রিমোট ক্রেডেনশিয়াল গার্ড উইন্ডোজ 10-এ রিমোট ডেস্কটপ শংসাপত্রগুলিকে রক্ষা করে

সমস্ত সিস্টেম অ্যাডমিনিস্ট্রেটর ব্যবহারকারীদের একটি খুব প্রকৃত উদ্বেগ রয়েছে - একটি দূরবর্তী ডেস্কটপ সংযোগের মাধ্যমে শংসাপত্রগুলি সুরক্ষিত করা। এর কারণ হল ম্যালওয়্যার ডেস্কটপ সংযোগের মাধ্যমে অন্য যেকোনো কম্পিউটারে তার পথ খুঁজে পেতে পারে এবং আপনার ডেটার জন্য একটি সম্ভাব্য হুমকি তৈরি করতে পারে৷ এই কারণেই Windows OS একটি সতর্কতা ফ্ল্যাশ করে “নিশ্চিত করুন যে আপনি এই পিসিকে বিশ্বাস করেন, একটি অবিশ্বস্ত কম্পিউটারের সাথে সংযোগ করলে আপনার পিসির ক্ষতি হতে পারে ” যখন আপনি দূরবর্তী ডেস্কটপের সাথে সংযোগ করার চেষ্টা করেন৷

এই পোস্টে, আমরা দেখব কিভাবে রিমোট ক্রেডেনশিয়াল গার্ড বৈশিষ্ট্য, যা Windows 10-এ চালু করা হয়েছে , Windows 10 Enterprise-এ দূরবর্তী ডেস্কটপ শংসাপত্র রক্ষা করতে সাহায্য করতে পারে এবং উইন্ডোজ সার্ভার .

Windows 10-এ রিমোট ক্রেডেনশিয়াল গার্ড

বৈশিষ্ট্যটি একটি গুরুতর পরিস্থিতিতে বিকশিত হওয়ার আগে হুমকিগুলি দূর করার জন্য ডিজাইন করা হয়েছে। এটি আপনাকে Kerberos পুনঃনির্দেশিত করে একটি দূরবর্তী ডেস্কটপ সংযোগের মাধ্যমে আপনার শংসাপত্রগুলি রক্ষা করতে সহায়তা করে যে ডিভাইসটি সংযোগের জন্য অনুরোধ করছে সেই ডিভাইসে ফিরে আসার অনুরোধ করে। এটি দূরবর্তী ডেস্কটপ সেশনের জন্য একক সাইন-অন অভিজ্ঞতা প্রদান করে৷

কোনো দুর্ভাগ্যের ক্ষেত্রে যেখানে লক্ষ্য ডিভাইসের সাথে আপোস করা হয়, ব্যবহারকারীর শংসাপত্র প্রকাশ করা হয় না কারণ শংসাপত্র এবং শংসাপত্র উভয় ডেরিভেটিভ কখনোই লক্ষ্য ডিভাইসে পাঠানো হয় না।

৷

রিমোট ক্রেডেনশিয়াল গার্ডের মোডাস অপারেন্ডি একটি স্থানীয় মেশিনে ক্রেডেনশিয়াল গার্ড দ্বারা প্রদত্ত সুরক্ষার অনুরূপ, ক্রেডেনশিয়াল গার্ড ব্যতীত ক্রেডেনশিয়াল ম্যানেজারের মাধ্যমে সঞ্চিত ডোমেন শংসাপত্রগুলিকেও রক্ষা করে৷

একজন ব্যক্তি নিম্নলিখিত উপায়ে রিমোট ক্রেডেনশিয়াল গার্ড ব্যবহার করতে পারেন-

1. যেহেতু অ্যাডমিনিস্ট্রেটর শংসাপত্রগুলি অত্যন্ত সুবিধাপ্রাপ্ত, সেগুলি অবশ্যই সুরক্ষিত করা উচিত৷ রিমোট ক্রেডেনশিয়াল গার্ড ব্যবহার করে, আপনি নিশ্চিত হতে পারেন যে আপনার শংসাপত্রগুলি সুরক্ষিত রয়েছে কারণ এটি শংসাপত্রগুলিকে নেটওয়ার্কের মাধ্যমে লক্ষ্য ডিভাইসে পাস করার অনুমতি দেয় না৷
2. আপনার সংস্থার হেল্পডেস্কের কর্মীদের অবশ্যই ডোমেনে যুক্ত ডিভাইসগুলির সাথে সংযোগ স্থাপন করতে হবে যেগুলির সাথে আপস করা যেতে পারে৷ রিমোট ক্রেডেনশিয়াল গার্ডের সাহায্যে, হেল্পডেস্কের কর্মী ম্যালওয়্যারের সাথে তাদের শংসাপত্রের সাথে আপস না করেই লক্ষ্য ডিভাইসের সাথে সংযোগ করতে RDP ব্যবহার করতে পারে৷

