মাইক্রোসফট ডিফেন্ডার ক্রেডেনশিয়াল গার্ড এবং এক্সপ্লয়েট গার্ড কীভাবে সক্রিয় করবেন

উইন্ডোজে ক্রেডেনশিয়াল সুরক্ষিত রাখা এবং এক্সপ্লয়েট থেকে সিস্টেমকে আরও শক্তিশালী করা যেকোনো আধুনিক ব্যবসায়িক পরিবেশে এটি প্রায় বাধ্যতামূলক হয়ে উঠেছে। পাস-দ্য-হ্যাশ, পাস-দ্য-টিকেট বা জিরো-ডে দুর্বলতার অপব্যবহারের মতো আক্রমণগুলো কনফিগারেশনের যেকোনো ত্রুটিকে কাজে লাগিয়ে নেটওয়ার্কের মধ্য দিয়ে পার্শ্বীয়ভাবে অগ্রসর হয় এবং কয়েক মিনিটের মধ্যে সার্ভার ও ওয়ার্কস্টেশনগুলোর নিয়ন্ত্রণ নিয়ে নেয়।

এই প্রসঙ্গে, মাইক্রোসফ্ট ডিফেন্ডার ক্রেডেনশিয়াল গার্ড এবং এক্সপ্লয়েট গার্ড প্রযুক্তি (মাইক্রোসফট ডিফেন্ডার অ্যান্টিভাইরাস ইঞ্জিনের পাশাপাশি) উইন্ডোজ ১০, উইন্ডোজ ১১ এবং উইন্ডোজ সার্ভারের নিরাপত্তা কৌশলের মূল উপাদান। নিম্নলিখিত অংশে, আপনি ধাপে ধাপে এবং বিস্তারিতভাবে দেখতে পাবেন, এগুলি কীভাবে কাজ করে, এগুলির জন্য কী কী প্রয়োজন, এবং অপ্রয়োজনে সামঞ্জস্যতা নষ্ট না করে কীভাবে ইন্টুন, গ্রুপ পলিসি, রেজিস্ট্রি, পাওয়ারশেল এবং অন্যান্য টুল ব্যবহার করে এগুলিকে সঠিকভাবে সক্রিয় বা নিষ্ক্রিয় করা যায়।

মাইক্রোসফট ডিফেন্ডার ক্রেডেনশিয়াল গার্ড কী এবং এটি এত গুরুত্বপূর্ণ কেন?

উইন্ডোজ ডিফেন্ডার ক্রেডেনশিয়াল গার্ড একটি নিরাপত্তা বৈশিষ্ট্য। মাইক্রোসফট কর্তৃক উইন্ডোজ ১০ এন্টারপ্রাইজ এবং উইন্ডোজ সার্ভার ২০১৬-এ প্রবর্তিত এই ফিচারটি অথেনটিকেশন সিক্রেটগুলোকে বিচ্ছিন্ন রাখতে ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা (VBS)-এর উপর নির্ভর করে। লোকাল সিকিউরিটি অথরিটি (LSA) সরাসরি ইন-মেমরি ক্রেডেনশিয়ালগুলো পরিচালনা করার পরিবর্তে, একটি বিচ্ছিন্ন LSA প্রসেস ব্যবহার করা হয়।LSAIso.exeএকটি সুরক্ষিত পরিবেশে সম্পাদিত।

এই বিচ্ছিন্নতার জন্য ধন্যবাদ, শুধুমাত্র যথাযথ অধিকারসম্পন্ন সিস্টেম সফটওয়্যারই এনটিএলএম হ্যাশ এবং কেরবেরোস টিকিট (টিজিটি) অ্যাক্সেস করতে পারে।ক্রেডেনশিয়াল ম্যানেজার, লোকাল লগইন এবং রিমোট ডেস্কটপের মতো সংযোগে ব্যবহৃত ক্রেডেনশিয়ালগুলো আর পাওয়া যাবে না। কোনো ক্ষতিকারক কোড যদি সরাসরি একটি প্রচলিত LSA প্রসেসের মেমরি পড়ার চেষ্টা করে, তবে সে দেখতে পাবে যে সেই গোপনীয় তথ্যগুলো হারিয়ে গেছে।

