রিমোট ক্রিডেনশিয়াল গার্ড রিমোট ডেস্কটপ শংসাপত্রগুলি রক্ষা করে

সমস্ত সিস্টেম অ্যাডমিনিস্ট্রেটর ব্যবহারকারীদের একটি খুব জেনুইন উদ্বেগ - একটি দূরবর্তী ডেস্কটপ সংযোগের উপর শংসাপত্র সুরক্ষিত। এটা কারণ ম্যালওয়্যার ডেস্কটপ সংযোগের উপর অন্য কম্পিউটারে তাদের উপায় খুঁজে পেতে পারেন এবং আপনার ডেটা একটি সম্ভাব্য হুমকি জাহির। উইন্ডোজ অপারেটিং সিস্টেমে একটি সতর্কবার্তা জ্বলছে কারণ "আপনি এই পিসিটি বিশ্বাস করেন তা নিশ্চিত করুন, একটি অবিশ্বস্ত কম্পিউটারের সাথে সংযোগ করা আপনার পিসি ক্ষতি করতে পারে" যখন আপনি একটি দূরবর্তী ডেস্কটপে সংযোগ করার চেষ্টা করেন। এই পোস্টে, আমরা দূরবর্তী প্রমাণপত্রাদি গার্ড বৈশিষ্ট্যটি, উইন্ডোজ 10 v1607 এ কীভাবে চালু করা হয়েছে তা দেখতে পাবেন, উইন্ডোজ 10 এন্টারপ্রাইজ এর মধ্যে দূরবর্তী ডেস্কটপের প্রমাণপত্রাদি রক্ষা করতে সহায়তা করতে পারে এবং উইন্ডোজ সার্ভার 2016 ।

উইন্ডোজ 10 এর রিমোট ক্রি্রেনেন্সিয়াল গার্ড

বৈশিষ্ট্যটি একটি গুরুতর অবস্থার মধ্যে বিকশিত হওয়ার আগে হুমকি দূর করার জন্য ডিজাইন করা হয়েছে। এটি আপনাকে কার্বারোস সংযোগের অনুরোধ করে এমন ডিভাইসে পুনরায় অনুরোধ করার মাধ্যমে রিমোট ডেস্কটপ সংযোগের উপর আপনার প্রমাণপত্রাদি রক্ষা করতে সহায়তা করে। এটি দূরবর্তী ডেস্কটপ সেশনের জন্য একক সাইন-অনের অভিজ্ঞতা প্রদান করে।

যে কোনও দুর্ভাগ্যের ঘটনা যেখানে লক্ষ্য ডিভাইসটি আপোস করা হয়, ব্যবহারকারীর শংসাপত্র প্রকাশ করা হয় না কারণ ক্রিডেনশিয়াল এবং ক্রেডেনশিয়াল ডেরিভেটিভগুলি উভয় লক্ষ্য ডিভাইসে পাঠানো হয় না

রিমোট ক্রিডেনশিয়াল গার্ডের কার্যপ্রণালীটি একটি স্থানীয় মেশিনে ক্রিডেনশিয়াল গার্ডের দেওয়া সুরক্ষা ছাড়াও ক্রেডেনশিয়াল গার্ডের জন্য ক্রেডেনশিয়াল ম্যানেজারের মাধ্যমে সংরক্ষিত ডোমেন শংসাপত্রগুলি রক্ষা করে।

একজন ব্যক্তি দূরবর্তী শংসাপত্রগত গার্ড ব্যবহার করতে পারেন নিম্নলিখিত উপায়-

1. অ্যাডমিনিস্ট্রেটর শংসাপত্র অত্যন্ত বিশেষাধিকার আছে, তারা সুরক্ষিত হতে হবে। রিমোট ক্রিডেনশিয়াল গার্ড ব্যবহার করে, আপনি নিশ্চিত হতে পারেন যে আপনার শংসাপত্রগুলি সুরক্ষিত আছে কারণ এটি নেটওয়ার্কে টার্গেট ডিভাইসে ক্রেডেনশিয়ালগুলিকে পাস করার অনুমতি দেয় না।
2. আপনার প্রতিষ্ঠানের হেল্পডেস্ক কর্মচারী ডোমেন-সংযুক্ত ডিভাইসগুলির সাথে সংযুক্ত হতে হবে যা আপোস করা যেতে পারে । রিমোট ক্রিডেনশিয়াল গার্ডের সাহায্যে হেল্পডেস্কের কর্মচারী মডিউলের জন্য তাদের শংসাপত্রের সাথে কোনও চুক্তি ছাড়াই টার্গেট ডিভাইসে সংযোগ করতে RDP ব্যবহার করতে পারেন।

