Remote Credential Guard ayuda a proteger las credenciales en una conexión de escritorio remoto, las credenciales de usuario permanecen en el lado cliente y no se exponen en el servidor, también proporciona inicio de sesión único para conexiones a escritorio remoto. Cuando el usuario inicia la conexión, la solicitud de Kerberos se redirige de nuevo al host de origen para la autenticación, de forma que no se entregan credenciales en el host remoto.
Los requisitos para implementar Remote Credential Guard son:
- Entorno en el mismo dominio de Active Directory o un dominio con una relación de confianza.
- Autenticación Kerberos.
- Sistemas operativos Windows 10, versión 1607 o Windows Server 2016.
- Remote Desktop Universal Windows Platform no está soportado con RCG.
Remote Credential Guard se habilita en la siguiente ruta del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
Configurar el DWORD DisableRestrictedAdmin con un valor 0.
El siguiente comando realiza la misma tarea:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
La configuración de esta característica esta disponible mediante objetos de directiva de grupo o GPO…
Remote Credential Guard se puede pasar como parámetro al iniciar la conexión de escritorio remoto con los siguientes comandos:
- mstsc.exe /remoteGuard
- mstsc.exe /RestrictedAdmin
Seguridad a lo Jabalí para Todos!!
Fuente obtenida de: https://www.seguridadjabali.com/2019/12/configurar-remote-credential-guard.html