এই পদ্ধতিটি ক্লাসিক পোস্ট-এক্সপ্লয়টেশন টুলগুলির কার্যকারিতা ব্যাপকভাবে হ্রাস করে, যেমন পাস-দ্য-হ্যাশ বা পাস-দ্য-টিকেট আক্রমণের জন্য মিমিকাটজএর কারণ হলো, যে হ্যাশ এবং টিকেটগুলো আগে সহজেই বের করা যেত, সেগুলো এখন মেমোরির একটি বিচ্ছিন্ন কন্টেইনারে থাকে, যা ম্যালওয়্যার সহজে ব্যবহার করতে পারে না, এমনকি আক্রান্ত সিস্টেমে তার অ্যাডমিনিস্ট্রেটর অধিকার থাকলেও।

এটা স্পষ্ট করে বলা উচিত যে ক্রেডেনশিয়াল গার্ড এবং ডিভাইস গার্ড এক জিনিস নয়।ক্রেডেনশিয়াল গার্ড যেখানে ক্রেডেনশিয়াল ও গোপনীয় তথ্য সুরক্ষিত রাখে, সেখানে ডিভাইস গার্ড (এবং সংশ্লিষ্ট অ্যাপ্লিকেশন নিয়ন্ত্রণ প্রযুক্তিগুলো) কম্পিউটারে অননুমোদিত কোড চালানো প্রতিরোধ করার ওপর মনোযোগ দেয়। এরা একে অপরের পরিপূরক, কিন্তু ভিন্ন ভিন্ন সমস্যার সমাধান করে।

এমনকি, ক্রেডেনশিয়াল গার্ড মিমিকাটজ বা অভ্যন্তরীণ আক্রমণকারীদের বিরুদ্ধে কোনো অব্যর্থ সমাধান নয়।যে আক্রমণকারী ইতিমধ্যেই একটি এন্ডপয়েন্ট নিয়ন্ত্রণ করে, সে ব্যবহারকারীর ক্রেডেনশিয়াল প্রবেশ করানোর সময় তা ক্যাপচার করতে পারে (উদাহরণস্বরূপ, একটি কীলগার ব্যবহার করে বা অথেনটিকেশন প্রক্রিয়ায় কোড ইনজেক্ট করে)। এটি নির্দিষ্ট ডেটাতে বৈধ অ্যাক্সেস থাকা কোনো কর্মচারীকে তা কপি করা বা পাচার করা থেকেও বিরত রাখে না; ক্রেডেনশিয়াল গার্ড মেমরিতে থাকা ক্রেডেনশিয়ালকে সুরক্ষা দেয়, ব্যবহারকারীর আচরণকে নয়।

Windows 11 এবং Windows Server-এ Credential Guard ডিফল্টরূপে সক্রিয় থাকে।

উইন্ডোজের আধুনিক সংস্করণগুলিতে অনেক ক্ষেত্রেই ক্রেডেনশিয়াল গার্ড স্বয়ংক্রিয়ভাবে সক্রিয় হয়ে যায়।Windows 11 22H2 এবং Windows Server 2025 থেকে শুরু করে, যে ডিভাইসগুলো নির্দিষ্ট হার্ডওয়্যার, ফার্মওয়্যার এবং কনফিগারেশন শর্ত পূরণ করে, সেগুলোতে অ্যাডমিনিস্ট্রেটরকে কোনো কিছু না করেই ডিফল্টরূপে VBS এবং Credential Guard সক্রিয় হয়ে যায়।

এই সিস্টেমগুলিতে, ডিফল্ট সক্রিয়করণ UEFI লকিং ছাড়াই সম্পন্ন করা হয়।এর মানে হলো, যদিও ক্রেডেনশিয়াল গার্ড ডিফল্টরূপে সক্রিয় থাকে, প্রশাসক পরবর্তীতে গ্রুপ পলিসি, ইনটিউন বা অন্যান্য পদ্ধতির মাধ্যমে দূর থেকে এটি নিষ্ক্রিয় করতে পারেন, কারণ ফার্মওয়্যারে লক অপশনটি সক্রিয় করা হয়নি।

