et logicielle
Pour assurer le bon fonctionnement du Remote Credential Guard, vérifiez les conditions suivantes de Remote Le client de bureau et le serveur sont remplis.
- Le client et le serveur Remote Desktop doivent être joints à un domaine Active Directory
- Les deux périphériques doivent être joints au même domaine ou le serveur Remote Desktop doit être joint à un domaine.
- l`authentification Kerberos doit avoir été activée
- Le client Bureau à distance doit exécuter au moins Windows 10, la version 1607 ou Windows Server 2016.
- La plate-forme Windows universelle Remote Desktop l`application ne prend pas en charge Remote Credential Guard, utilisez l`application Windows Remote Desktop classique.
Activer Remote Guard Credential Guard via le registre
Pour activer Remote Credential Guard sur le périphérique cible, ouvrez Re Editeur gistry et accédez à la clé suivante:
HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa
Ajoutez une nouvelle valeur DWORD nommée DisableRestrictedAdmin . Définissez la valeur de ce paramètre de registre sur 0 pour activer Remote Credential Guard
Fermez l`éditeur de registre.
Vous pouvez activer Remote Credential Guard en exécutant la commande suivante à partir d`un CMD élevé:
reg ajoutez HKLM SYSTEM CurrentControlSet Control Lsa / v DisableRestrictedAdmin / d 0 / t REG_DWORD
Activer Remote Credential Guard à l`aide de la stratégie de groupe
Il est possible d`utiliser Remote Credential Guard sur le périphérique client définir une stratégie de groupe ou en utilisant un paramètre avec Connexion Bureau à distance.
Dans la console de gestion des stratégies de groupe, accédez à Configuration ordinateur> Modèles d`administration> Système> Délégation des informations d`identification .
Maintenant, double-cliquez sur Restreindre la délégation des informations d`identification aux serveurs distants pour ouvrir sa boîte de propriétés
Dans la boîte Utiliser le mode restreint, choisissez Exiger une protection des informations d`identification à distance. l`autre option Mode Admin restreint est également présente. Son importance est que lorsque Remote Credential Guard ne peut pas être utilisé, il utilisera le mode Admin restreint.
Dans tous les cas, ni le mode Remote Credential Guard ni le mode Admin restreint n`enverront les informations d`identification en clair sur le serveur Remote Desktop. Remote Credential Guard, en sélectionnant l`option `
Préférer les informations d`identification distantes ` Cliquez sur OK et quittez la console de gestion des stratégies de groupe
Maintenant, à partir d`une invite de commande, exécutez
gpupdate.exe / pour vous assurer que l`objet Stratégie de groupe est appliqué Utiliser Remote Credential Guard avec un paramètre pour Connexion Bureau à distance
Si vous n`utilisez pas la stratégie de groupe dans votre organisation, vous pouvez ajouter le paramètre remoteGuard
mstsc.exe / remoteGuard
Ce que vous devez garder à l`esprit lors de l`utilisation de Remote Credential Guard
Remote Credential Guard ne peut pas être utilisé pour se connecter à Remote Desktop Connection. un périphérique qui est joint à Azure Active Directory.
- Remo te Credential Guard fonctionne uniquement avec le protocole RDP
- Remote Credential Guard n`inclut pas les revendications de périphérique. Par exemple, si vous essayez d`accéder à un serveur de fichiers à partir de la télécommande et que le serveur de fichiers requiert une réclamation, l`accès sera refusé.
- Le serveur et le client doivent s`authentifier avec Kerberos.
- Les domaines doivent avoir une approbation ou
- Remote Desktop Gateway n`est pas compatible avec Remote Credential Guard
- Aucune information d`identification n`est divulguée sur le périphérique cible. Toutefois, l`appareil cible acquiert toujours seul les tickets de service Kerberos.
- Enfin, vous devez utiliser les informations d`identification de l`utilisateur connecté à l`appareil. l`utilisation d`informations d`identification enregistrées ou d`informations d`identification différentes de la vôtre n`est pas autorisée.
- Vous pouvez en lire plus à ce sujet sur le site de Technet.
[Plus d'informations: Les meilleurs services de streaming TV] > Bien qu'aucune des deux parties n'ait confirmé les détails de la proposition, les médias ont indiqué jeudi qu'elle était similaire à ce que Google a déjà accepté dans une affaire avec la Federal Trade Commission des États-Unis. L'accord FTC implique que Google partage plus d'informations à travers ses API de publicité (interfaces de programmation d'applications) et accepte de ne pas racler le contenu Web de ses rivaux. Contrairement
![[Plus d'informations: Les meilleurs services de streaming TV] > Bien qu'aucune des deux parties n'ait confirmé les détails de la proposition, les médias ont indiqué jeudi qu'elle était similaire à ce que Google a déjà accepté dans une affaire avec la Federal Trade Commission des États-Unis. L'accord FTC implique que Google partage plus d'informations à travers ses API de publicité (interfaces de programmation d'applications) et accepte de ne pas racler le contenu Web de ses rivaux. Contrairement](https://i.joecomp.com/productivity-software-2018/european-commission-weighs-google-antitrust-settlement.jpg "[Plus d'informations: Les meilleurs services de streaming TV] > Bien qu'aucune des deux parties n'ait confirmé les détails de la proposition, les médias ont indiqué jeudi qu'elle était similaire à ce que Google a déjà accepté dans une affaire avec la Federal Trade Commission des États-Unis. L'accord FTC implique que Google partage plus d'informations à travers ses API de publicité (interfaces de programmation d'applications) et accepte de ne pas racler le contenu Web de ses rivaux. Contrairement")
Le moteur de recherche fait l'objet d'une enquête de la part de la Commission. Novembre 2010, lorsque les concurrents accusés Google de favoriser ses propres services en réduisant la visibilité des services concurrents. Au total, 14 entreprises se sont plaintes de Google dans l'UE, notamment le site de football néerlandais Elfvoetbal, le site allemand de comparaison de prix Microsoft Ciao et le site français Dealdujour.pro
Les applications mobiles doivent divulguer les pratiques de confidentialité, Les développeurs d'applications mobiles doivent fournir aux utilisateurs des informations en temps réel sur les informations personnelles collectées.
Les développeurs d'applications mobiles doivent fournir des informations en temps réel aux utilisateurs sur les informations personnelles qu'ils collectent et obtenir la permission de collecter des informations sensibles, a recommandé la Federal Trade Commission des États-Unis.
Outil de préparation du matériel Device Guard et Credential Guard
Utilisez l`outil de préparation du matériel Device Guard et Credential Guard pour activer Device Guard ou Credential Guard & check