হার্ডওয়্যার এবং সফ্টওয়্যার প্রয়োজনীয়তা

রিমোট ক্রেডেনশিয়াল গার্ডের মসৃণ কার্যকারিতা সক্ষম করতে, রিমোট ডেস্কটপ ক্লায়েন্ট এবং সার্ভারের নিম্নলিখিত প্রয়োজনীয়তাগুলি পূরণ হয়েছে তা নিশ্চিত করুন৷

1. রিমোট ডেস্কটপ ক্লায়েন্ট এবং সার্ভার অবশ্যই একটি অ্যাক্টিভ ডিরেক্টরি ডোমেনে যুক্ত হতে হবে
2. উভয় ডিভাইসকেই একই ডোমেনে যোগদান করতে হবে, অথবা রিমোট ডেস্কটপ সার্ভারকে অবশ্যই ক্লায়েন্ট ডিভাইসের ডোমেনের সাথে বিশ্বাসের সম্পর্কযুক্ত একটি ডোমেনে যুক্ত হতে হবে।
3. Kerberos প্রমাণীকরণ সক্রিয় করা উচিত ছিল৷
৷
4. রিমোট ডেস্কটপ ক্লায়েন্টকে কমপক্ষে Windows 10, সংস্করণ 1607 বা Windows Server 2016 চালাতে হবে।
5. রিমোট ডেস্কটপ ইউনিভার্সাল উইন্ডোজ প্ল্যাটফর্ম অ্যাপটি রিমোট ক্রেডেনশিয়াল গার্ড সমর্থন করে না, তাই রিমোট ডেস্কটপ ক্লাসিক উইন্ডোজ অ্যাপ ব্যবহার করুন।

রেজিস্ট্রির মাধ্যমে রিমোট ক্রেডেনশিয়াল গার্ড সক্ষম করুন

লক্ষ্য ডিভাইসে রিমোট ক্রেডেনশিয়াল গার্ড সক্ষম করতে, রেজিস্ট্রি এডিটর খুলুন এবং নিম্নলিখিত কীটিতে যান:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

DisableRestrictedAdmin নামে একটি নতুন DWORD মান যোগ করুন . এই রেজিস্ট্রি সেটিং এর মান 0 সেট করুন রিমোট ক্রেডেনশিয়াল গার্ড চালু করতে।

রেজিস্ট্রি এডিটর বন্ধ করুন।

আপনি একটি উন্নত সিএমডি থেকে নিম্নলিখিত কমান্ড চালিয়ে রিমোট ক্রেডেনশিয়াল গার্ড সক্ষম করতে পারেন:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD

গ্রুপ পলিসি ব্যবহার করে রিমোট ক্রেডেনশিয়াল গার্ড চালু করুন

গ্রুপ পলিসি সেট করে বা রিমোট ডেস্কটপ কানেকশন সহ একটি প্যারামিটার ব্যবহার করে ক্লায়েন্ট ডিভাইসে রিমোট ক্রেডেনশিয়াল গার্ড ব্যবহার করা সম্ভব।

গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল থেকে, কম্পিউটার কনফিগারেশন> প্রশাসনিক টেমপ্লেট> সিস্টেম> শংসাপত্র অর্পণতে নেভিগেট করুন।

এখন, রিমোট সার্ভারে শংসাপত্র অর্পণ সীমাবদ্ধ করুন ডাবল-ক্লিক করুন এর বৈশিষ্ট্য বাক্স খুলতে।

