Windows Credential Guard on turvafunktsioon, mis kaitseb autentimismandaate pahatahtlike rünnakute eest. See takistab häkkeritel süsteemitööriistu rikkumast või teie arvutis pahatahtlike koodide käivitamist. See funktsioon on saadaval Windows 10 ja Windows 11 Enterprise ja Pro versioonides. Kui käsitlete tundlikke andmeid Windowsi domeenis või töörühmas lokaalselt või eemalt või neile pääsete juurde, peaksite kaaluma Credential Guardi lubamist.
Mis on Credential Guard täpselt?
Kui käivitate arvuti, autentib protsess nimega Local Security Authority Server Service (LSASS) sisselogimismandaadid ja annab teile juurdepääsu. LSASS salvestab ka need mandaadid (krüpteeritud paroolid, NT räsid, LM räsid ja Kerberose piletid) aktiivsete seansside ajal mällu, nii et te ei pea oma parooli iga kord uuesti sisestama, kui peate muudatusi tegema või failidele juurde pääsema.
Mandaatide salvestamine seansside ajal mällu on mugav võrreldes alternatiiviga: identiteedi käsitsi autentimine igal sammul. Tõsi, autentimismandaatide aeg-ajalt sisestamine parandab turvalisust. Kuid autentimismandaadid on pikad, eriti nende räsitud kujul. See oleks eriti ebamugav, kui peaksite muudatuse kiiresti tegema ja eriti masendav, kui teete vea ja peate parooli uuesti sisestama. Ja kui peate parooli kuhugi üles kirjutama, võib see teie turvariski potentsiaalselt suurendada. LSASS tegeleb autentimisega, nii et teie seadme kasutamine on tõhus.
Kuid nagu võite ette kujutada, on LSASS häkkerite jaoks jackpot kõigega, mis salvestab väärtuslikke tundlikke andmeid. Nad võivad LSASS-i kahjustada mandaadi varastamise rünnakud kasutades selliseid tööriistu nagu Mimikatz, Crackmapexec ja Lsassy. Häkkerid kasutavad neid tööriistu tegeliku süsteemifaili (lsass.exe) kustutamiseks, asendamiseks või muutmiseks.
Mandaatide varastamise peatamiseks enne, kui häkker tohutut kahju teeb, on viise ja rünnak on võimalik peatada, kui olete selle avastanud. Siiski on parem rünnak ennetada. Credential Guard kaitseb pahatahtlike rünnakute eest, luues isoleeritud LSASS-protsessi (LSAIso), mis salvestab autentimisandmed turvaliselt.
Miks peaksite oma arvutis lubama Credential Guardi?
Turvafunktsioon isoleerib sisselogimismandaadid ülejäänud süsteemi mälust ja põhiprotsessist (lsass.exe), mis käsitleb autentimist. Seega on see sisuliselt must kast.
Kui teil on mitu domeeni või töörühma kuuluvat arvutit, peaksite kasutama Credential Guardi. Miks? Ründaja, kes ohustab seadet administraatori sisselogimismandaatidega, võib ohustada kogu võrku. Selle funktsiooni lubamine takistab tõhusalt ründajal saamast täielikku kontrolli tundliku teabe üle, kui nad süsteemi ohustavad.
Teie süsteem peab vastama nõuetele
Windows Credential Guard on eksklusiivne Windows 10 ja 11 Enterprise ja Pro versioonidele. Ka Windows Serverite viimastel versioonidel on see turvafunktsioon olemas, kuid seade peab vastama rangetele riist- ja tarkvaranõuetele.
Alustuseks peab seadmel olema 64-bitine protsessor (virtualiseerimispõhise turvalisuse toetamiseks) ja turvaline alglaadimine. Microsoft soovitab samuti omada Usaldusväärse platvormi moodul (TPM) versioonid 1.2 või 2.0 ja UEFI lukk (et takistada ründajatel regediti abil turvaseadetest mööda minna). Saate kontrollida põhinõuded põhineb arvutil või serveril, mida soovite kaitsta.