যখন ক্রেডেনশিয়াল গার্ড সক্রিয় করা হয়েছে এবং ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা (VBS)-ও চালু করা হয়েছে।VBS হলো সেই উপাদান যা একটি সুরক্ষিত পরিবেশ তৈরি করে, যেখানে LSA-গুলো বিচ্ছিন্ন থাকে এবং গোপনীয় তথ্য সংরক্ষিত হয়, তাই এই সংস্করণগুলিতে উভয় বৈশিষ্ট্যই একে অপরের পরিপূরক।

একটি গুরুত্বপূর্ণ বিষয় হল যে প্রশাসক কর্তৃক সুস্পষ্টভাবে নির্ধারিত মানগুলোই সর্বদা প্রাধান্য পাবে। ডিফল্ট সেটিংসের উপর। যদি Intune, GPO, বা Registry-এর মাধ্যমে Credential Guard চালু বা বন্ধ করা হয়, তাহলে কম্পিউটার পুনরায় চালু হওয়ার পর সেই ম্যানুয়াল অবস্থাটি ডিফল্ট চালু অবস্থাকে ওভাররাইট করে দেয়।

তদ্ব্যতীত, যদি একটি ডিভাইসে ক্রেডেনশিয়াল গার্ড স্পষ্টভাবে নিষ্ক্রিয় করা ছিল, কিন্তু উইন্ডোজের এমন একটি সংস্করণে আপগ্রেড করার পর তা ডিফল্টরূপে সক্রিয় হয়ে যায়।আপডেটের পর ডিভাইসটি এই নিষ্ক্রিয়করণ মেনে চলবে এবং স্বয়ংক্রিয়ভাবে চালু হবে না, যদি না ম্যানেজমেন্ট টুলগুলোর কোনো একটি ব্যবহার করে এর কনফিগারেশন পুনরায় পরিবর্তন করা হয়।

সিস্টেম, হার্ডওয়্যার, ফার্মওয়্যার এবং লাইসেন্সিং প্রয়োজনীয়তা

যাতে ক্রেডেনশিয়াল গার্ড প্রকৃত সুরক্ষা প্রদান করতে পারেসরঞ্জামটিকে অবশ্যই নির্দিষ্ট হার্ডওয়্যার, ফার্মওয়্যার এবং সফ্টওয়্যার প্রয়োজনীয়তা পূরণ করতে হবে। প্ল্যাটফর্মের সক্ষমতা যত উন্নত হবে, অর্জনযোগ্য নিরাপত্তার স্তরও তত উচ্চ হবে।

প্রথমত, একটি ৬৪-বিট সিপিইউ আবশ্যক। এবং ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তার সাথে সামঞ্জস্যপূর্ণতা। এর অর্থ হলো, প্রসেসর এবং মাদারবোর্ডকে অবশ্যই উপযুক্ত ভার্চুয়ালাইজেশন এক্সটেনশনগুলো সমর্থন করতে হবে, সেইসাথে UEFI/BIOS-এ এই ফিচারগুলো সক্রিয় করতে হবে।

আরেকটি গুরুত্বপূর্ণ উপাদান হলো নিরাপদ বুট (নিরাপদ বুট)সিকিউর বুট নিশ্চিত করে যে সিস্টেমটি শুধুমাত্র বিশ্বস্ত ও স্বাক্ষরিত ফার্মওয়্যার এবং সফটওয়্যার লোড করার মাধ্যমেই চালু হয়। ভিবিএস (VBS) এবং ক্রেডেনশিয়াল গার্ড (Credential Guard) সিকিউর বুট ব্যবহার করে আক্রমণকারীকে বুটের উপাদানগুলো পরিবর্তন করে সুরক্ষা ব্যবস্থা নিষ্ক্রিয় বা ম্যানিপুলেট করা থেকে বিরত রাখে।