এখন নিম্নলিখিত সীমাবদ্ধ মোড ব্যবহার করুন বক্স, নির্বাচন করুন রিমোট ক্রেডেনশিয়াল গার্ড প্রয়োজন৷ অন্য বিকল্প সীমাবদ্ধ অ্যাডমিন মোড এছাড়াও উপস্থিত। এর তাৎপর্য হল যখন রিমোট ক্রেডেনশিয়াল গার্ড ব্যবহার করা যাবে না, তখন এটি সীমাবদ্ধ অ্যাডমিন মোড ব্যবহার করবে।

যাই হোক না কেন, রিমোট ক্রেডেনশিয়াল গার্ড বা সীমাবদ্ধ অ্যাডমিন মোড কোনটিই রিমোট ডেস্কটপ সার্ভারে স্পষ্ট টেক্সটে শংসাপত্র পাঠাবে না।

রিমোট ক্রেডেনশিয়াল গার্ডকে অনুমতি দিন, 'রিমোট ক্রেডেনশিয়াল গার্ড পছন্দ করুন বেছে নিন ' বিকল্প।

ঠিক আছে ক্লিক করুন এবং গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল থেকে প্রস্থান করুন।

৷

এখন, একটি কমান্ড প্রম্পট থেকে, gpupdate.exe /force চালান গ্রুপ পলিসি অবজেক্ট প্রয়োগ করা হয়েছে তা নিশ্চিত করতে।

রিমোট ডেস্কটপ সংযোগে একটি প্যারামিটার সহ রিমোট ক্রেডেনশিয়াল গার্ড ব্যবহার করুন

আপনি যদি আপনার প্রতিষ্ঠানে গোষ্ঠী নীতি ব্যবহার না করেন, আপনি সেই সংযোগের জন্য রিমোট ক্রেডেনশিয়াল গার্ড চালু করতে রিমোট ডেস্কটপ সংযোগ শুরু করার সময় আপনি remoteGuard প্যারামিটার যোগ করতে পারেন।

mstsc.exe /remoteGuard

রিমোট ক্রেডেনশিয়াল গার্ড

1. রিমোট ক্রেডেনশিয়াল গার্ড Azure অ্যাক্টিভ ডিরেক্টরীতে যুক্ত একটি ডিভাইসের সাথে সংযোগ করতে ব্যবহার করা যাবে না।
2. রিমোট ডেস্কটপ ক্রেডেনশিয়াল গার্ড শুধুমাত্র RDP প্রোটোকলের সাথে কাজ করে।
3. রিমোট ক্রেডেনশিয়াল গার্ড ডিভাইস দাবি অন্তর্ভুক্ত করে না। উদাহরণস্বরূপ, আপনি যদি রিমোট থেকে একটি ফাইল সার্ভার অ্যাক্সেস করার চেষ্টা করেন এবং ফাইল সার্ভারের ডিভাইস দাবির প্রয়োজন হয়, তাহলে অ্যাক্সেস অস্বীকার করা হবে৷
4. সার্ভার এবং ক্লায়েন্টকে অবশ্যই Kerberos ব্যবহার করে প্রমাণীকরণ করতে হবে।
5. ডোমেনগুলির একটি বিশ্বাসের সম্পর্ক থাকতে হবে, অথবা ক্লায়েন্ট এবং সার্ভার উভয়কেই একই ডোমেনে যুক্ত হতে হবে৷
6. রিমোট ডেস্কটপ গেটওয়ে রিমোট ক্রেডেনশিয়াল গার্ডের সাথে সামঞ্জস্যপূর্ণ নয়৷
7. টার্গেট ডিভাইসে কোনো শংসাপত্র ফাঁস করা হয় না। যাইহোক, টার্গেট ডিভাইস এখনও কারবারোস সার্ভিস টিকিট নিজেরাই অর্জন করে।
8. অবশেষে, আপনাকে অবশ্যই সেই ব্যবহারকারীর শংসাপত্র ব্যবহার করতে হবে যিনি ডিভাইসে লগ ইন করেছেন। সংরক্ষিত শংসাপত্র বা শংসাপত্র যা আপনার থেকে আলাদা তা ব্যবহার করার অনুমতি নেই৷

আপনি টেকনেটে এই বিষয়ে আরও পড়তে পারেন৷

সম্পর্কিত :কিভাবে Windows 10 এ রিমোট ডেস্কটপ সংযোগের সংখ্যা বাড়াতে হয়।