限制委派認證給遠端伺服器

在「受限的系統管理」或 Remote Credential Guard 模式中執行時,參與的應用程式不會將登入的認證或提供的認證公開給遠端主機。因為未委派認證,所以「受限的系統管理」可以限制存取位於遠端主機以外之其他伺服器或網路上的資源。Remote Credential Guard 會將所有要求重新導向回用戶端裝置,因此不會限制存取資源。

參與的應用程式:
遠端桌面用戶端

若啟用此原則設定,則支援下列選項:
 
限制認證委派: 參與的應用程式必須使用「受限的系統管理」或 Remote Credential Guard,才能連線到遠端主機。
 
要求使用 Remote Credential Guard: 參與的應用程式必須使用 Remote Credential Guard,才能連線到遠端主機。
 
要求使用受限的系統管理: 參與的應用程式必須使用「受限的系統管理」,才能連線到遠端主機。

若停用或未設定此原則設定,則不會強制使用「受限的系統管理」和 Remote Credential Guard 模式,而且參與的應用程式可以將認證委派給遠端裝置。

注意: 若要停用大多數的認證委派,只要透過修改 [系統管理範本] 設定 (位於 [電腦設定\系統管理範本\系統\認證委派]) 以在「認證安全性支援提供者」(CredSSP) 中拒絕委派即可。

注意: 在 Windows 8.1 與 Windows Server 2012 R2 上,不論選擇的模式為何,只要啟用此原則就會強制使用「受限的系統管理」模式。這些版本不支援 Remote Credential Guard。

支援的作業系統: 至少需要 Windows Server 2012 R2、Windows 8.1 或 Windows RT 8.1

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
Value NameRestrictedRemoteAdministration
Value TypeREG_DWORD
Enabled Value1
Disabled Value0

使用下列受限模式:


  1. 限制認證委派
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value3
  2. 要求使用 Remote Credential Guard
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value2
  3. 要求使用受限的系統管理
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Microsoft\Windows\CredentialsDelegation
    Value NameRestrictedRemoteAdministrationType
    Value TypeREG_DWORD
    Value1


credssp.admx

系統管理範本 (電腦)

系統管理範本 (使用者)