যদিও কঠোরভাবে বাধ্যতামূলক নয়, একটি থাকা জোরালোভাবে সুপারিশ করা হয়। ট্রাস্টেড প্ল্যাটফর্ম মডিউল (টিপিএম) সংস্করণ ১.২ বা ২.০বিচ্ছিন্ন হোক বা ফার্মওয়্যার-ভিত্তিক, টিপিএম এনক্রিপশনের গোপনীয় তথ্য এবং কী-গুলোকে হার্ডওয়্যারের সাথে সংযুক্ত করার সুযোগ দেয়। এর ফলে এমন একটি অতিরিক্ত স্তর তৈরি হয় যা অন্য কোনো ডিভাইসে সেই গোপনীয় তথ্য বহন বা পুনরায় ব্যবহার করতে চাওয়া ব্যক্তির জন্য বিষয়টিকে গুরুতরভাবে জটিল করে তোলে।

এটি সক্ষম করাও অত্যন্ত পরামর্শযোগ্য। ক্রেডেনশিয়াল গার্ডের জন্য UEFI লকএর ফলে, সিস্টেম অ্যাক্সেস আছে এমন কেউ শুধুমাত্র একটি রেজিস্ট্রি কী বা পলিসি পরিবর্তন করে সুরক্ষাটি নিষ্ক্রিয় করতে পারে না। লকটি সক্রিয় থাকলে, ক্রেডেনশিয়াল গার্ড নিষ্ক্রিয় করার জন্য আরও অনেক বেশি নিয়ন্ত্রিত এবং সুস্পষ্ট পদ্ধতির প্রয়োজন হয়।

লাইসেন্সিং ক্ষেত্রে, উইন্ডোজের সকল সংস্করণে ক্রেডেনশিয়াল গার্ড উপলব্ধ নয়।সাধারণত, এটি এন্টারপ্রাইজ এবং এডুকেশন সংস্করণে সমর্থিত: Windows Enterprise এবং Windows Education-এ এর সমর্থন রয়েছে, কিন্তু Windows Pro বা Pro Education/SE-তে এটি ডিফল্টভাবে অন্তর্ভুক্ত থাকে না।

The ক্রেডেনশিয়াল গার্ড ব্যবহারের অধিকার নির্দিষ্ট সাবস্ক্রিপশন লাইসেন্সের সাথে সংযুক্ত।যেমন উইন্ডোজ এন্টারপ্রাইজ E3 ও E5, এবং উইন্ডোজ এডুকেশন A3 ও A5। লাইসেন্সিংয়ের দিক থেকে, প্রো সংস্করণগুলো এই উন্নত কার্যকারিতার অধিকারী নয়, যদিও সেগুলোতে একই অপারেটিং সিস্টেম বাইনারি ব্যবহৃত হয়।

অ্যাপ্লিকেশন সামঞ্জস্যতা এবং লক করা বৈশিষ্ট্য

ব্যাপকভাবে ক্রেডেনশিয়াল গার্ড মোতায়েন করার আগেযেসব অ্যাপ্লিকেশন ও পরিষেবা নির্দিষ্ট প্রমাণীকরণ পদ্ধতির ওপর নির্ভর করে, সেগুলো পুঙ্খানুপুঙ্খভাবে পর্যালোচনা করার পরামর্শ দেওয়া হয়। সব পুরোনো সফটওয়্যার এই সুরক্ষা ব্যবস্থাগুলোর সাথে ভালোভাবে কাজ করে না এবং কিছু প্রোটোকল সরাসরি ব্লক করা থাকে।

যখন ক্রেডেনশিয়াল গার্ড সক্রিয় করা হয়, তখন ঝুঁকিপূর্ণ বলে বিবেচিত বৈশিষ্ট্যগুলি নিষ্ক্রিয় হয়ে যায়, যাতে যে অ্যাপ্লিকেশনগুলো এগুলোর ওপর নির্ভরশীল, সেগুলো সঠিকভাবে কাজ করা বন্ধ করে দেয়।এগুলোকে অ্যাপ্লিকেশন রিকোয়ারমেন্টস বা প্রয়োগের আবশ্যিক শর্ত বলা হয়: এমন শর্ত যা অবশ্যই এড়িয়ে চলতে হবে, যদি আপনি কোনো সমস্যা ছাড়াই ক্রেডেনশিয়াল গার্ড ব্যবহার চালিয়ে যেতে চান।

