Todos os usuários administradores do sistema têm uma preocupação muito genuína – proteger credenciais em uma conexão de Área de Trabalho^(Desktop) Remota . Isso ocorre porque o malware pode encontrar o caminho para qualquer outro computador pela conexão da área de trabalho e representar uma ameaça potencial aos seus dados. É por isso que o sistema operacional Windows^{(Windows OS)} pisca um aviso “ Certifique-se de confiar neste PC, conectar-se a um computador não confiável pode prejudicar seu PC^{(Make sure you trust this PC, connecting to an untrusted computer might harm your PC)} ” quando você tenta se conectar a uma área de trabalho remota.

Neste post, veremos como o recurso Remote Credential Guard , que foi introduzido no  Windows 10 , pode ajudar a proteger credenciais de área de trabalho remota no Windows 10 Enterprise e no Windows Server .

Guarda de credenciais remota^{(Remote Credential Guard)} no Windows 10

O recurso foi projetado para eliminar ameaças antes que se torne uma situação séria. Ele ajuda você a proteger suas credenciais em uma conexão de Área de Trabalho Remota redirecionando^(Desktop) as solicitações do Kerberos de volta para o dispositivo que está solicitando a conexão. Ele também fornece experiências de logon único para sessões de Área de Trabalho Remota .^{(Remote Desktop)}

No caso de qualquer infortúnio em que o dispositivo de destino seja comprometido, as credenciais do usuário não são expostas porque as credenciais e os derivados de credenciais nunca são enviados ao dispositivo de destino.

O modus operandi do Remote Credential Guard é muito semelhante à proteção oferecida pelo Credential Guard em uma máquina local, exceto que o Credential Guard também protege as credenciais de domínio armazenadas por meio do Credential Manager .

Um indivíduo pode usar o Remote Credential Guard das seguintes maneiras:

1. Como as credenciais do Administrador são altamente privilegiadas, elas devem ser protegidas. ^{(Administrator)}Ao usar o Remote Credential Guard , você pode ter certeza de que suas credenciais estão protegidas, pois não permite que as credenciais passem pela rede para o dispositivo de destino.
2. Os funcionários do suporte técnico^(Helpdesk) em sua organização devem se conectar a dispositivos ingressados ​​no domínio que podem ser comprometidos. Com o Remote Credential Guard , o funcionário do suporte técnico pode usar o RDP para se conectar ao dispositivo de destino sem comprometer suas credenciais a malware.

Requisitos de hardware e software

Para habilitar o bom funcionamento do Remote Credential Guard , certifique-se de que os seguintes requisitos do cliente e servidor da Área de Trabalho Remota sejam atendidos.^{(Remote Desktop)}

1. O cliente e o servidor da área de trabalho remota^{(Remote Desktop Client)} devem ser associados a um domínio do Active Directory
2. Ambos os dispositivos devem ingressar no mesmo domínio ou o servidor de Área de Trabalho Remota^{(Remote Desktop)} deve ingressar em um domínio com uma relação de confiança com o domínio do dispositivo cliente.
3. A autenticação Kerberos deveria ter sido habilitada.
4. O cliente de Área de Trabalho Remota^{(Remote Desktop)} deve estar executando pelo menos o Windows 10^{(Windows 10)} , versão 1607 ou o Windows Server 2016^{(Windows Server 2016)} .
5. O aplicativo Plataforma Universal do Windows da Área de Trabalho Remota^{(Remote Desktop Universal Windows Platform)} não oferece suporte ao Remote Credential Guard , portanto, use o aplicativo Windows clássico da Área de Trabalho Remota^{(Remote Desktop)} .

Habilite o Remote Credential Guard^{(Remote Credential Guard)} via Registro^(Registry)

Para habilitar o Remote Credential Guard no dispositivo de destino, abra o Editor do Registro^{(Registry Editor)} e vá para a seguinte chave:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Adicione um novo valor DWORD chamado DisableRestrictedAdmin . Defina o valor dessa configuração do Registro como 0 para ativar o Remote Credential Guard .

Feche o Editor do Registro.

Você pode habilitar o Remote Credential Guard executando o seguinte comando em um CMD elevado:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Ativar o Remote Credential Guard usando a Diretiva de Grupo^{(Group Policy)}

É possível usar o Remote Credential Guard no dispositivo cliente definindo uma Diretiva de Grupo^{(Group Policy)} ou usando um parâmetro com a Conexão de Área de Trabalho Remota^{(Remote Desktop Connection)} .