হার্ডওয়্যার এবং সফ্টওয়্যার প্রয়োজনীয়তাগুলি

রিমোট ক্রিডেনশিয়াল গার্ডের মসৃণ কার্যকারিতা সক্ষম করতে, রিমোটের নিম্নলিখিত প্রয়োজনীয়তাগুলি নিশ্চিত করুন ডেস্কটপ ক্লায়েন্ট এবং সার্ভার পূরণ করা হয়।

1. রিমোট ডেস্কটপ ক্লায়েন্ট এবং সার্ভারটি একটি অ্যাক্টিভ ডিরেক্টরি ডোমেইনে যোগ করা আবশ্যক
2. উভয় ডিভাইস একই ডোমেনে যোগ করা আবশ্যক, অথবা রিমোট ডেস্কটপ সার্ভার অবশ্যই একটি ডোমেইনের সাথে যুক্ত হতে হবে
3. দূরবর্তী ডেস্কটপ ক্লায়েন্ট কমপক্ষে উইন্ডোজ 10, সংস্করণ 1607 বা উইন্ডোজ সার্ভার 2016 চালাতে হবে।
4. রিমোট ডেস্কটপ ইউনিভার্সাল উইন্ডোজ প্ল্যাটফর্ম অ্যাপ্লিকেশনটি রিমোট ক্রিডেনশিয়াল গার্ডকে সমর্থন করে না, দূরবর্তী ডেস্কটপ ক্লাসিক উইন্ডোজ অ্যাপ ব্যবহার করুন।
5. রেজিস্ট্রি এর মাধ্যমে দূরবর্তী প্রমাণপত্রাদি গার্ড সক্ষম করুন

টার্গেট ডিভাইসে দূরবর্তী শংসাপত্রগত গার্ড সক্ষম করতে, Re গাসরি সম্পাদক এবং নিম্নলিখিত কীগুলিতে যান:

HKEY_LOCAL_MACHINE system CurrentControlSet Control LSA

DisableRestrictedAdmin নামক একটি নতুন DWORD মান যোগ করুন। এই রেজিস্ট্রি সেটিংয়ের মানকে 0 দূরবর্তী প্রমাণপত্রাদি গার্ড চালু করতে সেট করুন। রেজিস্ট্রি এডিটর বন্ধ করুন।

আপনি একটি উন্নত সিএমডি থেকে নিম্নোক্ত কমান্ডটি চালুর মাধ্যমে দূরবর্তী প্রমাণপত্রাদি গার্ড সক্ষম করতে পারেন:

reg add HKLM SYSTEM CurrentControlSet Control LSA / v DisableRestrictedAdmin / d 0 / t REG_DWORD

গ্রুপ নীতি ব্যবহার করে রিমোট শংসাপত্রীয় গার্ড চালু করুন

ক্লায়েন্ট ডিভাইসে রিমোট শংসাপত্রীয় গার্ড ব্যবহার করা সম্ভব একটি গ্রুপ নীতি সেটিং বা দূরবর্তী ডেস্কটপ সংযোগের সাথে একটি প্যারামিটার ব্যবহার করে।

গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল থেকে, কম্পিউটার কনফিগারেশনে নেভিগেট করুন> প্রশাসনিক টেমপ্লেটগুলি> সিস্টেম> প্রমাণপত্রাদি ডিলাইজেশন

। এখন

রিমোট সার্ভারে শংসাপত্রের প্রতিনিধিদলকে তার বৈশিষ্ট্যাবলী বাক্স খোলার জন্য দ্বিগুণ ক্লিক করুন। এখন