যে বৈশিষ্ট্যগুলির মধ্যে তাদের সরাসরি ব্লক করা হয় স্ট্যান্ড আউট:

• কেরবেরোস ডিইএস এনক্রিপশন সামঞ্জস্যতা।
• বিধিনিষেধ ছাড়া কেরবেরোসের প্রতিনিধিদল।
• LSA থেকে কেরবেরোসের TGT নিষ্কাশন।
• NTLMv1 প্রোটোকল।

উপরন্তু, এমন কিছু বৈশিষ্ট্য রয়েছে যা সম্পূর্ণ নিষিদ্ধ না হলেও অতিরিক্ত ঝুঁকি বহন করে। ক্রেডেনশিয়াল গার্ড-এর সাথে একত্রে ব্যবহার করা হলে। যেসব অ্যাপ্লিকেশন ইমপ্লিসিট অথেন্টিকেশন, ক্রেডেনশিয়াল ডেলিগেশন, MS-CHAPv2, বা CredSSP-এর উপর নির্ভর করে, সেগুলো বিশেষভাবে সংবেদনশীল, কারণ সতর্কতার সাথে কনফিগার করা না হলে এগুলো অসুরক্ষিতভাবে ক্রেডেনশিয়াল প্রকাশ করে দিতে পারে।

এগুলোও পর্যবেক্ষণ করা হয়েছে বিচ্ছিন্ন প্রক্রিয়ার সাথে সরাসরি সংযুক্ত হতে বা যোগাযোগ করতে চেষ্টা করে এমন অ্যাপ্লিকেশনগুলিতে কর্মক্ষমতা সংক্রান্ত সমস্যা LSAIso.exeযেহেতু এই প্রক্রিয়াটি সুরক্ষিত এবং বিচ্ছিন্ন, তাই বারবার অ্যাক্সেসের চেষ্টা নির্দিষ্ট পরিস্থিতিতে অতিরিক্ত চাপ সৃষ্টি করতে পারে বা গতি কমিয়ে দিতে পারে।

ভাল জিনিস যে আধুনিক পরিষেবা এবং প্রোটোকল যা কেরবেরোসকে একটি মান হিসাবে ব্যবহার করেএসএমবি শেয়ার্ড রিসোর্স অ্যাক্সেস করা বা সঠিকভাবে কনফিগার করা রিমোট ডেস্কটপের মতো ফাংশনগুলি স্বাভাবিকভাবে কাজ করতে থাকে এবং ক্রেডেনশিয়াল গার্ড সক্রিয় করার দ্বারা প্রভাবিত হয় না, যতক্ষণ না সেগুলি উপরে উল্লিখিত লিগ্যাসি ফাংশনগুলির উপর নির্ভর করে।

ক্রেডেনশিয়াল গার্ড কীভাবে সক্রিয় করবেন: ইনটিউন, জিপিও এবং রেজিস্ট্রি

ক্রেডেনশিয়াল গার্ড সক্রিয় করার আদর্শ উপায় আপনার পরিবেশের আকার এবং ব্যবস্থাপনার উপর নির্ভর করে।আধুনিক ম্যানেজমেন্ট সিস্টেম ব্যবহারকারী সংস্থাগুলোর জন্য মাইক্রোসফট ইনটিউন (MDM) খুবই সুবিধাজনক, অন্যদিকে প্রচলিত অ্যাক্টিভ ডিরেক্টরি ডোমেইনগুলোতে এখনও গ্রুপ পলিসিই বহুল ব্যবহৃত হয়। আরও সুনির্দিষ্ট সমন্বয় বা বিশেষ অটোমেশনের জন্য রেজিস্ট্রি একটি বিকল্প হিসেবে রয়ে গেছে।

