„Windows Credential Guard“ yra saugos funkcija, kuri apsaugo autentifikavimo kredencialus nuo kenkėjiškų atakų. Tai neleidžia įsilaužėliams sugadinti sistemos įrankių arba paleisti kenkėjiškų kodų jūsų kompiuteryje. Ši funkcija pasiekiama „Windows 10“ ir „Windows 11“ versijos „Enterprise“ ir „Pro“ versijose. Turėtumėte apsvarstyti galimybę įgalinti Credential Guard, jei tvarkote arba pasiekiate slaptus duomenis vietoje arba nuotoliniu būdu Windows domene arba darbo grupėje.
Kas tiksliai yra Credential Guard?
Kai paleidžiate kompiuterį, procesas, vadinamas Local Security Authority Server Service (LSASS), patvirtina prisijungimo kredencialus ir suteikia jums prieigą. LSASS taip pat saugo šiuos kredencialus (užšifruoti slaptažodžiai, NT maišos, LM maišos ir Kerberos bilietai) atmintyje aktyvių seansų metu, todėl jums nereikės iš naujo įvesti slaptažodžio kiekvieną kartą, kai reikia atlikti pakeitimus ar pasiekti failus.
Kredencialų išsaugojimas atmintyje seansų metu yra patogus, palyginti su alternatyva: rankiniu tapatybės autentifikavimu kiekviename žingsnyje. Tiesa, kartais įvedant autentifikavimo kredencialus, padidėja saugumas. Tačiau autentifikavimo kredencialai yra ilgi, ypač maišytos formos. Būtų ypač nepatogu, jei tektų greitai atlikti pakeitimą, o jei suklydote ir tektų iš naujo įvesti slaptažodį, tai būtų ypač nemalonu. Ir jei turėsite kur nors užsirašyti slaptažodį, tai gali padidinti jūsų saugumo riziką. LSASS tvarko autentifikavimą, todėl jūsų įrenginio naudojimas yra efektyvus.
Tačiau, kaip galite įsivaizduoti, su viskuo, kas saugo vertingus, neskelbtinus duomenis, LSASS yra įsilaužėlių pagrindinis prizas. Jie gali pažeisti LSASS kredencialų vagystės atakos naudojant tokius įrankius kaip Mimikatz, Crackmapexec ir Lsassy. Piratai naudoja šiuos įrankius norėdami ištrinti, pakeisti arba pakeisti tikrąjį sistemos failą (lsass.exe).
Yra būdų, kaip sustabdyti kredencialų vagystę, kol įsilaužėlis nepadaro didžiulės žalos, o ataką galima sustabdyti ją atradus. Tačiau geriau iš pradžių užkirsti kelią atakai. Credential Guard apsaugo nuo kenkėjiškų atakų sukurdama izoliuotą LSASS procesą (LSAIso), kuris saugiai saugo autentifikavimo duomenis.
Kodėl turėtumėte įjungti kredencialų apsaugą savo kompiuteryje
Saugos funkcija išskiria prisijungimo kredencialus nuo likusios sistemos atminties, taip pat pagrindinio proceso (lsass.exe), kuris tvarko autentifikavimą. Taigi, iš esmės tai yra juodoji dėžė.
Turėtumėte naudoti Credential Guard, jei turite kelis kompiuterius, kurie yra domeno arba darbo grupės dalis. Kodėl? Užpuolikas, kuris pažeidžia įrenginį su administratoriaus prisijungimo duomenimis, gali pažeisti visą tinklą. Įjungus šią funkciją, užpuolikas negali visiškai valdyti neskelbtinos informacijos, jei pažeidžia sistemą.
Jūsų sistema turi atitikti reikalavimus
„Windows Credential Guard“ yra išskirtinė „Enterprise“ ir „Pro“ versijos „Windows 10“ ir „Windows 11“. Naujausios „Windows Server“ versijos taip pat turi šią saugos funkciją, tačiau įrenginys turi atitikti griežtus techninės ir programinės įrangos reikalavimus.
Pradedantiesiems įrenginys turi turėti 64 bitų procesorių (siekiant palaikyti virtualizavimu pagrįstą saugą) ir saugią įkrovą. „Microsoft“ taip pat rekomenduoja turėti Patikimos platformos modulis (TPM) 1.2 arba 2.0 versijos ir UEFI užraktas (kad užpuolikai negalėtų apeiti saugos sąrankos naudojant regedit). Galite patikrinti pradiniai reikalavimai pagal kompiuterį ar serverį, kurį norite apsaugoti.
