Alle gebruikers van systeembeheerders hebben één oprechte zorg: het beveiligen van inloggegevens via een verbinding met extern bureaublad^(Desktop) . Dit komt omdat malware zijn weg naar elke andere computer kan vinden via de desktopverbinding en een potentiële bedreiging voor uw gegevens kan vormen. Dat is de reden waarom Windows OS de waarschuwing " Zorg ervoor dat u deze pc vertrouwt, verbinding maken met een niet-vertrouwde computer kan uw pc beschadigen^{(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)} " wanneer u verbinding probeert te maken met een extern bureaublad.

In dit bericht zullen we zien hoe de Remote Credential Guard -functie, die is geïntroduceerd in  Windows 10 , kan helpen bij het beschermen van externe bureaubladreferenties in Windows 10 Enterprise en Windows Server .

Remote Credential Guard in Windows 10

De functie is ontworpen om bedreigingen te elimineren voordat deze zich ontwikkelen tot een ernstige situatie. Het helpt u uw inloggegevens te beschermen via een verbinding met extern bureaublad^(Desktop) door de Kerberos -verzoeken terug te leiden naar het apparaat dat de verbinding aanvraagt. Het biedt ook single sign-on-ervaringen voor Remote Desktop - sessies.

In het geval van een ongeluk waarbij het doelapparaat is gecompromitteerd, worden de inloggegevens van de gebruiker niet openbaar gemaakt, omdat zowel de referenties als de referentie-derivaten nooit naar het doelapparaat worden verzonden.

De modus operandi van Remote Credential Guard lijkt sterk op de bescherming die wordt geboden door Credential Guard op een lokale computer, behalve dat Credential Guard ook opgeslagen domeinreferenties beschermt via de Credential Manager .

Een persoon kan Remote Credential Guard op de volgende manieren gebruiken:

1. Aangezien beheerdersreferenties^{(Administrator)} zeer bevoorrecht zijn, moeten ze worden beschermd. Door Remote Credential Guard te gebruiken , kunt u er zeker van zijn dat uw inloggegevens zijn beschermd, aangezien er geen inloggegevens via het netwerk naar het doelapparaat kunnen worden doorgegeven.
2. Helpdeskmedewerkers^(Helpdesk) in uw organisatie moeten verbinding maken met apparaten die lid zijn van het domein en die kunnen worden gecompromitteerd. Met Remote Credential Guard kan de helpdeskmedewerker RDP gebruiken om verbinding te maken met het doelapparaat zonder zijn inloggegevens in gevaar te brengen voor malware.

Hardware- en softwarevereisten

Om een ​​soepele werking van de Remote Credential Guard mogelijk te maken , moet u ervoor zorgen dat aan de volgende vereisten van Remote Desktop -client en -server wordt voldaan.

1. De Extern bureaublad-client^{(Remote Desktop Client)} en -server moeten lid zijn van een Active Directory-domein
2. Beide apparaten moeten lid zijn van hetzelfde domein of de Extern bureaublad^{(Remote Desktop)} -server moet lid zijn van een domein met een vertrouwensrelatie met het domein van het clientapparaat.
3. De Kerberos -verificatie had moeten zijn ingeschakeld.
4. Op de Remote Desktop -client moet minimaal Windows 10 , versie 1607 of Windows Server 2016 worden uitgevoerd .
5. De Remote Desktop Universal Windows Platform- app ondersteunt Remote Credential Guard niet, dus gebruik de Remote Desktop klassieke Windows -app.

Remote Credential Guard inschakelen via het register^(Registry)

Om Remote Credential Guard op het doelapparaat in te schakelen, opent u de Register-editor^{(Registry Editor)} en gaat u naar de volgende sleutel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Voeg een nieuwe DWORD-waarde toe met de naam DisableRestrictedAdmin . Stel de waarde van deze registerinstelling in op 0 om Remote Credential Guard in te schakelen .

Sluit de Register-editor.

U kunt Remote Credential Guard inschakelen door de volgende opdracht uit te voeren vanaf een verhoogde CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Schakel Remote Credential Guard in met Groepsbeleid^{(Group Policy)}

Het is mogelijk om Remote Credential Guard op het clientapparaat te gebruiken door een groepsbeleid in^{(Group Policy)} te stellen of door een parameter te gebruiken bij Verbinding met extern bureaublad^{(Remote Desktop Connection)} .

Navigeer vanuit de Group Policy Management Console naar ^{(Group Policy Management Console)}Computer Configuration > Administrative Templates > System > Credentials Delegation.