No Console de Gerenciamento de Diretiva de Grupo^{(Group Policy Management Console)} , navegue até Computer Configuration > Administrative Templates > System > Credentials Delegation.

Agora, clique duas vezes em Restringir delegação de credenciais para servidores remotos^{(Restrict delegation of credentials to remote servers)} para abrir sua caixa Propriedades.

Agora, na caixa Use o seguinte modo restrito^{(Use the following restricted mode)} , escolha Requer Remote Credential Guard. ^{( Require Remote Credential Guard. )}A outra opção Modo de administração restrita^{(Restricted Admin mode)} também está presente. Seu significado é que quando o Remote Credential Guard não pode ser usado, ele usará o modo Restricted Admin .

Em qualquer caso, nem o Remote Credential Guard nem o modo Restricted Admin enviarão credenciais em texto não criptografado para o servidor de Área de Trabalho Remota .^{(Remote Desktop)}

Permita o Remote Credential Guard^{(Allow Remote Credential Guard)} , escolhendo a opção ' Prefer Remote Credential Guard '.

Clique em OK^{(Click OK)} e saia do Console de Gerenciamento de Diretiva de Grupo^{(Group Policy Management Console)} .

Agora, em um prompt de comando, execute gpupdate.exe /force para garantir que o objeto de Diretiva de Grupo seja aplicado.^{(Group Policy)}

Use o Remote Credential Guard^{(Use Remote Credential Guard)} com um parâmetro para Remote Desktop Connection

Se você não usar a Diretiva de Grupo^{(Group Policy)} em sua organização, poderá adicionar o parâmetro remoteGuard ao iniciar a Conexão^{(Desktop Connection)} de Área de Trabalho Remota para ativar o Remote Credential Guard para essa conexão.

mstsc.exe /remoteGuard

Coisas que você deve ter em mente ao usar o Remote Credential Guard

1. O Remote Credential Guard^{(Remote Credential Guard)} não pode ser usado para se conectar a um dispositivo que ingressou no Azure Active Directory .
2. O Remote Desktop Credential Guard^{(Remote Desktop Credential Guard)} só funciona com o protocolo RDP .
3. O Remote Credential Guard^{(Remote Credential Guard)} não inclui declarações de dispositivo. Por exemplo, se você estiver tentando acessar um servidor de arquivos remotamente e o servidor de arquivos exigir a reivindicação do dispositivo, o acesso será negado.
4. O servidor e o cliente devem autenticar usando Kerberos .
5. Os domínios devem ter uma relação de confiança ou o cliente e o servidor devem ser associados ao mesmo domínio.
6. O Remote Desktop Gateway^{(Remote Desktop Gateway)} não é compatível com o Remote Credential Guard .
7. Nenhuma credencial é vazada para o dispositivo de destino. No entanto, o dispositivo de destino ainda adquire os tíquetes ^(Tickets)de serviço Kerberos^{(Kerberos Service)} por conta própria.
8. Por fim, você deve usar as credenciais do usuário que está logado no dispositivo. O uso de credenciais salvas ou diferentes das suas não é permitido.

Você pode ler mais sobre isso em Technet .

Relacionado^(Related) : Como aumentar o número de conexões de área de trabalho remota^{(increase the number of Remote Desktop Connections)} no Windows 10.

Remote Credential Guard protects Remote Desktop credentials

All system administrator users have one very genuine сoncern – secυring crеdentials over a Remote Desktop connection. This is because malware can find its way to any other computer over the desktop connection and pose a potentiаl thrеat to your data. That is whу Windows OS flashes a warning “Make sure you trust this PC, connecting to an untrusted computer might harm your PC” when you try to connect to a remote desktop.

In this post, we will see how the Remote Credential Guard feature, which has been introduced in Windows 10, can help protect remote desktop credentials in Windows 10 Enterprise and Windows Server.

Remote Credential Guard in Windows 10

The feature is designed to eliminate threats before it develops into a serious situation. It helps you protect your credentials over a Remote Desktop connection by redirecting the Kerberos requests back to the device that’s requesting the connection. It also provides single sign-on experiences for Remote Desktop sessions.

In the event of any misfortune where the target device is compromised, credentials of the user are not exposed because both credential and credential derivatives are never sent to the target device.

The modus operandi of Remote Credential Guard is very similar to the protection offered by Credential Guard on a local machine except for Credential Guard also protects stored domain credentials via the Credential Manager.

An individual can use Remote Credential Guard in the following ways-

1. Since Administrator credentials are highly privileged, they must be protected. By using Remote Credential Guard, you can be assured that your credentials are protected as it does not allow credentials to pass over the network to the target device.
2. Helpdesk employees in your organization must connect to domain-joined devices that could be compromised. With Remote Credential Guard, the helpdesk employee can use RDP to connect to the target device without compromising their credentials to malware.

