قم بتفعيل Microsoft Defender Credential Guard و Exploit Guard

موندوبايت » تطبيقات الكمبيوتر » كيفية تفعيل Microsoft Defender Credential Guard و Exploit Guard

يقوم برنامج Microsoft Defender Credential Guard بعزل بيانات الاعتماد باستخدام الأمان القائم على المحاكاة الافتراضية، مما يجعل من الصعب مهاجمتها بهجمات مثل Pass-the-Hash و Pass-the-Ticket.
يمكن تفعيل Credential Guard باستخدام Intune أو Group Policy أو Registry، مع مراعاة متطلبات الأجهزة والبرامج الثابتة والترخيص.
يؤثر تفعيل Credential Guard على البروتوكولات والوظائف القديمة، لذلك من الضروري التحقق من توافق التطبيق.
بالإضافة إلى برنامج مكافحة الفيروسات Microsoft Defender و Exploit Guard، فإنه يوفر حماية قوية ضد سرقة بيانات الاعتماد واستغلال الثغرات الأمنية.

تكوين حماية بيانات اعتماد Microsoft Defender وحماية الاستغلال

حماية بيانات الاعتماد في نظام ويندوز وتحصين النظام ضد الثغرات الأمنية أصبح هذا الأمر شبه إلزامي في أي بيئة عمل حديثة. تستغل هجمات مثل Pass-the-Hash وPass-the-Ticket، أو استغلال ثغرات اليوم الصفر، أي قصور في الإعدادات للتنقل أفقيًا عبر الشبكة والسيطرة على الخوادم ومحطات العمل في غضون دقائق.

في هذا السياق، تقنيات Microsoft Defender Credential Guard و Exploit Guard تُعدّ هذه المكونات (إلى جانب محرك مكافحة الفيروسات Microsoft Defender) عناصر أساسية في استراتيجية الأمان في أنظمة التشغيل Windows 10 وWindows 11 وWindows Server. ستتعرف في السطور التالية، خطوة بخطوة وبشكل مفصل، على كيفية عملها ومتطلباتها، وكيفية تفعيلها أو تعطيلها بشكل صحيح باستخدام Intune وGroup Policy وRegistry وPowerShell وغيرها من الأدوات، مع تجنب أي خلل غير ضروري في التوافق.

ما هو برنامج Microsoft Defender Credential Guard ولماذا هو مهم للغاية؟

ميزة حماية بيانات الاعتماد في ويندوز ديفندر هي ميزة أمان تُقدّم مايكروسوفت هذه الميزة في نظامي التشغيل ويندوز 10 إنتربرايز وويندوز سيرفر 2016، وتعتمد على الأمان القائم على المحاكاة الافتراضية (VBS) لعزل بيانات المصادقة السرية. فبدلاً من أن تتولى سلطة الأمان المحلية (LSA) إدارة بيانات الاعتماد المخزنة في الذاكرة مباشرةً، يتم استخدام عملية LSA معزولة.LSAIso.exe) يتم تنفيذه في بيئة محمية.

بفضل هذا العزل، لا يمكن الوصول إلى تجزئات NTLM وتذاكر Kerberos (TGT) إلا بواسطة برامج النظام التي تتمتع بالصلاحيات المناسبة.لم تعد بيانات الاعتماد المستخدمة من قِبل مدير بيانات الاعتماد، وتسجيلات الدخول المحلية، وبيانات الاعتماد المستخدمة في اتصالات مثل سطح المكتب البعيد متاحة. أي برنامج خبيث يحاول قراءة ذاكرة عملية LSA التقليدية مباشرةً سيجد أن هذه البيانات السرية قد فُقدت.

يقلل هذا النهج بشكل كبير من فعالية أدوات ما بعد الاستغلال التقليدية مثل ميميكاتز لهجمات تمرير التجزئة أو تمرير التذكرةويرجع ذلك إلى أن التجزئات والتذاكر التي كان من السهل استخراجها سابقًا أصبحت الآن موجودة في حاوية معزولة في الذاكرة لا يمكن للبرامج الضارة الرجوع إليها بسهولة، حتى لو كانت لديها امتيازات المسؤول على النظام المخترق.

ومن الجدير توضيح ذلك حماية بيانات الاعتماد ليست هي نفسها حماية الجهازبينما يحمي نظام Credential Guard بيانات الاعتماد والأسرار، يركز نظام Device Guard (وتقنيات التحكم في التطبيقات ذات الصلة) على منع تشغيل التعليمات البرمجية غير المصرح بها على الكمبيوتر. وهما نظامان متكاملان، لكنهما يحلان مشكلات مختلفة.

ومع ذلك، لا يُعدّ برنامج Credential Guard حلاً سحرياً ضد ميميكاتز أو ضد المهاجمين من الداخل.يمكن للمهاجم الذي يسيطر بالفعل على نقطة نهاية أن يلتقط بيانات الاعتماد أثناء إدخال المستخدم لها (على سبيل المثال، باستخدام برنامج تسجيل ضغطات المفاتيح أو عن طريق حقن شيفرة في عملية المصادقة). كما أنه لا يمنع الموظف الذي لديه صلاحية الوصول إلى بيانات معينة من نسخها أو تسريبها؛ إذ يحمي Credential Guard بيانات الاعتماد في الذاكرة، وليس سلوك المستخدم.

يتم تمكين ميزة Credential Guard افتراضيًا في نظامي التشغيل Windows 11 وWindows Server

في الإصدارات الحديثة من نظام التشغيل ويندوز، يتم تفعيل ميزة Credential Guard تلقائيًا في كثير من الحالات.ابتداءً من Windows 11 22H2 و Windows Server 2025، تتلقى الأجهزة التي تستوفي متطلبات معينة للأجهزة والبرامج الثابتة والتكوين تمكين VBS و Credential Guard بشكل افتراضي، دون أن يضطر المسؤول إلى القيام بأي شيء.

في هذه الأنظمة، يتم التمكين الافتراضي بدون قفل UEFIهذا يعني أنه على الرغم من تمكين Credential Guard بشكل افتراضي، إلا أنه يمكن للمسؤول تعطيله عن بعد لاحقًا عبر نهج المجموعة أو Intune أو طرق أخرى، لأن خيار القفل لم يتم تفعيله في البرامج الثابتة.

عندما تم تفعيل Credential Guard، وتم تمكين الأمان القائم على المحاكاة الافتراضية (VBS) أيضًا.VBS هو المكون الذي يقوم بإنشاء البيئة المحمية حيث يتم عزل LSAs وتخزين الأسرار، لذا فإن كلا الميزتين تسيران جنبًا إلى جنب في هذه الإصدارات.

ومن الفروق الدقيقة المهمة أن تسود القيم التي يحددها المسؤول بشكل صريح دائمًا. تتجاوز الإعدادات الافتراضية. إذا تم تمكين أو تعطيل Credential Guard عبر Intune أو GPO أو سجل النظام، فإن هذه الحالة اليدوية تحل محل حالة التمكين الافتراضية بعد إعادة تشغيل الكمبيوتر.

علاوة على ذلك ، إذا تم تعطيل ميزة Credential Guard بشكل صريح في أحد الأجهزة قبل الترقية إلى إصدار من نظام التشغيل Windows يقوم بتمكينها افتراضيًا.سيحترم الجهاز هذا التعطيل بعد التحديث ولن يتم تشغيله تلقائيًا، إلا إذا تم تغيير تكوينه مرة أخرى باستخدام إحدى أدوات الإدارة.

متطلبات النظام والأجهزة والبرامج الثابتة والترخيص

حتى يتمكن برنامج حماية البيانات من توفير حماية حقيقيةيجب أن تستوفي المعدات متطلبات محددة للأجهزة والبرامج الثابتة والبرامج. وكلما كانت إمكانيات المنصة أفضل، ارتفع مستوى الأمان الذي يمكن تحقيقه.

أولا، وحدة المعالجة المركزية 64 بت إلزامية والتوافق مع أنظمة الأمان القائمة على المحاكاة الافتراضية. وهذا يعني أن المعالج واللوحة الأم يجب أن يدعما ملحقات المحاكاة الافتراضية المناسبة، بالإضافة إلى تفعيل هذه الميزات في UEFI/BIOS.

عنصر حاسم آخر هو التمهيد الآمن (التمهيد الآمن)يضمن التمهيد الآمن بدء تشغيل النظام بتحميل البرامج الثابتة والبرامج الموثوقة والموقعة فقط. ويُستخدم التمهيد الآمن من قِبل VBS وCredential Guard لمنع المهاجمين من تعديل مكونات التمهيد لتعطيل الحماية أو التلاعب بها.

على الرغم من أنها ليست إلزامية تماماً، إلا أن امتلاك واحدة يُنصح به بشدة. وحدة النظام الأساسي الموثوقة (TPM) الإصدار 1.2 أو 2.0سواء كانت منفصلة أو تعتمد على البرامج الثابتة، فإن وحدة TPM تسمح بربط أسرار ومفاتيح التشفير بالأجهزة، مما يضيف طبقة إضافية تعقد الأمور بشكل خطير لأي شخص يحاول نقل أو إعادة استخدام تلك الأسرار على جهاز آخر.

كل شيء عن certmgr.msc: استخدام الشهادة والميزات والإدارة في Windows

كما يُنصح بشدة بتمكين قفل UEFI لـ Credential Guardيمنع هذا أي شخص لديه صلاحية الوصول إلى النظام من تعطيل الحماية بمجرد تعديل مفتاح التسجيل أو السياسة. ومع تفعيل القفل، يتطلب تعطيل Credential Guard إجراءً أكثر دقة ووضوحًا.

في مجال الترخيص، لا يتوفر Credential Guard في جميع إصدارات Windowsبشكل عام، يتم دعمه في إصدارات المؤسسات والتعليم: يدعم Windows Enterprise وWindows Education هذه الميزة، بينما لا يتضمنها Windows Pro أو Pro Education/SE بشكل افتراضي.

الكثير ترتبط حقوق استخدام Credential Guard بتراخيص اشتراك معينة، مثل Windows Enterprise E3 و E5، بالإضافة إلى Windows Education A3 و A5. أما إصدارات Pro، من حيث الترخيص، فلا يحق لها الحصول على هذه الوظائف المتقدمة، على الرغم من أنها تعمل بنفس ملف نظام التشغيل الثنائي.

توافق التطبيقات والميزات المقفلة

قبل نشر Credential Guard على نطاق واسعيُنصح بمراجعة التطبيقات والخدمات التي تعتمد على آليات مصادقة محددة بدقة. فليست كل البرامج القديمة متوافقة مع هذه الحمايات، وبعض البروتوكولات محظورة بشكل مباشر.

عند تفعيل ميزة حماية بيانات الاعتماد، يتم تعطيل الميزات التي تُعتبر محفوفة بالمخاطر، وذلك لكي تتوقف التطبيقات التي تعتمد عليها عن العمل بشكل صحيحهذه تُعرف بمتطلبات التطبيق: وهي الشروط التي يجب تجنبها إذا كنت ترغب في الاستمرار في استخدام Credential Guard دون وقوع أي حوادث.

من بين الميزات التي يتم حظرهم مباشرة تشمل ما يلي:

التوافق مع تشفير Kerberos DES.
تفويض صلاحيات الكيربيروس دون قيود.
استخراج TGT من Kerberos من LSA.
بروتوكول NTLMv1.

وبالإضافة إلى ذلك، هناك ميزات، وإن لم تكن محظورة تمامًا، إلا أنها تنطوي على مخاطر إضافية في حال استخدامها مع Credential Guard. تُعتبر التطبيقات التي تعتمد على المصادقة الضمنية، أو تفويض بيانات الاعتماد، أو MS-CHAPv2، أو CredSSP حساسة بشكل خاص، حيث يمكن أن تكشف بيانات الاعتماد بشكل غير آمن إذا لم يتم تكوينها بعناية.

وقد لوحظ أيضا مشاكل في الأداء في التطبيقات التي تحاول الارتباط أو التفاعل مباشرة مع العملية المعزولة LSAIso.exeنظراً لأن هذه العملية محمية ومعزولة، فإن أي محاولات وصول متكررة قد تضيف عبئاً إضافياً أو تتسبب في تباطؤ في سيناريوهات محددة.

الشي الجيد هو الخدمات والبروتوكولات الحديثة التي تستخدم Kerberos كمعيارتستمر وظائف مثل الوصول إلى موارد SMB المشتركة أو سطح المكتب البعيد المُهيأ بشكل صحيح في العمل بشكل طبيعي ولا تتأثر بتفعيل Credential Guard، طالما أنها لا تعتمد على الوظائف القديمة المذكورة أعلاه.

كيفية تفعيل خدمة Credential Guard: Intune وGPO والسجل

تعتمد الطريقة المثلى لتفعيل Credential Guard على حجم بيئتك وإدارتها.بالنسبة للمؤسسات التي تستخدم أنظمة إدارة حديثة، يُعدّ Microsoft Intune (MDM) خيارًا مناسبًا للغاية، بينما في بيئات Active Directory التقليدية، لا تزال سياسة المجموعة شائعة الاستخدام. ولإجراء تعديلات أكثر دقة أو عمليات أتمتة محددة، يبقى سجل النظام خيارًا متاحًا.

أولاً وقبل كل شيء، من الضروري فهم أن يجب تفعيل خدمة Credential Guard قبل ربط الكمبيوتر بالمجال. أو قبل تسجيل دخول مستخدم النطاق لأول مرة. إذا تم تفعيلها لاحقًا، فقد تكون بيانات المستخدم والجهاز السرية قد تعرضت للاختراق بالفعل، مما يقلل من الفائدة الفعلية للحماية.

بشكل عام، يمكنك تفعيل خدمة حماية بيانات الاعتماد عن طريق:

إدارة Microsoft Intune / MDM.
سياسة المجموعة (GPO) في Active Directory أو محرر السياسات المحلية.
التعديل المباشر لسجل نظام التشغيل ويندوز.

بتطبيق أي من هذه الإعدادات، لا تنس أن إعادة تشغيل الجهاز أمر إلزامي. لكي تدخل التغييرات حيز التنفيذ، يتم تهيئة Credential Guard وVBS وجميع مكونات العزل عند بدء التشغيل، لذا فإن تغيير السياسة ببساطة ليس كافيًا.

تفعيل حماية بيانات الاعتماد باستخدام Microsoft Intune

إذا كنت تدير أجهزتك باستخدام Intune، فلديك نهجان الخيارات الرئيسية: استخدام قوالب أمان نقطة النهاية أو استخدام سياسة مخصصة تقوم بتكوين DeviceGuard CSP عبر OMA-URI.

على بوابة Intune، يمكنك الانتقال إلى "أمان نقطة النهاية > حماية الحساب" ثم أنشئ سياسة حماية حساب جديدة. حدد النظام الأساسي "Windows 10 والإصدارات الأحدث" ونوع الملف الشخصي "حماية الحساب" (بمختلف أنواعه، حسب الإصدار المتاح).

عند ضبط الإعدادات، قم بتعيين خيار "تشغيل حماية بيانات الاعتماد" إلى "تمكين مع قفل UEFI" إذا كنت ترغب في منع تعطيل الحماية عن بعد بسهولة، فإن Credential Guard "مثبت" في البرامج الثابتة، مما يرفع مستوى الأمان المادي والمنطقي للجهاز.

بمجرد تحديد المعايير، قم بتعيين السياسة لمجموعة تحتوي على الأجهزة أو كائنات المستخدم التي تريد حمايتها.سيتم تطبيق السياسة عند مزامنة الجهاز مع Intune، وبعد إعادة التشغيل المقابلة، سيتم تفعيل Credential Guard.

إذا كنت تفضل التحكم في التفاصيل الدقيقة، يمكنك استخدام سياسة مخصصة تستند إلى موفر خدمة التشفير DeviceGuard CSPوللقيام بذلك، من الضروري إنشاء إدخالات OMA-URI بالأسماء والقيم المناسبة، على سبيل المثال:

ترتيب
اسمتفعيل الأمان القائم على المحاكاة الافتراضية OMA-URI: `./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity` نوع البيانات: عدد صحيح بسالة: `1`
اسمتكوين حماية بيانات الاعتماد OMA-URI: `./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags` نوع البيانات: عدد صحيح بسالة: مُمَكَّن بقفل UEFI: `1` مُمَكَّن بدون حظر: `2`

بعد تطبيق هذه السياسة المخصصة وإعادة التشغيل، سيبدأ تشغيل الجهاز مع تفعيل كل من VBS و Credential Guard.وسيتم حماية بيانات اعتماد النظام في الحاوية المعزولة.

قم بتكوين Credentential Guard باستخدام نهج المجموعة

في بيئات تستخدم Active Directory التقليديأسهل طريقة لتفعيل ميزة Credential Guard بشكل جماعي هي عبر كائنات نهج المجموعة (GPOs). يمكنك القيام بذلك إما من محرر النهج المحلي على جهاز كمبيوتر واحد أو من مدير نهج المجموعة على مستوى النطاق.

يفتح Word المستندات في وضع القراءة ولا يسمح لك بالحفظ: الأسباب والحلول

لتكوين السياسة، افتح محرر GPO المقابل وانتقل إلى المسار تكوين الكمبيوتر > القوالب الإدارية > النظام > حماية الجهازستجد في ذلك القسم سياسة "تمكين الأمان القائم على المحاكاة الافتراضية".

يُرسي هذا التوجيه في حدد "مُمكّن" واختر إعدادات Credential Guard التي تريدها من القائمة المنسدلة.يمكنك الاختيار بين "مُمكّن مع قفل UEFI" أو "مُمكّن بدون قفل"، وذلك حسب مستوى الحماية المادية التي تريد تطبيقها.

بمجرد تكوين سياسة المجموعة، قم بربطه بالوحدة التنظيمية أو النطاق الذي توجد فيه أجهزة الكمبيوتر المستهدفةيمكنك ضبط تطبيقها بدقة باستخدام تصفية مجموعة الأمان أو عوامل تصفية WMI، بحيث يتم تطبيقها فقط على أنواع معينة من الأجهزة (على سبيل المثال، فقط على أجهزة الكمبيوتر المحمولة الخاصة بالشركات ذات الأجهزة المتوافقة).

عندما تتلقى الآلات التوجيه وتعيد التشغيل، سيتم تفعيل خدمة حماية بيانات الاعتماد وفقًا لتكوين سياسة المجموعة.، والاستفادة من البنية التحتية للمجال لنشرها بطريقة موحدة.

قم بتمكين ميزة حماية بيانات الاعتماد عن طريق تعديل سجل نظام التشغيل Windows

إذا كنت بحاجة إلى تحكم دقيق للغاية أو لأتمتة النشر باستخدام البرامج النصيةيمكنك ضبط إعدادات Credential Guard مباشرةً باستخدام مفاتيح التسجيل. تتطلب هذه الطريقة دقةً عالية، لأن أي قيمة غير صحيحة قد تُدخل النظام في حالة غير متوقعة.

لتفعيل الأمان القائم على المحاكاة الافتراضية وبرنامج Credential Guard، يجب عليك إنشاء أو تعديل عدة إدخالات ضمن مسارات محددةالنقاط الرئيسية هي:

ترتيب
روتا: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard` اسم: `EnableVirtualizationBasedSecurity` تيبو: `REG_DWORD` بسالة: `1` (يمكّن الأمان القائم على المحاكاة الافتراضية)
روتا: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard` اسم: `RequirePlatformSecurityFeatures` تيبو: `REG_DWORD` بسالة: `1` (باستخدام التمهيد الآمن) `3` (التمهيد الآمن + حماية DMA)
روتا: `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa` اسم: `LsaCfgFlags` تيبو: `REG_DWORD` بسالة: `1` (يُمكّن حماية بيانات الاعتماد مع قفل UEFI) `2` (يُمكّن حماية بيانات الاعتماد دون الحاجة إلى قفلها)

بعد تطبيق هذه القيم، أعد تشغيل الكمبيوتر حتى يتم تفعيل برنامج إدارة الأجهزة الافتراضية (Hypervisor) الخاص بنظام التشغيل Windows وعملية LSA المعزولة.بدون إعادة الضبط هذه، لن تؤدي تغييرات السجل إلى تفعيل حماية الذاكرة فعليًا.

كيفية التحقق من تفعيل خدمة حماية بيانات الاعتماد وعملها

انظر ما إذا كانت العملية LsaIso.exe يظهر في مدير المهام. قد يُقدّم ذلك دليلاً، لكن مايكروسوفت لا تعتبره طريقة موثوقة للتأكد من أن خدمة حماية بيانات الاعتماد تعمل. توجد إجراءات أكثر فعالية، تعتمد على أدوات النظام المدمجة.

من بين الخيارات الموصى بها لـ تحقق من حالة حماية بيانات الاعتماد تشمل هذه الأدوات معلومات النظام، وPowerShell، وعارض الأحداث. تقدم كل طريقة منظورًا مختلفًا، لذا من المفيد التعرف عليها جميعًا.

الطريقة الأكثر وضوحًا هي تلك التي معلومات النظام (msinfo32.exe)من قائمة ابدأ، قم ببساطة بتشغيل هذه الأداة، وحدد "ملخص النظام" وتحقق من قسم "تشغيل خدمات الأمان القائمة على المحاكاة الافتراضية" للتأكد من ظهور "Credential Guard" كخدمة نشطة.

إذا كنت تفضل شيئًا قابلاً للبرمجة، PowerShell هو حليفكمن خلال وحدة تحكم ذات صلاحيات مرتفعة، يمكنك تشغيل الأمر التالي:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

تشير مخرجات هذا الأمر، باستخدام رموز رقمية، إلى ما إذا كان هل تم تفعيل ميزة حماية بيانات الاعتماد على هذا الجهاز أم لا؟قيمة الرقم 0 يعني أن خدمة حماية بيانات الاعتماد معطلة.في حين يشير الرقم 1 إلى أنه مُفعّل ويعمل. كجزء من خدمات الأمان القائمة على المحاكاة الافتراضية.

وأخيرا، تتيح لك أداة عرض الأحداث مراجعة السلوك التاريخي لبرنامج Credential Guard.افتتاح eventvwr.exe من خلال الانتقال إلى "سجلات ويندوز > النظام"، يمكنك التصفية حسب مصدر حدث "WinInit" وتحديد موقع الرسائل المتعلقة بتهيئة خدمات Device Guard و Credential Guard، وهو أمر مفيد لعمليات التدقيق الدورية.

قم بتعطيل حماية بيانات الاعتماد وإدارة قفل UEFI

على الرغم من أن التوصية العامة هي إبقاء خدمة Credential Guard مفعلة في جميع الأنظمة التي تدعمها، قد يكون من الضروري تعطيلها في بعض السيناريوهات المحددة للغاية، إما لحل حالات عدم التوافق مع التطبيقات القديمة أو لتنفيذ مهام تشخيصية معينة.

الإجراء الدقيق ل يعتمد تعطيل Credential Guard على كيفية تكوينه في البداية.إذا تم تفعيل هذه الميزة بدون قفل UEFI، فما عليك سوى استعادة سياسات Intune أو GPO أو سجل النظام وإعادة تشغيل الجهاز. أما إذا تم تفعيلها مع قفل UEFI، فستكون هناك حاجة إلى خطوات إضافية لأن بعض الإعدادات مخزنة في متغيرات EFI الخاصة بالبرنامج الثابت.

في حالة محددة من تم تفعيل نظام حماية بيانات الاعتماد باستخدام قفل UEFIأولاً، يجب عليك اتباع عملية التعطيل القياسية (إعادة توجيهات أو قيم التسجيل) ثم إزالة متغيرات EFI ذات الصلة باستخدام bcdedit والفائدة SecConfig.efi باستخدام نص برمجي متقدم.

يتضمن التدفق النموذجي قم بتثبيت محرك أقراص EFI مؤقت، ثم انسخ البيانات. SecConfig.efiأنشئ مدخل شاحن جديد باستخدام bcdeditقم بضبط خياراتك لتعطيل LSA المعزول وتعيين تسلسل تمهيد مؤقت من خلال مدير تمهيد Windows، بالإضافة إلى فصل محرك الأقراص في نهاية العملية.

بعد إعادة تشغيل الكمبيوتر بهذا التكوين، قبل بدء تشغيل نظام التشغيل Windows، ستظهر رسالة تحذيرية بشأن تغيير في UEFI.يُعد تأكيد هذه الرسالة أمرًا إلزاميًا لكي تصبح التغييرات دائمة ولكي يتم تعطيل قفل Credential Guard EFI بشكل كامل في البرامج الثابتة.

إذا ما تحتاجه هو تعطيل ميزة Credent Guard على جهاز افتراضي محدد من نوع Hyper-Vيمكنك القيام بذلك من الجهاز المضيف، دون الحاجة إلى تعديل الجهاز الضيف، باستخدام PowerShell. مثال على أمر نموذجي:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

مع هذا التعديل، الآلة الافتراضية يتوقف عن استخدام VBS وبالتالي يتوقف عن تشغيل Credential Guard على الرغم من أن نظام التشغيل الضيف يدعم هذه الميزة، والتي يمكن أن تكون مفيدة في بيئات المختبرات أو الاختبارات المحددة للغاية.

حماية بيانات الاعتماد على الأجهزة الافتراضية Hyper-V

لا يقتصر نظام حماية البيانات على المعدات الماديةكما يمكنه حماية بيانات الاعتماد داخل الأجهزة الافتراضية التي تعمل بنظام التشغيل Windows في بيئات Hyper-V، مما يوفر مستوى من العزل مشابهًا لما هو متاح في الأجهزة المادية.

كيفية استعادة مقاطع الفيديو المحذوفة من CapCut على الكمبيوتر الشخصي والهاتف المحمول

في هذه المواقف، يحمي برنامج Credential Guard الأسرار من الهجمات التي تنشأ من داخل الجهاز الظاهري نفسه.بمعنى آخر، إذا قام مهاجم باختراق عمليات النظام داخل الجهاز الظاهري، فإن حماية VBS ستستمر في عزل LSAs وتقليل تعرض التجزئة والتذاكر.

ومع ذلك، من المهم توضيح الحد: لا يستطيع برنامج Credential Guard حماية الجهاز الظاهري من الهجمات التي تنشأ من المضيف مع امتيازات موسعة. يتمتع كل من المشرف على الأجهزة الافتراضية ونظام المضيف بالسيطرة الكاملة فعليًا على الأجهزة الافتراضية، لذا يمكن لمسؤول مضيف خبيث تجاوز هذه الحواجز.

لكي يعمل برنامج Credential Guard بشكل صحيح في هذه الأنواع من عمليات النشر، يجب أن يحتوي مضيف Hyper-V على وحدة إدارة الذاكرة IOMMU (وحدة إدارة ذاكرة الإدخال/الإخراج) التي تسمح بعزل الوصول إلى الذاكرة والأجهزة، ويجب أن تكون الآلات الافتراضية من الجيل الثاني، مع برنامج UEFI الثابتمما يتيح التمهيد الآمن والإمكانيات الضرورية الأخرى.

مع تطبيق هذه المتطلبات، إن تجربة استخدام Credential Guard على الأجهزة الافتراضية تشبه إلى حد كبير تجربة استخدام جهاز فعلي.بما في ذلك نفس طرق التنشيط (Intune، GPO، Registry) وطرق التحقق (msinfo32، PowerShell، Event Viewer).

برنامج Exploit Guard وبرنامج Microsoft Defender: تفعيل وإدارة الحماية العامة

إلى جانب برنامج Credential Guard، يعتمد نظام أمان Windows على برنامج Microsoft Defender Antivirus وفي تقنيات مثل Exploit Guard، والتي تتضمن قواعد تقليل سطح الهجوم، وحماية الشبكة، والتحكم في الوصول إلى المجلدات، وميزات أخرى تهدف إلى إبطاء البرامج الضارة والتخفيف من عمليات الاستغلال.

في العديد من الفرق، يأتي برنامج مكافحة الفيروسات Microsoft Defender مثبتًا ومفعلًا افتراضيًا. في أنظمة التشغيل Windows 8 و Windows 10 و Windows 11، يكون هذا الخيار متاحًا، ولكن من الشائع نسبيًا العثور عليه معطلاً بسبب السياسات السابقة أو تثبيت حلول من جهات خارجية أو التغييرات اليدوية في سجل النظام.

إلى قم بتفعيل برنامج مكافحة الفيروسات Microsoft Defender باستخدام نهج المجموعة المحلييمكنك فتح قائمة ابدأ، والبحث عن "نهج المجموعة"، ثم تحديد "تحرير نهج المجموعة". ضمن "تكوين الكمبيوتر > القوالب الإدارية > مكونات Windows > برنامج مكافحة الفيروسات Windows Defender"، سترى خيار "إيقاف تشغيل برنامج مكافحة الفيروسات Windows Defender".

إذا تم ضبط هذه السياسة على "مُمكّن"، فهذا يعني أن برنامج مكافحة الفيروسات معطل قسراً. لاستعادة وظائفها، قم بتعيين الخيار إلى "معطل" أو "غير مهيأ".طبّق التغييرات وأغلق المحرر. ستتمكن الخدمة من إعادة التشغيل بعد تحديث السياسة التالي.

