모든 시스템 관리자 사용자는 원격 데스크톱 연결을 통해 자격 증명을 보호하는 한 가지 매우 진지한 관심사를 가지고 있습니다. 맬웨어가 데스크톱 연결을 통해 다른 컴퓨터로 이동하여 데이터에 잠재적인 위협이 될 수 있기 때문입니다. 그렇기 때문에 Windows OS에서 "이 PC를 신뢰하는지 확인하십시오. 신뢰할 수 없는 컴퓨터에 연결하면 PC가 손상될 수 있습니다 " 원격 데스크톱에 연결하려고 할 때.
이 게시물에서는 Remote Credential Guard가 어떻게 Windows 10에 도입된 기능 , Windows 10 Enterprise에서 원격 데스크톱 자격 증명을 보호하는 데 도움이 될 수 있습니다. 및 Windows 서버 .
Windows 10의 원격 Credential Guard
이 기능은 위협이 심각한 상황으로 발전하기 전에 제거하도록 설계되었습니다. Kerberos를 리디렉션하여 원격 데스크톱 연결을 통해 자격 증명을 보호하는 데 도움이 됩니다. 연결을 요청하는 장치에 다시 요청합니다. 또한 원격 데스크톱 세션에 대한 싱글 사인온 환경을 제공합니다.
대상 장치가 손상되는 불행한 경우 자격 증명 및 자격 증명 파생물이 모두 대상 장치로 전송되지 않기 때문에 사용자의 자격 증명이 노출되지 않습니다.
Remote Credential Guard의 작동 방식은 Credential Guard가 Credential Manager를 통해 저장된 도메인 자격 증명을 보호한다는 점을 제외하고 로컬 시스템에서 Credential Guard가 제공하는 보호 기능과 매우 유사합니다.
개인은 다음과 같은 방법으로 Remote Credential Guard를 사용할 수 있습니다.-
- 관리자 자격 증명은 높은 권한을 가지므로 보호해야 합니다. Remote Credential Guard를 사용하면 자격 증명이 네트워크를 통해 대상 장치로 전달되는 것을 허용하지 않으므로 자격 증명이 보호된다는 것을 확신할 수 있습니다.
- 조직의 헬프 데스크 직원은 손상될 수 있는 도메인 가입 장치에 연결해야 합니다. Remote Credential Guard를 통해 헬프데스크 직원은 RDP를 사용하여 맬웨어에 대한 자격 증명을 손상시키지 않고 대상 장치에 연결할 수 있습니다.
하드웨어 및 소프트웨어 요구사항
Remote Credential Guard가 원활하게 작동하려면 원격 데스크톱 클라이언트 및 서버의 다음 요구 사항이 충족되는지 확인하십시오.
- 원격 데스크톱 클라이언트와 서버는 Active Directory 도메인에 가입해야 합니다.
- 두 장치 모두 동일한 도메인에 가입하거나 원격 데스크톱 서버가 클라이언트 장치의 도메인에 대한 신뢰 관계로 도메인에 가입되어 있어야 합니다.
- Kerberos 인증이 활성화되어 있어야 합니다.
- 원격 데스크톱 클라이언트는 Windows 10, 버전 1607 또는 Windows Server 2016 이상을 실행해야 합니다.
- 원격 데스크톱 유니버설 Windows 플랫폼 앱은 Remote Credential Guard를 지원하지 않으므로 원격 데스크톱 클래식 Windows 앱을 사용하세요.
레지스트리를 통한 원격 자격 증명 보호 활성화
대상 장치에서 Remote Credential Guard를 활성화하려면 레지스트리 편집기를 열고 다음 키로 이동하십시오.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
DisableRestrictedAdmin이라는 새 DWORD 값을 추가합니다. . 이 레지스트리 설정 값을 0으로 설정합니다. Remote Credential Guard를 켭니다.
레지스트리 편집기를 닫습니다.
상승된 CMD에서 다음 명령을 실행하여 Remote Credential Guard를 활성화할 수 있습니다.
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
그룹 정책을 사용하여 원격 Credential Guard 켜기
그룹 정책을 설정하거나 원격 데스크톱 연결과 함께 매개변수를 사용하여 클라이언트 장치에서 Remote Credential Guard를 사용할 수 있습니다.
그룹 정책 관리 콘솔에서 컴퓨터 구성> 관리 템플릿> 시스템> 자격 증명 위임으로 이동합니다.
이제 원격 서버에 대한 자격 증명 위임 제한을 두 번 클릭합니다. 속성 상자를 엽니다.
이제 다음 제한 모드 사용에서 상자에서 Remote Credential Guard 필요를 선택합니다. 다른 옵션 제한된 관리자 모드 도 존재합니다. 그 중요성은 Remote Credential Guard를 사용할 수 없을 때 Restricted Admin 모드를 사용한다는 것입니다.
어떤 경우에도 Remote Credential Guard 또는 Restricted Admin 모드는 원격 데스크톱 서버에 일반 텍스트로 자격 증명을 보내지 않습니다.
'원격 Credential Guard 선호를 선택하여 원격 Credential Guard를 허용합니다. ' 옵션.
확인을 클릭하고 그룹 정책 관리 콘솔을 종료합니다.
이제 명령 프롬프트에서 gpupdate.exe /force를 실행합니다. 그룹 정책 개체가 적용되었는지 확인합니다.
원격 데스크톱 연결에 대한 매개변수와 함께 Remote Credential Guard 사용
조직에서 그룹 정책을 사용하지 않는 경우 원격 데스크톱 연결을 시작할 때 remoteGuard 매개변수를 추가하여 해당 연결에 대한 원격 Credential Guard를 켤 수 있습니다.
mstsc.exe /remoteGuard
Remote Credential Guard를 사용할 때 염두에 두어야 할 사항
- Remote Credential Guard는 Azure Active Directory에 연결된 장치에 연결하는 데 사용할 수 없습니다.
- Remote Desktop Credential Guard는 RDP 프로토콜에서만 작동합니다.
- Remote Credential Guard에는 기기 클레임이 포함되지 않습니다. 예를 들어 원격에서 파일 서버에 액세스하려고 하고 파일 서버에 장치 요청이 필요한 경우 액세스가 거부됩니다.
- 서버와 클라이언트는 Kerberos를 사용하여 인증해야 합니다.
- 도메인에 신뢰 관계가 있거나 클라이언트와 서버가 모두 동일한 도메인에 가입되어 있어야 합니다.
- 원격 데스크톱 게이트웨이는 Remote Credential Guard와 호환되지 않습니다.
- 자격 증명이 대상 장치로 유출되지 않습니다. 그러나 대상 장치는 여전히 자체적으로 Kerberos 서비스 티켓을 획득합니다.
- 마지막으로 기기에 로그인한 사용자의 자격 증명을 사용해야 합니다. 저장된 자격 증명 또는 귀하와 다른 자격 증명을 사용하는 것은 허용되지 않습니다.
Technet에서 이에 대한 자세한 내용을 읽을 수 있습니다.
관련 :Windows 10에서 원격 데스크톱 연결 수를 늘리는 방법.