প্রথমত, এটা বোঝা অত্যন্ত জরুরি যে কম্পিউটারটিকে ডোমেইনে যুক্ত করার আগে ক্রেডেনশিয়াল গার্ড অবশ্যই সক্রিয় করতে হবে। অথবা কোনো ডোমেইন ব্যবহারকারী প্রথমবার লগ অন করার আগে। যদি এটি পরে সক্রিয় করা হয়, তাহলে ব্যবহারকারী এবং মেশিনের গোপনীয় তথ্য ইতিমধ্যে ফাঁস হয়ে যেতে পারে, যার ফলে সুরক্ষার প্রকৃত সুবিধা কমে যায়।

সাধারণভাবে, আপনি নিম্নলিখিত উপায়ে ক্রেডেনশিয়াল গার্ড সক্রিয় করতে পারেন:

• মাইক্রোসফট ইনটিউন / এমডিএম ব্যবস্থাপনা।
• অ্যাক্টিভ ডিরেক্টরিতে গ্রুপ পলিসি (GPO) অথবা লোকাল পলিসি এডিটর।
• উইন্ডোজ রেজিস্ট্রির সরাসরি পরিবর্তন।

এই সেটিংগুলির যেকোনোটি প্রয়োগ করার সময়, মনে রাখবেন যে ডিভাইসটি রিস্টার্ট করা বাধ্যতামূলক। পরিবর্তনগুলো কার্যকর হওয়ার জন্য, বুট করার সময় ক্রেডেনশিয়াল গার্ড, ভিবিএস এবং সমস্ত আইসোলেশন কম্পোনেন্ট ইনিশিয়ালাইজ করা হয়, তাই শুধু পলিসি পরিবর্তন করাই যথেষ্ট নয়।

Microsoft Intune দিয়ে Credential Guard সক্রিয় করুন

আপনি যদি Intune দিয়ে আপনার ডিভাইসগুলো পরিচালনা করেন, তবে আপনার কাছে দুটি উপায় রয়েছে। প্রধান বিকল্পসমূহ: এন্ডপয়েন্ট সিকিউরিটি টেমপ্লেট ব্যবহার করুন অথবা একটি কাস্টম পলিসি ব্যবহার করুন যা OMA-URI-এর মাধ্যমে ডিভাইসগার্ড CSP কনফিগার করে।

ইনটিউন পোর্টালে, আপনি “এন্ডপয়েন্ট নিরাপত্তা > অ্যাকাউন্ট সুরক্ষা”-তে যেতে পারেন। এবং একটি নতুন অ্যাকাউন্ট সুরক্ষা নীতি তৈরি করুন। প্ল্যাটফর্ম হিসেবে "Windows 10 and later" এবং প্রোফাইল টাইপ হিসেবে "Account protection" (উপলব্ধ সংস্করণ অনুযায়ী এর বিভিন্ন প্রকারভেদ) নির্বাচন করুন।

সেটিংস কনফিগার করার সময়, "Turn on Credential Guard" অপশনটি "Enable with UEFI lock"-এ সেট করুন। যদি আপনি চান যে দূর থেকে সুরক্ষা ব্যবস্থাটি সহজে নিষ্ক্রিয় করা না যায়, তবে ক্রেডেনশিয়াল গার্ড ফার্মওয়্যারে 'সংযোজিত' থাকে, যা ডিভাইসটির ভৌত এবং যৌক্তিক নিরাপত্তার স্তরকে বাড়িয়ে তোলে।

একবার প্যারামিটারগুলো সংজ্ঞায়িত হয়ে গেলে, যে গ্রুপে আপনি সুরক্ষিত করতে চান এমন ডিভাইস বা ব্যবহারকারী অবজেক্টগুলো রয়েছে, সেই গ্রুপে পলিসিটি বরাদ্দ করুন।ডিভাইসটি Intune-এর সাথে সিঙ্ক করার সময় পলিসিটি প্রয়োগ করা হবে এবং সংশ্লিষ্ট রিস্টার্টের পর Credential Guard সক্রিয় হয়ে যাবে।

