Remote Credential Guard는 원격 데스크톱 자격 증명을 보호합니다.

모든 시스템 관리자 사용자는 원격 데스크톱(Desktop) 연결 을 통해 자격 증명을 보호하는 한 가지 매우 진지한 관심사를 가지고 있습니다. 맬웨어가 데스크톱 연결을 통해 다른 컴퓨터로 이동하여 데이터에 잠재적인 위협이 될 수 있기 때문입니다. 그렇기 때문에 Windows OS 는 원격 데스크톱에 연결하려고 할 때 " 이 PC를 신뢰하는지 확인하십시오. 신뢰할 수 없는 컴퓨터에 연결하면 PC에 손상을 줄 수 있습니다(Make sure you trust this PC, connecting to an untrusted computer might harm your PC) "라는 경고를 표시 합니다.

이 게시물에서는 Windows 10 에 도입된  Remote Credential Guard 기능이 (Remote Credential Guard)Windows 10 EnterpriseWindows Server 에서 원격 데스크톱 자격 증명을 보호하는 데 어떻게 도움 이 되는지 알아보겠습니다 .

(Remote Credential Guard)Windows 10원격 자격 증명 보호

이 기능은 위협이 심각한 상황으로 발전하기 전에 제거하도록 설계되었습니다. Kerberos 요청을 연결을 요청하는 장치로 다시 리디렉션하여 원격 데스크톱(Desktop) 연결을 통해 자격 증명을 보호하는 데 도움이 됩니다 . 또한 원격 데스크톱(Remote Desktop) 세션 에 대한 싱글 사인온 환경을 제공 합니다.

대상 장치가 손상되는 불행의 경우 자격 증명 및 자격 증명 파생물이 대상 장치로 전송되지 않기 때문에 사용자의 자격 증명이 노출되지 않습니다.

원격 자격 증명 보호

Remote Credential Guard 의 작동 방식은 Credential Guard가 Credential Manager 를 통해 저장된 도메인 자격 증명을 보호 한다는 점을 제외하고 로컬 시스템에서 Credential Guard가 제공 (Credential Guard)하는 보호와 매우 유사합니다 .

개인은 다음과 같은 방법으로 Remote Credential Guard 를 사용할 수 있습니다.(Remote Credential Guard)

  1. 관리자(Administrator) 자격 증명은 높은 권한을 가지 므로 보호해야 합니다. Remote Credential Guard 를 사용 하면 자격 증명이 네트워크를 통해 대상 장치로 전달되는 것을 허용하지 않으므로 자격 증명이 보호된다는 것을 확신할 수 있습니다.
  2. 조직의 헬프 데스크(Helpdesk) 직원은 손상될 수 있는 도메인 가입 장치에 연결해야 합니다. Remote Credential Guard 를 통해 헬프데스크 직원은 RDP 를 사용하여 멀웨어에 대한 자격 증명을 손상시키지 않고 대상 장치에 연결할 수 있습니다.

하드웨어 및 소프트웨어 요구 사항

Remote Credential Guard 가 원활하게 작동하려면 원격 데스크톱(Remote Desktop) 클라이언트 및 서버 의 다음 요구 사항이 충족되는지 확인하십시오 .

  1. 원격 데스크톱 클라이언트(Remote Desktop Client) 및 서버는 Active Directory 도메인에 가입해야 합니다 .
  2. 두 장치 모두 동일한 도메인에 가입되어 있거나 원격 데스크톱(Remote Desktop) 서버가 클라이언트 장치의 도메인에 대한 신뢰 관계로 도메인에 가입되어 있어야 합니다.
  3. Kerberos 인증 이 활성화되어 있어야 합니다.
  4. 원격 데스크톱(Remote Desktop) 클라이언트 는 Windows 10 , 버전 1607 또는 Windows Server 2016 이상을 실행해야 합니다 .
  5. 원격 데스크톱 유니버설 Windows 플랫폼(Remote Desktop Universal Windows Platform) 앱은 Remote Credential Guard를 지원하지 않으므로 원격 데스크톱 (Remote Credential Guard)클래식(Remote Desktop) Windows (Windows) 을 사용 하세요.

레지스트리(Registry) 를 통해 원격 자격 증명 보호(Remote Credential Guard) 활성화

대상 장치에서 Remote Credential Guard(Remote Credential Guard) 를 활성화하려면 레지스트리 편집기(Registry Editor) 를 열고 다음 키로 이동하십시오.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

DisableRestrictedAdmin 이라는 새 DWORD 값을 추가합니다 . Remote Credential Guard 를 켜 려면 이 레지스트리 설정 값을 0 으로 설정하십시오 .

레지스트리 편집기를 닫습니다.

상승된 CMD에서 다음 명령을 실행하여 Remote Credential Guard 를 활성화할 수 있습니다 .

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

그룹 정책(Group Policy) 을 사용하여 원격 자격 증명 보호(Remote Credential Guard) 켜기

그룹 정책 을 설정하거나 (Group Policy)원격 데스크톱 연결(Remote Desktop Connection) 과 함께 매개변수를 사용하여 클라이언트 장치에서 Remote Credential Guard 를 사용할 수 있습니다 .

그룹 정책 관리 콘솔(Group Policy Management Console) 에서 Computer Configuration > Administrative Templates > System > Credentials Delegation 으로 이동 합니다.(.)

이제 원격 서버에 대한 자격 증명 위임 제한(Restrict delegation of credentials to remote servers) 을 두 번 클릭 하여 속성 상자를 엽니다.

이제 다음 제한 모드 사용(Use the following restricted mode) 상자에서 Remote Credential Guard 필요를 선택합니다. ( Require Remote Credential Guard. )다른 옵션인 제한된 관리 모드(Restricted Admin mode) 도 있습니다. 그 중요성은 Remote Credential Guard 를 사용할 수 없을 때 (Remote Credential Guard)Restricted Admin 모드 를 사용한다는 것입니다 .

어떤 경우에도 Remote Credential Guard 또는 Restricted Admin 모드는 자격 증명을 일반 텍스트로 원격 데스크톱(Remote Desktop) 서버에 보내지 않습니다.

(Allow Remote Credential Guard)' 원격 Credential Guard 선호(Prefer Remote Credential Guard) ' 옵션 을 선택하여 Remote Credential Guard를 허용 합니다.

확인(Click OK) 을 클릭하고 그룹 정책 관리 콘솔(Group Policy Management Console) 을 종료합니다 .

원격 자격 증명 보호 그룹 정책

이제 명령 프롬프트에서 gpupdate.exe /force그룹 정책(Group Policy) 개체가 적용 되었는지 확인합니다 .

(Use Remote Credential Guard)원격 데스크톱(Remote Desktop) 연결 에 대한 매개변수와 함께 Remote Credential Guard 사용

조직에서 그룹 정책(Group Policy) 을 사용하지 않는 경우 원격 데스크톱 연결(Desktop Connection) 을 시작할 때 remoteGuard 매개 변수를 추가하여 해당 연결에 대한 원격 자격 증명 보호(Remote Credential Guard) 를 켤 수 있습니다.

mstsc.exe /remoteGuard

Remote Credential Guard 를 사용할 때 염두에 두어야 할 사항

  1. Remote Credential Guard 는 (Remote Credential Guard)Azure Active Directory 에 가입된 장치에 연결하는 데 사용할 수 없습니다 .
  2. Remote Desktop Credential Guard 는 (Remote Desktop Credential Guard)RDP 프로토콜 에서만 작동 합니다.
  3. Remote Credential Guard 에는 장치 클레임이 포함되지 않습니다. 예를 들어 원격에서 파일 서버에 액세스하려고 하고 파일 서버에 장치 클레임이 필요한 경우 액세스가 거부됩니다.
  4. 서버와 클라이언트는 Kerberos 를 사용하여 인증해야 합니다 .
  5. 도메인에 트러스트 관계가 있거나 클라이언트와 서버가 모두 동일한 도메인에 가입되어 있어야 합니다.
  6. 원격 데스크톱 게이트웨이 는 (Remote Desktop Gateway)Remote Credential Guard 와 호환되지 않습니다 .
  7. 대상 장치에 자격 증명이 유출되지 않습니다. 그러나 대상 장치는 여전히 자체적으로 Kerberos 서비스 (Kerberos Service) 티켓 을 획득합니다.(Tickets)
  8. 마지막으로 장치에 로그인한 사용자의 자격 증명을 사용해야 합니다. 저장된 자격 증명 또는 귀하와 다른 자격 증명을 사용하는 것은 허용되지 않습니다.

Technet 에서 이에 대한 자세한 내용을 읽을 수 있습니다 .

관련(Related) : Windows 10에서 원격 데스크톱 연결 수를 늘리는 방법.(increase the number of Remote Desktop Connections)



About the author

저는 Windows MVP이고 2007년부터 Windows로 작업해 왔습니다. 제 경험에는 소프트웨어 개발, 하드웨어 및 사운드, Windows 앱이 포함됩니다. 저는 항상 제 작업에서 사용자 경험을 개선할 수 있는 최선의 방법을 찾고 있습니다. 따라서 소프트웨어 응용 프로그램을 설계하거나 개발하는 데 도움이 필요하면 제 서비스를 제공할 수 있습니다.



Related posts