Kaip įjungti kredencialų apsaugą sistemoje „Windows“.
Jūsų kompiuteryje arba serveryje Credential Guard bus įjungtas pagal numatytuosius nustatymus, jei jis atitiks „Microsoft“ pagrindinius reikalavimus. Norėdami patikrinti, ar ši saugos funkcija jau įjungta, paspauskite Pradėti tada įveskite „msinfo32.exe“. Pasirinkite Sistemos informacija > Sistemos suvestinė. Greta vienas kito turėtumėte matyti „Virtualizavimu pagrįstos saugos paslaugos“ ir „Kredencialų apsauga, „Hypervisor“ vykdomas kodo vientisumas“.
Jei kredencialų apsauga jūsų kompiuteryje neįjungta, šią funkciją galite įjungti trimis pagrindiniais būdais: naudodami grupės politiką, redaguodami „Windows“ registrą arba naudodami „Microsoft Intune“. Taip pat yra galimybė įjungti Credential Guard su UEFI užraktu, jei esate galingas vartotojas. Daugeliui administratorių šią funkciją įjungti bus lengviau naudojant grupės politiką.
Kaip išjungti kredencialų apsaugą sistemoje „Windows“.
Nepaisant naudingumo užkertant kelią kredencialų vagystei ir „Pass the Hash“ atakoms, „Credential Guard“ sugadins kai kurias paslaugas ir protokolus. Pavyzdžiui, įjungus saugos funkciją, negalima naudoti „Windows To Go“, nevaržomo „Kerberos“ delegavimo ir DES šifravimo.
Be to, negalite naudoti trečiųjų šalių saugos palaikymo paslaugų teikėjų (SSP), nes jie yra pažeidžiami kredencialų vagystės atakų. „Wi-Fi“ ir VPN galutiniai taškai, pagrįsti MS-CHAPv2, yra vienodai pažeidžiami ir bus išjungti, kai įgalinsite kredencialų apsaugą.
Jei jums reikia kai kurių iš pirmiau minėtų funkcijų, galite išjungti „Credential Guard“ tiek ilgai, kiek jums reikia. Tačiau būtinai nustatykite priminimą, kad jį vėl įjungtumėte.
Išjungimas naudojant grupės strategijos rengyklę
Pirmoji galimybė yra išjungti Credential Guard pakeitus grupės strategijos nustatymus.
Norėdami tai padaryti, paspauskite Pradėti ir įveskite „gpedit“, tada pasirinkite Redaguoti grupės politiką. Eiti į Kompiuterio konfigūracija > Administravimo šablonai > Sistema > Įrenginio apsauga > Įjungti virtualizavimu pagrįstą saugą > Parinktys. Nustatykite „Kredencialų apsaugos konfigūracija“ į Išjungta, spustelėkite Gerai kad išsaugotumėte pakeitimą ir iš naujo paleiskite kompiuterį.
Išjungimas naudojant Regedit
Ši parinktis yra puiki, jei įjungėte „Defender Credential Guard“ naudodami kitą metodą nei UEFI užraktas ir grupės politika. Norėdami išjungti Credential Guard su Regedit, paspauskite Pradėti ir įveskite „regedit“. Pasirinkite Registro redaktorius. Pirmiausia eikite į failo kelią HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags ir nustatykite reikšmę „0“.
Tada grįžkite į HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags ir nustatykite reikšmę į „0“.
Taip pat galite sekti „Microsoft“ instrukcijos Norėdami išjungti Credential Guard su UEFI užraktu arba išjungti saugos funkciją virtualioje mašinoje.
Kredito duomenų apsaugos įjungimas yra tik prevencija
Nykščio taisyklė – prieš sodindami aplink sodą įrenkite tvorą, ypač jei gyvenate vietovėje, kurioje laisvai keliauja gyvuliai. Ta tvora būtų nenaudinga, jei savo nuosavybėje jau turite ožkų – tokiu atveju turėsite jas išvyti.
Tas pats principas taikomas jūsų neskelbtinų prisijungimo duomenų apsaugai. Kai įjungta, Credential Guard neleidžia įsilaužėliams pavogti jūsų duomenų. Tačiau būtų neveiksminga, jei užpuolikas jau įsitvirtino jūsų tinkle arba sugadino įrenginį. Taigi, jei nuspręsite naudoti šią saugos funkciją naujame darbo kompiuteryje, įsitikinkite, kad ji įjungta prieš kompiuteriui prisijungiant prie „Windows“ domeno arba darbo grupės.