আপনি যদি সূক্ষ্ম বিবরণ নিয়ন্ত্রণ করতে পছন্দ করেন, আপনি DeviceGuard CSP-এর উপর ভিত্তি করে একটি কাস্টম পলিসি ব্যবহার করতে পারেন।এটি করার জন্য, উপযুক্ত নাম এবং মান সহ OMA-URI এন্ট্রি তৈরি করা প্রয়োজন, উদাহরণস্বরূপ:

কনফিগারেশন
নামভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা সক্ষম করুন ওমা-ইউআরআই: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity ডেটা টাইপ: int বীরত্ব: 1
নামক্রেডেনশিয়াল গার্ড কনফিগারেশন ওমা-ইউআরআই: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags ডেটা টাইপ: int বীরত্ব: UEFI লক দিয়ে সক্ষম করা হয়েছে: 1 ব্লক না করেই সক্ষম করা হয়েছে: 2

এই কাস্টম পলিসি প্রয়োগ করে এবং রিস্টার্ট করার পর, ডিভাইসটি VBS এবং Credential Guard সক্রিয় থাকা অবস্থায় চালু হবে।এবং সিস্টেমের ক্রেডেনশিয়ালগুলো আইসোলেটেড কন্টেইনারে সুরক্ষিত থাকবে।

গ্রুপ পলিসি ব্যবহার করে ক্রেডেনশিয়াল গার্ড কনফিগার করুন

ঐতিহ্যবাহী অ্যাক্টিভ ডিরেক্টরি সহ পরিবেশেএকসাথে অনেকগুলো ক্রেডেনশিয়াল গার্ড চালু করার সবচেয়ে স্বাভাবিক উপায় হলো গ্রুপ পলিসি অবজেক্ট (GPO) ব্যবহার করা। আপনি এটি কোনো একটি কম্পিউটারের লোকাল পলিসি এডিটর থেকে অথবা ডোমেইন লেভেলের গ্রুপ পলিসি ম্যানেজার থেকে করতে পারেন।

পলিসিটি কনফিগার করতে, সংশ্লিষ্ট GPO এডিটরটি খুলুন এবং পাথে যান। কম্পিউটার কনফিগারেশন > প্রশাসনিক টেমপ্লেট > সিস্টেম > ডিভাইস গার্ডসেই বিভাগে আপনি "ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা সক্ষম করুন" নীতিটি খুঁজে পাবেন।

এই নির্দেশিকা প্রতিষ্ঠা করে ‘সক্ষম’ নির্বাচন করুন এবং ড্রপ-ডাউন তালিকা থেকে আপনার পছন্দসই ক্রেডেনশিয়াল গার্ড সেটিংস বেছে নিন।আপনি কী ধরনের ভৌত সুরক্ষা প্রয়োগ করতে চান, তার উপর নির্ভর করে "UEFI লক সহ সক্রিয়" অথবা "লক ছাড়া সক্রিয়"-এর মধ্যে যেকোনো একটি বেছে নিতে পারেন।

একবার GPO কনফিগার করা হয়ে গেলে, এটিকে সেই সাংগঠনিক ইউনিট বা ডোমেনের সাথে সংযুক্ত করুন যেখানে লক্ষ্য কম্পিউটারগুলি অবস্থিত।আপনি সিকিউরিটি গ্রুপ ফিল্টারিং বা WMI ফিল্টার ব্যবহার করে এর প্রয়োগকে সূক্ষ্মভাবে নিয়ন্ত্রণ করতে পারেন, যাতে এটি কেবল নির্দিষ্ট ধরণের ডিভাইসে (উদাহরণস্বরূপ, কেবল সামঞ্জস্যপূর্ণ হার্ডওয়্যারযুক্ত কর্পোরেট ল্যাপটপে) প্রযোজ্য হয়।