Kuidas lubada Windowsis Credential Guard
Teie arvutis või serveris on Credential Guard vaikimisi lubatud, kui see vastab Microsofti põhinõuetele. Kontrollimaks, kas see turvafunktsioon on juba lubatud, vajutage Alusta seejärel tippige "msinfo32.exe". Valige Süsteemiteave > Süsteemi kokkuvõte. Peaksite kõrvuti nägema "Virtualiseerimispõhised turbeteenused töötavad" ja "Mandaadivalvur, hüperviisori jõustatud koodi terviklikkus".
Kui Credential Guard pole teie arvutis lubatud, saate selle funktsiooni lubada kolmel peamisel viisil: rühmapoliitika kaudu, Windowsi registri redigeerimise või Microsoft Intune'i abil. Samuti on võimalus lubada UEFI-lukuga Credential Guard, kui olete kogenud kasutaja. Enamiku administraatorite jaoks on selle funktsiooni lubamine rühmapoliitika abil lihtsam.
Kuidas keelata Windowsis Credential Guard
Vaatamata selle kasulikkusele mandaatide varastamise ja Pass the Hash rünnakute ärahoidmisel, põhjustab Credential Guard mõne teenuse ja protokolli katkemise. Näiteks takistab turvafunktsiooni lubamine teil kasutada Windows To Go, Kerberose piiramatut delegeerimist ja DES-krüptimist.
Samuti ei saa te kasutada kolmanda osapoole turbetoe pakkujaid (SSP), kuna need on mandaadi varastamise rünnakute suhtes haavatavad. MS-CHAPv2-l põhinevad Wi-Fi ja VPN-i lõpp-punktid on võrdselt haavatavad ja need keelatakse, kui lubate Credentials Guardi.
Kui vajate mõnda ülalnimetatud funktsiooni, saate Credential Guardi keelata nii kauaks kui vaja. Kuid määrake selle uuesti lubamiseks kindlasti meeldetuletus.
Keelamine rühmapoliitika redaktoriga
Esimene võimalus on Credential Guard keelata, muutes rühmapoliitika sätteid.
Selleks vajutage Alusta ja tippige "gpedit", seejärel valige Redigeerige rühmapoliitikat. Minema Arvuti konfiguratsioon > Haldusmallid > Süsteem > Seadme valvur > Lülita sisse virtualiseerimisel põhinev turvalisus > Valikud. Määrake "Mandaadivalve konfiguratsioon" väärtuseks Keelatud, klõpsake Okei muudatuse salvestamiseks ja seejärel arvuti taaskäivitamiseks.
Keelamine Regediti abil
See valik on suurepärane, kui olete lubanud Defender Credential Guardi, kasutades UEFI lukust ja rühmapoliitikast erinevat meetodit. Credential Guardi keelamiseks Regediti abil vajutage Alusta ja tippige "regedit". Valige Registriredaktor. Kõigepealt liikuge failiteele HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags ja määrake väärtuseks "0".
Järgmisena liikuge tagasi jaotisesse HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags ja määrake väärtuseks "0".
Saab ka jälgida Microsofti juhised UEFI-lukuga Credential Guardi või virtuaalmasina turbefunktsiooni keelamiseks.
Mandaadivalve lubamine on vaid ennetus
Rusikareegel on paigaldada enne istutamist oma aia ümber tara, eriti kui elate piirkonnas, kus kariloomad on vabalt ringi liikumas. See tara oleks kasutu, kui teie kinnistul juba on kitsed – sellisel juhul peate nad välja ajama.
Sama põhimõte kehtib teie tundlike sisselogimisandmete kaitsmisel. Kui see on lubatud, takistab Credential Guard häkkeritel teie andmeid varastada. See oleks aga ebaefektiivne, kui ründaja on end teie võrku juba sisse seadnud või seadme ohtu seadnud. Seega, kui otsustate kasutada seda turvafunktsiooni uues tööarvutis, veenduge, et see oleks lubatud, enne kui arvuti Windowsi domeeni või töörühmaga liitub.