Dubbelklik nu op Delegatie van referenties naar externe servers beperken^{(Restrict delegation of credentials to remote servers)} om het vak Eigenschappen te openen.

Kies nu in het vak Gebruik de volgende beperkte modus de optie ^{(Use the following restricted mode)}Remote Credential Guard vereisen. ^{( Require Remote Credential Guard. )}De andere optie Beperkte beheerdersmodus^{(Restricted Admin mode)} is ook aanwezig. Het belang ervan is dat wanneer Remote Credential Guard niet kan worden gebruikt, het de modus Beperkt beheer^{(Restricted Admin)} zal gebruiken .

In ieder geval zullen noch de Remote Credential Guard noch de Restricted Admin -modus inloggegevens in leesbare tekst naar de Remote Desktop -server sturen.

Sta Remote Credential Guard toe^{(Allow Remote Credential Guard)} door de optie ' Prefereer Remote Credential Guard^{(Prefer Remote Credential Guard)} ' te kiezen.

Klik op OK^{(Click OK)} en sluit de Group Policy Management Console af .

Voer nu vanaf een opdrachtprompt gpupdate.exe /force uit om ervoor te zorgen dat het groepsbeleidsobject^{(Group Policy)} wordt toegepast.

Remote Credential Guard gebruiken^{(Use Remote Credential Guard)} met een parameter voor Remote Desktop Connection

Als u Groepsbeleid^{(Group Policy)} niet in uw organisatie gebruikt, kunt u de parameter remoteGuard toevoegen wanneer u Remote Desktop Connection start om Remote Credential Guard voor die verbinding in te schakelen.

mstsc.exe /remoteGuard

Waar u rekening mee moet houden bij het gebruik van Remote Credential Guard

1. Remote Credential Guard kan niet worden gebruikt om verbinding te maken met een apparaat dat is gekoppeld aan Azure Active Directory .
2. Remote Desktop Credential Guard werkt alleen met het RDP -protocol.
3. Remote Credential Guard omvat geen apparaatclaims. Als u bijvoorbeeld vanaf de afstandsbediening toegang probeert te krijgen tot een bestandsserver en de bestandsserver een apparaatclaim vereist, wordt de toegang geweigerd.
4. De server en client moeten worden geverifieerd met Kerberos .
5. De domeinen moeten een vertrouwensrelatie hebben, of zowel de client als de server moeten deel uitmaken van hetzelfde domein.
6. Remote Desktop Gateway is niet compatibel met Remote Credential Guard .
7. Er worden geen inloggegevens gelekt naar het doelapparaat. Het doelapparaat verwerft echter nog steeds zelf de Kerberos- ^{(Kerberos Service)} servicetickets^(Tickets) .
8. Ten slotte moet u de inloggegevens gebruiken van de gebruiker die op het apparaat is ingelogd. Het gebruik van opgeslagen inloggegevens of andere inloggegevens dan de uwe is niet toegestaan.

Op Technet^(Technet) leest u hier meer over .

Gerelateerd^(Related) : Hoe u het aantal Remote Desktop-verbindingen^{(increase the number of Remote Desktop Connections)} in Windows 10 kunt vergroten.

Remote Credential Guard protects Remote Desktop credentials

All system administrator users have one very genuine concern – securing credentials over a Rеmote Desktop connection. This iѕ because malware can find its way to any other computer over the dеsktop connection and pose a potential threat to your data. That is why Windows OS flashes a warning “Make sure you trust this PC, connecting to an untrusted computer might harm your PC” when you try to connect to a remote desktop.

In this post, we will see how the Remote Credential Guard feature, which has been introduced in Windows 10, can help protect remote desktop credentials in Windows 10 Enterprise and Windows Server.

Remote Credential Guard in Windows 10

The feature is designed to eliminate threats before it develops into a serious situation. It helps you protect your credentials over a Remote Desktop connection by redirecting the Kerberos requests back to the device that’s requesting the connection. It also provides single sign-on experiences for Remote Desktop sessions.

In the event of any misfortune where the target device is compromised, credentials of the user are not exposed because both credential and credential derivatives are never sent to the target device.

The modus operandi of Remote Credential Guard is very similar to the protection offered by Credential Guard on a local machine except for Credential Guard also protects stored domain credentials via the Credential Manager.