Hardware and software requirements

To enable smooth functioning of the Remote Credential Guard, ensure the following requirements of Remote Desktop client and server are met.

1. The Remote Desktop Client and server must be joined to an Active Directory domain
2. Both devices must either joined to the same domain, or the Remote Desktop server must be joined to a domain with a trust relationship to the client device’s domain.
3. The Kerberos authentication should have been enabled.
4. The Remote Desktop client must be running at least Windows 10, version 1607 or Windows Server 2016.
5. The Remote Desktop Universal Windows Platform app doesn’t support Remote Credential Guard so, use Remote Desktop classic Windows app.

Enable Remote Credential Guard via Registry

To enable Remote Credential Guard on the target device, open Registry Editor and go to the following key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Add a new DWORD value named DisableRestrictedAdmin. Set the value of this registry setting to 0 to turn on Remote Credential Guard.

Close the Registry Editor.

You can enable Remote Credential Guard by running the following command from an elevated CMD:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Turn on Remote Credential Guard by using Group Policy

It is possible to use Remote Credential Guard on the client device by setting a Group Policy or by using a parameter with Remote Desktop Connection.

From the Group Policy Management Console, navigate to Computer Configuration > Administrative Templates > System > Credentials Delegation.

Now, double-click Restrict delegation of credentials to remote servers to open its Properties box.

Now in the Use the following restricted mode box, choose Require Remote Credential Guard. The other option Restricted Admin mode is also present. Its significance is that when Remote Credential Guard cannot be used, it will use Restricted Admin mode.

In any case, neither Remote Credential Guard nor Restricted Admin mode will send credentials in clear text to the Remote Desktop server.

Allow Remote Credential Guard, by choosing ‘Prefer Remote Credential Guard’ option.

Click OK and exit the Group Policy Management Console.

Now, from a command prompt, run gpupdate.exe /force to ensure that the Group Policy object is applied.

Use Remote Credential Guard with a parameter to Remote Desktop Connection

If you don’t use Group Policy in your organization, you can add the remoteGuard parameter when you start Remote Desktop Connection to turn on Remote Credential Guard for that connection.

mstsc.exe /remoteGuard

Things you should keep in mind when using Remote Credential Guard

1. Remote Credential Guard cannot be used to connect to a device that is joined to Azure Active Directory.
2. Remote Desktop Credential Guard only works with the RDP protocol.
3. Remote Credential Guard does not include device claims. For example, if you’re trying to access a file server from the remote and the file server requires device claim, access will be denied.
4. The server and client must authenticate using Kerberos.
5. The domains must have a trust relationship, or both the client and the server must be joined to the same domain.
6. Remote Desktop Gateway is not compatible with Remote Credential Guard.
7. No credentials are leaked to the target device . However, the target device still acquires the Kerberos Service Tickets on its own.
8. Lastly, you must use the credentials of the user who is logged into the device. Using saved credentials or credentials that are different than yours are not permitted.

You can read more on this at Technet.

Related: How to increase the number of Remote Desktop Connections in Windows 10.

Related posts

• Aumentar o número de Remote Desktop Connections em Windows 11/10

• Windows Key preso depois de mudar de Remote Desktop session

• Não é possível copiar Paste em Remote Desktop Session em Windows 10

• RDP connection authentication error; Function pedida não é suportada

• Create Remote Desktop Connection shortcut em Windows 11/10

• Best Free Remote Desktop Software para Windows 10

• Não Remote Desktop License Servers; Remote session Desconectado

• Fix Remote Desktop Error Code 0x104 no Windows 11/10

• Microsoft Remote Desktop App para Windows 10

• Corrigir a área de trabalho remota não será Connect em Windows 10

• Conecte-se a um PC Windows a partir do Ubuntu usando a Conexão de Área de Trabalho Remota

• Como habilitar e Use Remote Desktop Connection em Windows 10

• Alterar o listening port para Remote Desktop

• Remote Desktop Services Causas High CPU em Windows 10

• Ativar Remote Desktop usando Command Prompt or PowerShell

• Remote Desktop option Cinza no Windows 10

• Connect iPhone para Windows 10 PC usando Microsoft Remote Desktop

• O aplicativo de área de trabalho remota vs. TeamViewer Touch - Qual é o melhor aplicativo?

• Fix Remote Desktop Error Code 0x204 no Windows 10

• O erro com falha logon attempt ao conectar Remote Desktop