নিম্নোক্ত সীমাবদ্ধ মোড ব্যবহার করুন বাক্স, নির্বাচন করুন দূরবর্তী প্রমাণপত্রাদি গার্ড আবশ্যক। অন্য বিকল্প সীমাবদ্ধ অ্যাডমিন মোড এছাড়াও উপস্থিত রয়েছে। এর তাত্পর্য হল যখন দূরবর্তী প্রমাণীকরণের গার্ড ব্যবহার করা যাবে না, এটি বিধিনিষেধযুক্ত অ্যাডমিন মোড ব্যবহার করবে। যেকোন ক্ষেত্রে, দূরবর্তী প্রমাণীকরণের সুরক্ষা বা বিধিনিষেধযুক্ত অ্যাডমিন মোড রিমোট ডেস্কটপ সার্ভারে স্পষ্ট পাঠে প্রমাণপত্রাদি পাঠাবে না।

অনুমতি দিন

দূরবর্তী প্রমাণপত্রাদি গার্ড বিকল্প নির্বাচন করুন ঠিক আছে ক্লিক করুন এবং গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল থেকে প্রস্থান করুন।

এখন, কমান্ড প্রম্পট থেকে,

gpupdate.exe চালান / বল গ্রুপ নীতি বস্তু প্রয়োগ করা হয় তা নিশ্চিত করতে। রিমোট ডেস্কটপ সংযোগের জন্য একটি প্যারামিটার দিয়ে দূরবর্তী প্রমাণপত্রাদি গার্ড ব্যবহার করুন

যদি আপনি আপনার প্রতিষ্ঠানের গ্রুপ নীতি ব্যবহার না করেন তবে আপনি দূরবর্তী গ্রাউয়ার প্যারামিটার যখন আপনি রিমোট ডেস্কটপ কানেকশন চালু করেন তখন ঐ সংযোগের জন্য দূরবর্তী প্রমাণপত্রাদি গার্ড চালু করুন।

mstsc.exe / remoteguard

রিমোট শংসাপত্রগত গার্ড ব্যবহার করার সময় আপনার মনে রাখা উচিত

রিমোট শংসাপত্রীয় গার্ডের সাথে সংযোগ স্থাপন করতে ব্যবহার করা যাবে না একটি ডিভাইস যা Azure অ্যাক্টিভ ডিরেক্টরিতে যোগদান করেছে।

1. রেমো কেবল ডেস্কটপ কপিরাইটাল গার্ড শুধুমাত্র RDP প্রোটোকল সঙ্গে কাজ করে।
2. দূরবর্তী প্রমাণীকরণের গার্ড ডিভাইস দাবি অন্তর্ভুক্ত করা হয় না। উদাহরণস্বরূপ, যদি আপনি রিমোট থেকে একটি ফাইল সার্ভার অ্যাক্সেস করার চেষ্টা করছেন এবং ফাইল সার্ভারের ডিভাইস দাবি প্রয়োজন, অ্যাক্সেস অস্বীকার করা হবে।
3. সার্ভার এবং ক্লায়েন্টের Kerberos ব্যবহার করে প্রমাণীকরণ করতে হবে।
4. ডোমেনের একটি ট্রাস্ট থাকতে হবে সম্পর্ক, বা উভয় ক্লায়েন্ট এবং সার্ভার একই ডোমেনে যোগদান করা আবশ্যক।
5. দূরবর্তী ডেস্কটপ গেটওয়ে দূরবর্তী প্রমাণীকরণের গার্ডের সাথে সামঞ্জস্যপূর্ণ নয়।
6. টার্গেট ডিভাইসে কোন শংসাপত্র লিক করা হয় না। যাইহোক, টার্গেট ডিভাইসটি এখনও নিজের উপর Kerberos পরিষেবা টিকিট অর্জন করে।
7. পরিশেষে, আপনার ডিভাইসে লগ ইন করা ব্যবহারকারীর শংসাপত্রগুলি ব্যবহার করতে হবে। আপনার চেয়ে আলাদা আলাদা সংরক্ষিত শংসাপত্রগুলি বা প্রমাণপত্রাদি ব্যবহার করা অনুমোদিত নয়।
8. আপনি টেকনেটে এই বিষয়ে আরও পড়তে পারেন।