An individual can use Remote Credential Guard in the following ways-

1. Since Administrator credentials are highly privileged, they must be protected. By using Remote Credential Guard, you can be assured that your credentials are protected as it does not allow credentials to pass over the network to the target device.
2. Helpdesk employees in your organization must connect to domain-joined devices that could be compromised. With Remote Credential Guard, the helpdesk employee can use RDP to connect to the target device without compromising their credentials to malware.

Hardware and software requirements

To enable smooth functioning of the Remote Credential Guard, ensure the following requirements of Remote Desktop client and server are met.

1. The Remote Desktop Client and server must be joined to an Active Directory domain
2. Both devices must either joined to the same domain, or the Remote Desktop server must be joined to a domain with a trust relationship to the client device’s domain.
3. The Kerberos authentication should have been enabled.
4. The Remote Desktop client must be running at least Windows 10, version 1607 or Windows Server 2016.
5. The Remote Desktop Universal Windows Platform app doesn’t support Remote Credential Guard so, use Remote Desktop classic Windows app.

Enable Remote Credential Guard via Registry

To enable Remote Credential Guard on the target device, open Registry Editor and go to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Add a new DWORD value named DisableRestrictedAdmin. Set the value of this registry setting to 0 to turn on Remote Credential Guard.

Close the Registry Editor.

You can enable Remote Credential Guard by running the following command from an elevated CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Turn on Remote Credential Guard by using Group Policy

It is possible to use Remote Credential Guard on the client device by setting a Group Policy or by using a parameter with Remote Desktop Connection.

From the Group Policy Management Console, navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation.

Now, double-click Restrict delegation of credentials to remote servers to open its Properties box.

Now in the Use the following restricted mode box, choose Require Remote Credential Guard. The other option Restricted Admin mode is also present. Its significance is that when Remote Credential Guard cannot be used, it will use Restricted Admin mode.

In any case, neither Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

Allow Remote Credential Guard, by choosing ‘Prefer Remote Credential Guard’ option.

Click OK and exit the Group Policy Management Console.

Now, from a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

Use Remote Credential Guard with a parameter to Remote Desktop Connection

If you don’t use Group Policy in your organization, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

Things you should keep in mind when using Remote Credential Guard

1. Remote Credential Guard cannot be used to connect to a device that is joined to Azure Active Directory.
2. Remote Desktop Credential Guard only works with the RDP protocol.
3. Remote Credential Guard does not include device claims. For example, if you’re trying to access a file server from the remote and the file server requires device claim, access will be denied.
4. The server and client must authenticate using Kerberos.
5. The domains must have a trust relationship, or both the client and the server must be joined to the same domain.
6. Remote Desktop Gateway is not compatible with Remote Credential Guard.
7. No credentials are leaked to the target device . However, the target device still acquires the Kerberos Service Tickets on its own.
8. Lastly, you must use the credentials of the user who is logged into the device. Using saved credentials or credentials that are different than yours are not permitted.

You can read more on this at Technet.

Related: How to increase the number of Remote Desktop Connections in Windows 10.

Related posts

• Verhoog het aantal Remote Desktop-verbindingen in Windows 11/10

• Windows-sleutel blijft hangen na overschakelen van Extern bureaublad-sessie

• Kan niet kopiëren en plakken in Remote Desktop Session in Windows 10

• Er is een authenticatiefout opgetreden, de gevraagde functie wordt niet ondersteund

• Maak een snelkoppeling naar Remote Desktop Connection in Windows 11/10

• Microsoft Remote Desktop Assistant voor Windows 10

• Ulterius: gratis Remote Desktop-software om computers op afstand te beheren

• Hoe Remote Desktop op uw Windows-pc te blokkeren -

• Fix Remote Desktop-verbindingsproblemen en fouten op Windows 11/10

• Voer CTRL+ALT+DEL uit op een externe computer met Extern bureaublad

• Verbind Android met Windows 10 met Microsoft Remote Desktop

• Extern bureaublad (RDP) gebruiken in Windows 11/10 Home

• Fix Remote Desktop kan de computerfout niet vinden in Windows 11/10

• Wijzig de luisterpoort voor Extern bureaublad

• Ammyy Admin: Portable Secure Zero-Config Remote Desktop Software

• RDP-verbinding wordt verbroken wanneer u Geluid op Extern bureaublad inschakelt

• Verbind iPhone met Windows 10 pc met Microsoft Remote Desktop

• Beste gratis Remote Desktop-software voor Windows 10

• Verbinding met extern bureaublad inschakelen en gebruiken in Windows 11/10

• NoMachine is een gratis en draagbare Remote Desktop Tool voor Windows PC