Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.
Los requisitos para implementar Remote Credential Guard son:
- Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza.
- Autenticación Kerberos.
- Sistemas operativos Windows 10, versión 1607 o Windows Server 2016.
- Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Configurar el DWORD DisableRestrictedAdmin con un valor 0.
El siguiente comando realiza la misma tarea:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO...
Remote Credential Guard se puede pasar como parámetro al iniciar la conexión de escritorio remoto con los siguientes comandos:
- mstsc.exe /remoteGuard
- mstsc.exe /RestrictedAdmin
Estáis interesados en mejorar la protección de infraestructuras con tecnología de Microsoft, apuntaros al curso HCHSW Hardening de Servidores Windows en TSS.
Autor: Angel A. Núñez, Profesor del Curso Hardening de Servidores Windows en The Security Sentinel, MCT Microsoft Certified Trainer, Microsoft MVPCloud and Datacenter Management,Microsoft CertifiedAzure Architect ExpertAutor del libro: Windows Server 2016. Editorial 0xWord
Seguridad a lo Jabalí para Todos!!