احمد جهلولی
متخصص سرویس های مایکروسافت

آموزش راه اندازی Restricted Admin Mode برای ریموت دسکتاپ

بصورت عادی وقتی ادمینی به یک سیستمی Remote می زند Credentials آدمین در سیستم مقصد ذخیره می شود و یک هکر می تواند این Credentials را استخراج و به منابع سازمان صدمه بزند. مایکروسافت در Windows Server 2012 R2 قابلیتی ایجاد کرد به نام Remote Desktop Restricted Admin Mode که ادمین های یک شبکه می توانند بدون اینکه Credentials آنها در سیستم مقصد ذخیره شود به سیستم ریموت و کارهای معمولی خود را انجام دهند. برای استفاده از این قابلیت باید به نکات زیر دقت داشته باشید:

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

1 - نحوه پیاده سازی Remote Desktop Restricted Admin Mode

  • یوزر آدمین حتما باید در Local Administrators سیستم مقصد اضافه شود.
  • هنگام ریموت زدن به سیستم های مقصد منابع شبکه ای بر روی سیستم مقصد قطع می شود. چون Credentials ادمین Delegate نمی شود.
  • سیستم های قبل از Windows 10 باید ابدیت های مورد نیاز را نصب کنند. (اگر به هر دلیلی نتوانستید Remote Desktop Restricted Admin را فعال کنید)

برای فعال سازی این قابلیت دستور زیر را بر روی سیستم مقصد اجرا کنید:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

Remote Desktop Restricted Admin فعال شد. و شما می توانید با دستور زیر به سیستم مقصد وصل شوید:

Mstsc.exe /RestrictedAdmin

همچنین می توانید با دستور زیر سرور و پورت آن را مشخص کنید:

Mstsc.exe /V:Server01:3390 /RestrictedAdmin

برای ست کردن Remote Desktop Restricted Admin بعنوان کانکشن پیش فرض در RDP بر روی سیستم های ادمین یا Help Disk می توانید از پلاسی زیر استفاده کنید:

To require all outbound Remote Desktop requests to use RestrictedAdmin mode

Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\ Restrict delegation of credentials to remote servers
وب سایت توسینسو

بروز رسانی= بعد از مطاله این مقاله حتما داکیومنت زیر را مطالعه کنید.

Blocking Remote Use of Local Accounts | Microsoft Docs

نویسنده : احمد جهلولی

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است


احمد جهلولی
احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات