Как да активирате Microsoft Defender Credential Guard и Exploit Guard

Защита на идентификационните данни в Windows и защита на системата срещу експлойти Това се е превърнало в почти задължително условие във всяка съвременна бизнес среда. Атаки като Pass-the-Hash, Pass-the-Ticket или злоупотреба с zero-day уязвимости експлоатират всеки пропуск в конфигурацията, за да се придвижат странично през мрежата и да поемат контрол над сървъри и работни станции за минути.

В този контекст Технологиите на Microsoft Defender Credential Guard и Exploit Guard (заедно с антивирусния енджин Microsoft Defender) са ключови компоненти на стратегията за сигурност в Windows 10, Windows 11 и Windows Server. В следващите редове ще видите стъпка по стъпка и подробно как работят, какви са техните изисквания и как правилно да ги активирате или деактивирате с помощта на Intune, групови правила, системния регистър, PowerShell и други инструменти, като същевременно се избягва ненужно нарушаване на съвместимостта.

Какво е Microsoft Defender Credential Guard и защо е толкова важен?

Windows Defender Credential Guard е функция за сигурност Въведена от Microsoft в Windows 10 Enterprise и Windows Server 2016, тази функция разчита на сигурност, базирана на виртуализация (VBS), за да изолира тайните за удостоверяване. Вместо локалният орган за сигурност (LSA) да управлява директно идентификационните данни в паметта, се използва изолиран LSA процес.LSAIso.exe) изпълнени в защитена среда.

Благодарение на тази изолация, Само системен софтуер с подходящи привилегии може да има достъп до NTLM хешове и Kerberos билети (TGT).Идентификационните данни, използвани от Credential Manager, локалните данни за вход и идентификационните данни, използвани във връзки като Remote Desktop, вече не са налични. Всеки злонамерен код, който се опитва директно да прочете паметта на конвенционален LSA процес, ще открие, че тези тайни данни са изчезнали.

Този подход драстично намалява ефективността на класическите инструменти за пост-експлоатация, като например Mimikatz за атаки тип „Pass-the-Hash“ или „Pass-the-Ticket“Това е така, защото хешовете и билетите, които преди бяха лесни за извличане, сега се намират в изолиран контейнер в паметта, до който зловредният софтуер не може да се докосва толкова лесно, дори ако има администраторски права на компрометираната система.

Следва да се уточни, че Защитата на идентификационните данни не е същото като Защитата на устройствотоДокато Credential Guard защитава идентификационните данни и тайните, Device Guard (и свързаните с него технологии за контрол на приложенията) се фокусира върху предотвратяването на изпълнението на неоторизиран код на компютъра. Те се допълват, но решават различни проблеми.

Въпреки това, Credential Guard не е панацея срещу Mimikatz или срещу вътрешни нападатели.Нападател, който вече контролира крайна точка, може да прихване идентификационни данни, докато потребителят ги въвежда (например с кейлогър или чрез инжектиране на код в процеса на удостоверяване). Това също така не пречи на служител с легитимен достъп до определени данни да ги копира или открадне; Credential Guard защитава идентификационните данни в паметта, а не поведението на потребителя.

Credential Guard е активиран по подразбиране в Windows 11 и Windows Server

В съвременните версии на Windows, Credential Guard се активира автоматично в много случаи.Започвайки с Windows 11 22H2 и Windows Server 2025, устройствата, които отговарят на определени изисквания за хардуер, фърмуер и конфигурация, получават VBS и Credential Guard активирани по подразбиране, без администраторът да е длъжен да прави каквото и да било.

В тези системи, Активирането по подразбиране се извършва без UEFI заключванеТова означава, че въпреки че Credential Guard е активиран по подразбиране, администраторът може по-късно да го деактивира дистанционно чрез групови правила, Intune или други методи, тъй като опцията за заключване не е активирана във фърмуера.

Когато Credential Guard е активиран, а също така е активирана и защитата, базирана на виртуализация (VBS).VBS е компонентът, който създава защитената среда, където LSA са изолирани и където се съхраняват тайни, така че двете функции вървят ръка за ръка в тези версии.

Важен нюанс е, че Стойностите, изрично конфигурирани от администратора, винаги имат предимство. над настройките по подразбиране. Ако Credential Guard е активиран или деактивиран чрез Intune, GPO или системния регистър, това ръчно състояние презаписва активирането по подразбиране след рестартиране на компютъра.

Освен това, ако На едно устройство Credential Guard беше изрично деактивиран преди надграждане до версия на Windows, която го активира по подразбиране.Устройството ще се съобрази с това деактивиране след актуализацията и няма да се включи автоматично, освен ако конфигурацията му не бъде променена отново с помощта на някой от инструментите за управление.

Изисквания за система, хардуер, фърмуер и лицензиране

За да може Credential Guard да предложи реална защитаОборудването трябва да отговаря на определени хардуерни, фърмуерни и софтуерни изисквания. Колкото по-добри са възможностите на платформата, толкова по-високо е постижимото ниво на сигурност.

На първо място, 64-битов процесор е задължителен и съвместимост със сигурността, базирана на виртуализация. Това означава, че процесорът и дънната платка трябва да поддържат съответните разширения за виртуализация, както и активирането на тези функции в UEFI/BIOS.

Друг критичен елемент е защитено зареждане (Secure Boot)Secure Boot гарантира, че системата се стартира, като зарежда само надежден, подписан фърмуер и софтуер. Secure Boot се използва от VBS и Credential Guard, за да се предотврати модифицирането на компонентите за зареждане от страна на нападател, за да деактивира или манипулира защитата.

Въпреки че не е строго задължително, наличието на такъв е силно препоръчително. Модул за надеждна платформа (TPM) версия 1.2 или 2.0Независимо дали е дискретен или базиран на фърмуер, TPM позволява свързването на тайни и ключове за криптиране с хардуера, добавяйки допълнителен слой, който сериозно усложнява нещата за всеки, който се опитва да пренесе или използва повторно тези тайни на друго устройство.

Също така е силно препоръчително да се активира UEFI заключване за Credential GuardТова не позволява на всеки, който има достъп до системата, да деактивира защитата, просто като промени ключ или политика в системния регистър. Когато заключването е активно, деактивирането на Credential Guard изисква много по-контролирана и ясна процедура.

В областта на лицензирането, Credential Guard не е наличен във всички издания на WindowsОбикновено се поддържа в корпоративни и образователни издания: Windows Enterprise и Windows Education имат поддръжка, докато Windows Pro или Pro Education/SE не я включват по подразбиране.

Лос Правата за ползване на Credential Guard са обвързани с определени абонаментни лицензи., като например Windows Enterprise E3 и E5, както и Windows Education A3 и A5. Изданията Pro, по отношение на лицензирането, нямат право на тази разширена функционалност, въпреки че изпълняват същия двоичен файл на операционната система.

Съвместимост на приложенията и заключени функции

Преди масовото внедряване на Credential GuardПрепоръчително е да се прегледат внимателно приложенията и услугите, които разчитат на специфични механизми за удостоверяване. Не всички стари софтуерни програми работят добре с тези защити, а някои протоколи са директно блокирани.

Когато Credential Guard е активиран, функциите, считани за рискови, се деактивират, така че Приложенията, които зависят от тях, спират да работят правилноТе са известни като изисквания на приложението: условия, които трябва да се избягват, ако искате да продължите да използвате Credential Guard безпроблемно.

Сред характеристиките, които Те са блокирани директно включват:

• Съвместимост с Kerberos DES криптиране.
• Делегиране на Kerberos без ограничения.
• Извличане на TGT от Kerberos от LSA.
• Протокол NTLMv1.

Освен това, Има функции, които, макар и да не са напълно забранени, носят допълнителни рискове ако се използва в комбинация с Credential Guard. Приложенията, които разчитат на имплицитно удостоверяване, делегиране на идентификационни данни, MS-CHAPv2 или CredSSP, са особено чувствителни, тъй като могат да разкрият идентификационни данни несигурно, ако не са внимателно конфигурирани.

Наблюдавано е също проблеми с производителността в приложения, които се опитват да се свържат или да взаимодействат директно с изолирания процес LSAIso.exeТъй като този процес е защитен и изолиран, всякакви многократни опити за достъп могат да увеличат натоварването или да причинят забавяне в определени сценарии.

Хубавото е, че съвременни услуги и протоколи, които използват Kerberos като стандартФункции като достъп до споделени SMB ресурси или правилно конфигуриран отдалечен работен плот продължават да функционират нормално и не се влияят от активирането на Credential Guard, стига да не зависят от гореспоменатите стари функции.

Как да активирате Credential Guard: Intune, GPO и регистър

Идеалният начин за активиране на Credential Guard зависи от размера и управлението на вашата среда.За организации със съвременни системи за управление, Microsoft Intune (MDM) е много удобен, докато в традиционните домейни на Active Directory все още се използват групови правила. За по-прецизни настройки или специфични автоматизации, системният регистър остава опция.

Преди всичко е изключително важно да се разбере, че Функцията Credential Guard трябва да бъде активирана, преди да присъедините компютъра към домейна. или преди потребител на домейн да влезе за първи път. Ако се активира по-късно, тайните на потребителя и машината може вече да са компрометирани, което намалява действителната полза от защитата.

Най-общо казано, можете да активирате Credential Guard чрез:

• Управление на Microsoft Intune / MDM.
• Групова политика (GPO) в Active Directory или локален редактор на политики.
• Директна модификация на системния регистър на Windows.

Когато прилагате някоя от тези настройки, Не забравяйте, че рестартирането на устройството е задължително. За да влязат в сила промените, Credential Guard, VBS и всички компоненти за изолация се инициализират при зареждане, така че просто промяната на политиката не е достатъчна.

Активиране на Credential Guard с Microsoft Intune

Ако управлявате устройствата си с Intune, имате два подхода Основни опции: Използвайте шаблони за Endpoint Security или използвайте персонализирана политика, която конфигурира DeviceGuard CSP чрез OMA-URI.

В портала на Intune, Можете да отидете на „Сигурност на крайната точка > Защита на акаунта“ и създайте нова политика за защита на акаунта. Изберете платформата „Windows 10 и по-нови версии“ ​​и типа профил „Защита на акаунта“ (в различните ѝ варианти, в зависимост от наличната версия).

Когато конфигурирате настройките, Задайте опцията „Включване на защитата на идентификационните данни“ на „Активиране с UEFI заключване“. Ако искате да предотвратите лесното дистанционно деактивиране на защитата, Credential Guard е „закотвен“ във фърмуера, повишавайки нивото на физическа и логическа сигурност на устройството.

След като параметрите са дефинирани, Присвоете политиката на група, която съдържа устройствата или потребителските обекти, които искате да защитите.Правилото ще се приложи, когато устройството се синхронизира с Intune и след съответното рестартиране Credential Guard ще се активира.

Ако предпочитате да контролирате фините детайли, Можете да използвате персонализирана политика, базирана на DeviceGuard CSPЗа да направите това, е необходимо да създадете OMA-URI записи със съответните имена и стойности, например:

конфигурация
имеАктивиране на сигурност, базирана на виртуализация OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип данни: int доблест: 1
имеКонфигурация на Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип данни: int доблест: Активирано с UEFI заключване: 1 Активирано без блокиране: 2

След прилагане на тази персонализирана политика и рестартиране, Устройството ще стартира с активни VBS и Credential Guard.и системните идентификационни данни ще бъдат защитени в изолирания контейнер.

Конфигуриране на Credential Guard с помощта на групови правила

В среди с традиционна Active DirectoryНай-естественият начин за групово активиране на Credential Guard е чрез обекти на групови правила (GPO). Можете да направите това или от локалния редактор на правила на отделен компютър, или от диспечера на групови правила на ниво домейн.

За да конфигурирате политиката, отворете съответния GPO редактор и отидете до пътя Конфигурация на компютъра > Административни шаблони > Система > Защита на устройствотоВ този раздел ще намерите политиката „Активиране на защита, базирана на виртуализация“.

Тази директива установява в Изберете „Активирано“ и изберете желаните настройки за защита на идентификационните данни от падащия списък.Можете да избирате между „Активирано с UEFI заключване“ или „Активирано без заключване“, в зависимост от нивото на физическа защита, което искате да приложите.

След като GPO е конфигуриран, свържете го с организационната единица или домейна, където се намират целевите компютриМожете да настроите фино приложението му, като използвате филтриране на групи за сигурност или WMI филтри, така че да се прилага само за определени типове устройства (например само за корпоративни лаптопи със съвместим хардуер).

Когато машините получат директивата и се рестартират, Credential Guard ще бъде активиран според конфигурацията на GPO., използвайки инфраструктурата на домейна, за да го внедри по стандартизиран начин.

Активирайте Credential Guard чрез промяна на системния регистър на Windows

Ако имате нужда от много подробен контрол или от автоматизиране на внедряването със скриптовеМожете да конфигурирате Credential Guard директно, като използвате ключове в системния регистър. Този метод изисква прецизност, защото неправилна стойност може да доведе системата до неочаквано състояние.

За да се активират сигурността, базирана на виртуализация, и Credential Guard, Трябва да създадете или промените няколко записа под определени пътищаКлючовите точки са:

конфигурация
маршрут: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard име: EnableVirtualizationBasedSecurity Tipo: REG_DWORD доблест: 1 (позволява сигурност, базирана на виртуализация)
маршрут: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard име: RequirePlatformSecurityFeatures Tipo: REG_DWORD доблест: 1 (използвайки защитено зареждане) 3 (сигурно зареждане + DMA защита)
маршрут: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa име: LsaCfgFlags Tipo: REG_DWORD доблест: 1 (активира Credential Guard с UEFI заключване) 2 (активира Credential Guard без заключване)

След прилагане на тези стойности, Рестартирайте компютъра, за да могат хипервизорът на Windows и изолираният LSA процес да влязат в действие.Без това нулиране, промените в системния регистър всъщност няма да активират защитата на паметта.

Как да проверя дали Credential Guard е активиран и работи

Вижте дали процесът LsaIso.exe Появява се в диспечера на задачите. Може да даде някаква подсказка, но Microsoft не го смята за надежден метод за потвърждаване, че Credential Guard работи. Съществуват по-надеждни процедури, базирани на вградени системни инструменти.

Сред препоръчителните опции за Проверете състоянието на Credential Guard Те включват „Системна информация“, PowerShell и „Преглед на събития“. Всеки метод предлага различна перспектива, така че си струва да се запознаете с всички тях.

Най-визуалният метод е този, който Системна информация (msinfo32.exe)От менюто „Старт“ просто стартирайте този инструмент, изберете „Обобщение на системата“ и проверете секцията „Изпълнение на услуги за сигурност, базирани на виртуализация“, за да потвърдите, че „Credential Guard“ се показва като активна услуга.

Ако предпочитате нещо, което може да се скриптира, PowerShell е вашият съюзникОт конзола с повишени привилегии можете да изпълните следната команда:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Изходът на тази команда показва, използвайки числови кодове, дали Защитата на идентификационните данни е активирана или не на тази машинаСтойност 0 означава, че Credential Guard е деактивиран.Докато 1 показва, че е активирано и работи. като част от услуги за сигурност, базирани на виртуализация.

И накрая, Прегледът на събития ви позволява да преглеждате историческото поведение на Credential Guard.Откриване eventvwr.exe Като отидете в „Windows Logs > System“, можете да филтрирате по източника на събитието „WinInit“ и да намерите съобщения, свързани с инициализацията на услугите Device Guard и Credential Guard, полезни за периодични одити.

Деактивирайте Credential Guard и управлявайте UEFI блокировката

Въпреки че общата препоръка е да държите Credential Guard активиран На всички системи, които го поддържат, в някои много специфични сценарии може да се наложи да го деактивирате, или за да разрешите несъвместимости със стари приложения, или за да извършите определени диагностични задачи.

Точната процедура за Деактивирането на Credential Guard зависи от това как е бил първоначално конфигуриран.Ако е било активирано без UEFI заключване, просто върнете настройките на политиките на Intune, GPO или системния регистър и рестартирайте. Ако обаче е било активирано с UEFI заключване, са необходими допълнителни стъпки, тъй като част от конфигурацията се съхранява в EFI променливите на фърмуера.

В конкретния случай на Credential Guard е активиран с UEFI заключванеПърво, трябва да следвате стандартния процес на деактивиране (връщане на директиви или стойности в системния регистър) и след това да премахнете свързаните EFI променливи, използвайки bcdedit и полезността SecConfig.efi с усъвършенстван скрипт.

Типичният поток включва монтиране на временно EFI устройство, копиране SecConfig.efi, създайте нов вход за зарядно устройство с bcdeditКонфигурирайте опциите си, за да деактивирате изолирания LSA и да зададете временна последователност на зареждане чрез диспечера за зареждане на Windows, както и да демонтирате устройството в края на процеса.

След рестартиране на компютъра с тази конфигурация, Преди стартирането на Windows ще се появи съобщение, предупреждаващо за промяна в UEFI.Потвърждаването на това съобщение е задължително, за да бъдат промените постоянни и за да бъде заключването на Credential Guard EFI наистина деактивирано във фърмуера.

Ако това, от което се нуждаете, е Деактивиране на Credential Guard на конкретна виртуална машина Hyper-VМожете да направите това от хоста, без да докосвате госта, използвайки PowerShell. Типична команда би била:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

С тази настройка виртуалната машина Спира да използва VBS и следователно спира да изпълнява Credential Guard въпреки че гостеската операционна система поддържа функцията, което може да бъде полезно в много специфични лабораторни или тестови среди.

Credential Guard на виртуални машини Hyper-V

Credential Guard не се ограничава само до физическо оборудванеТой може също така да защити идентификационните данни във виртуални машини, работещи с Windows в Hyper-V среди, осигурявайки ниво на изолация, подобно на това, достъпно при хардуер без добавена стойност.

В тези ситуации, Credential Guard защитава тайните от атаки, произхождащи от самата виртуална машина.С други думи, ако атакуващ компрометира системните процеси във виртуалната машина, VBS защитата ще продължи да изолира LSA и да намалява излагането на хешове и билети.

Важно е обаче да се уточни ограничението: Credential Guard не може да защити виртуалната машина от атаки, произхождащи от хоста. с повишени привилегии. Хипервизорът и хост системата ефективно имат пълен контрол над виртуалните машини, така че злонамерен администратор на хоста би могъл да заобиколи тези бариери.

За да функционира правилно Credential Guard в тези видове внедрявания, Hyper-V хостът трябва да има IOMMU (устройство за управление на входно/изходна памет), което позволява изолиране на достъпа до памет и устройства, а виртуалните машини трябва да бъдат Поколение 2, с UEFI фърмуер, което позволява Secure Boot и други необходими функции.

С тези изисквания, Практическият опит при използването на Credential Guard на виртуални машини е много подобен на този на физическа машина.включително същите методи за активиране (Intune, GPO, Registry) и методи за проверка (msinfo32, PowerShell, Event Viewer).

Exploit Guard и Microsoft Defender: Активиране и управление на общата защита

Наред с Credential Guard, екосистемата за сигурност на Windows разчита на Microsoft Defender Antivirus и в технологии като Exploit Guard, които включват правила за намаляване на повърхността на атаката, мрежова защита, контрол на достъпа до папки и други функции, насочени към забавяне на зловредния софтуер и смекчаване на експлойтите.

В много отбори, Антивирусната програма Microsoft Defender е предварително инсталирана и активирана по подразбиране В Windows 8, Windows 10 и Windows 11 той е наличен, но е сравнително често срещано да се окаже деактивиран поради предишни правила, инсталиране на решения на трети страни или ръчни промени в системния регистър.

за Активирайте Microsoft Defender Antivirus с помощта на локални групови правилаМожете да отворите менюто „Старт“, да потърсите „Групови правила“ и да изберете „Редактиране на групови правила“. В „Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Windows Defender Antivirus“ ще видите опцията „Изключване на Windows Defender Antivirus“.

Ако това правило е зададено на „Enabled“ (Активирано), това означава, че антивирусната програма е принудително деактивирана. За да възстановите функционалността му, задайте опцията на „Деактивирано“ или „Не е конфигурирано“.Приложете промените и затворете редактора. Услугата ще може да стартира отново след следващата актуализация на правилата.

Ако по това време Защитникът беше изрично деактивиран от системния регистърЩе трябва да проверите маршрута HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender и намерете стойността DisableAntiSpywareС помощта на редактора на системния регистър можете да го отворите и да зададете неговите „Данни за стойност“ на 0Приемане на промяната, за да се позволи на антивирусната програма да функционира отново.

След тези настройки отидете на „Старт > Настройки > Актуализация и защита > Windows Defender“ (в по-новите версии „Защита на Windows“) и Проверете дали превключвателят „Защита в реално време“ е активиранАко все още е изключен, включете го ръчно, за да се уверите, че антивирусната защита ще се стартира заедно със системата.

За максимална защита е препоръчително Активирайте както защита в реално време, така и защита, базирана на облакОт приложението „Защита на Windows“ отидете на „Защита от вируси и заплахи > Настройки за защита от вируси и заплахи > Управление на настройките“ и активирайте съответните превключватели.

Ако тези опции не са видими, вероятно е Групова политика скрива секцията за антивирусна защита. В „Защита на Windows“ отметнете „Конфигурация на компютъра > Административни шаблони > Компоненти на Windows > Защита на Windows > Защита от вируси и заплахи“ и се уверете, че политиката „Скриване на областта за защита от вируси и заплахи“ е зададена на „Деактивирано“, като промените ще бъдат приложени.

Също толкова важно е поддържайте актуални дефинициите на вирусите Това позволява на Microsoft Defender да открива скорошни заплахи. От „Защита на Windows“, под „Защита от вируси и заплахи“, в „Актуализации на защитата от заплахи“, щракнете върху „Проверка за актуализации“ и разрешете изтеглянето на най-новите сигнатури.

Ако предпочитате командния ред, това също е опция. Можете да стартирате услугата Microsoft Defender от CMDНатиснете Windows + R, въведете cmd След това, в командния ред (за предпочитане с повишени привилегии), изпълнете:

sc start WinDefend

С тази команда, Основната антивирусна услуга се стартира при условие че няма допълнителни правила или блокировки, които да го пречат, което ви позволява бързо да проверите дали двигателят стартира без грешки.

За да разберете дали вашият компютър използва Microsoft Defender, просто отидете на „Старт > Настройки > Система“ и след това отворете „Контролен панел“. В раздела „Сигурност и поддръжка“ ще намерите раздела „Сигурност и защита на системата“, където Ще видите обобщение на състоянието на антивирусната защита и други активни мерки. в екипа.

чрез комбиниране Credential Guard за защита на идентификационните данни в паметта С правилно конфигуриран Microsoft Defender, Exploit Guard и подходящи правила за втвърдяване се постига значително по-високо ниво на сигурност срещу кражба на идентификационни данни, усъвършенстван зловреден софтуер и странично движение в рамките на домейна. Въпреки че винаги има цена, свързана със съвместимостта със стари протоколи и приложения, цялостното подобрение на сигурността повече от компенсира това в повечето организации.