إذا في ذلك الوقت تم تعطيل برنامج Defender بشكل صريح من سجل النظامسيتعين عليك التحقق من المسار HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender وحدد القيمة DisableAntiSpywareباستخدام محرر التسجيل، يمكنك فتحه وتعيين "بيانات القيمة" الخاصة به إلى 0قبول التغيير للسماح لبرنامج مكافحة الفيروسات بالعمل مرة أخرى.

بعد إجراء هذه التعديلات، انتقل إلى "ابدأ > الإعدادات > التحديث والأمان > Windows Defender" (في الإصدارات الأحدث، "أمان Windows") و تأكد من تفعيل مفتاح "الحماية في الوقت الفعلي".إذا كان لا يزال مطفأً، فقم بتشغيله يدويًا لضمان بدء تشغيل نظام مكافحة الفيروسات مع النظام.

للحصول على أقصى حماية، يُنصح قم بتمكين كل من الحماية في الوقت الفعلي والحماية السحابيةمن تطبيق "أمان ويندوز"، انتقل إلى "الحماية من الفيروسات والتهديدات > إعدادات الحماية من الفيروسات والتهديدات > إدارة الإعدادات" وقم بتنشيط المفاتيح المقابلة.

إذا لم تكن هذه الخيارات ظاهرة، فمن المحتمل أن تقوم سياسة المجموعة بإخفاء قسم الحماية من الفيروسات. في أمان ويندوز، تحقق من "تكوين الكمبيوتر > القوالب الإدارية > مكونات ويندوز > أمان ويندوز > الحماية من الفيروسات والتهديدات" وتأكد من أن سياسة "إخفاء منطقة الحماية من الفيروسات والتهديدات" مضبوطة على "معطل"، مع تطبيق التغييرات.

إنه مهم بنفس القدر حافظ على تحديث تعريفات الفيروسات يُمكّن هذا الإجراء برنامج Microsoft Defender من اكتشاف التهديدات الحديثة. من قسم أمان Windows، ضمن "الحماية من الفيروسات والتهديدات"، ثم ضمن "تحديثات الحماية من التهديدات"، انقر على "التحقق من وجود تحديثات" واسمح بتنزيل أحدث التوقيعات.

إذا كنت تفضل استخدام سطر الأوامر، فهذا خيار متاح أيضاً. يمكنك بدء خدمة Microsoft Defender من موجه الأوامر (CMD).. اضغط على Windows + R، واكتب cmd ثم، في موجه الأوامر (ويُفضل أن يكون ذلك بصلاحيات إدارية)، قم بتشغيل ما يلي:

sc start WinDefend

مع هذا الأمر، يبدأ تشغيل خدمة مكافحة الفيروسات الرئيسية بشرط عدم وجود سياسات أو قيود إضافية تمنع ذلك، مما يسمح لك بالتحقق بسرعة مما إذا كان المحرك يبدأ بدون أخطاء.

لمعرفة ما إذا كان جهاز الكمبيوتر الخاص بك يستخدم برنامج Microsoft Defender، انتقل ببساطة إلى "ابدأ > الإعدادات > النظام" ثم افتح "لوحة التحكم". في قسم "الأمان والصيانة"، ستجد قسم "أمان النظام وحمايته"، حيث سترى ملخصًا لحالة الحماية من الفيروسات والإجراءات النشطة الأخرى. في الفريق.

من خلال الجمع بين حماية بيانات الاعتماد لحماية بيانات الاعتماد المخزنة في الذاكرة مع ضبط إعدادات Microsoft Defender وExploit Guard بشكل صحيح، وتطبيق قواعد تعزيز الأمان المناسبة، يُمكن تحقيق مستوى أمان أعلى بكثير ضد سرقة بيانات الاعتماد، والبرمجيات الخبيثة المتقدمة، والاختراقات الداخلية للشبكة. ورغم وجود تكلفة مرتبطة بالتوافق مع البروتوكولات والتطبيقات القديمة، إلا أن التحسين الشامل للأمان يُعوّض هذه التكلفة في معظم المؤسسات.

إسحاق

كاتب شغوف بعالم البايت والتكنولوجيا بشكل عام. أحب مشاركة معرفتي من خلال الكتابة، وهذا ما سأفعله في هذه المدونة، لأعرض لك كل الأشياء الأكثر إثارة للاهتمام حول الأدوات الذكية والبرامج والأجهزة والاتجاهات التكنولوجية والمزيد. هدفي هو مساعدتك على التنقل في العالم الرقمي بطريقة بسيطة ومسلية.