যখন মেশিনগুলো নির্দেশ গ্রহণ করে পুনরায় চালু হয়, GPO কনফিগারেশন অনুযায়ী ক্রেডেনশিয়াল গার্ড সক্রিয় করা হবে।ডোমেইন পরিকাঠামোকে কাজে লাগিয়ে এটিকে একটি প্রমিত পদ্ধতিতে স্থাপন করা।

উইন্ডোজ রেজিস্ট্রি পরিবর্তন করে ক্রেডেনশিয়াল গার্ড সক্রিয় করুন।

যদি আপনার অত্যন্ত সূক্ষ্ম নিয়ন্ত্রণের প্রয়োজন হয় অথবা স্ক্রিপ্টের মাধ্যমে ডেপ্লয়মেন্ট স্বয়ংক্রিয় করতে চানআপনি সরাসরি রেজিস্ট্রি কী ব্যবহার করে ক্রেডেনশিয়াল গার্ড কনফিগার করতে পারেন। এই পদ্ধতিতে নির্ভুলতা প্রয়োজন, কারণ একটি ভুল মান সিস্টেমকে একটি অপ্রত্যাশিত অবস্থায় ফেলে দিতে পারে।

ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা এবং ক্রেডেনশিয়াল গার্ড সক্রিয় হওয়ার জন্য, আপনাকে নির্দিষ্ট পাথের অধীনে একাধিক এন্ট্রি তৈরি বা পরিবর্তন করতে হবে।মূল বিষয়গুলো হলো:

কনফিগারেশন
রুট: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard নাম: EnableVirtualizationBasedSecurity আদর্শ: REG_DWORD বীরত্ব: 1 (ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা সক্ষম করে)
রুট: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard নাম: RequirePlatformSecurityFeatures আদর্শ: REG_DWORD বীরত্ব: 1 (সিকিউর বুট ব্যবহার করে) 3 (সিকিউর বুট + ডিএমএ সুরক্ষা)
রুট: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa নাম: LsaCfgFlags আদর্শ: REG_DWORD বীরত্ব: 1 (UEFI লক সহ ক্রেডেনশিয়াল গার্ড সক্রিয় করে) 2 (লক না করেই ক্রেডেনশিয়াল গার্ড সক্রিয় করে)

এই মানগুলি প্রয়োগ করার পরে, কম্পিউটারটি রিস্টার্ট করুন যাতে উইন্ডোজ হাইপারভাইজর এবং আইসোলেটেড এলএসএ প্রসেসটি সক্রিয় হয়।ওই রিসেটটি ছাড়া, রেজিস্ট্রি পরিবর্তনগুলো প্রকৃতপক্ষে মেমরি প্রোটেকশন সক্রিয় করবে না।

ক্রেডেনশিয়াল গার্ড সক্রিয় এবং কার্যকর আছে কিনা তা কীভাবে পরীক্ষা করবেন

প্রক্রিয়াটি দেখুন LsaIso.exe এটি টাস্ক ম্যানেজারে দেখা যায়। এটি একটি সূত্র দিতে পারে, কিন্তু ক্রেডেনশিয়াল গার্ড কার্যকর আছে কিনা তা নিশ্চিত করার জন্য মাইক্রোসফট এটিকে একটি নির্ভরযোগ্য পদ্ধতি হিসেবে বিবেচনা করে না। অন্তর্নির্মিত সিস্টেম টুলের উপর ভিত্তি করে আরও শক্তিশালী পদ্ধতি বিদ্যমান।

প্রস্তাবিত বিকল্পগুলির মধ্যে ক্রেডেনশিয়াল গার্ডের অবস্থা যাচাই করুন এগুলোর মধ্যে রয়েছে সিস্টেম ইনফরমেশন, পাওয়ারশেল এবং ইভেন্ট ভিউয়ার। প্রতিটি পদ্ধতিই ভিন্ন ভিন্ন দৃষ্টিকোণ থেকে দেখার সুযোগ দেয়, তাই সবগুলোর সাথেই পরিচিত হয়ে নেওয়া ভালো।

সবচেয়ে দৃশ্যমান পদ্ধতি হলো সেটি যা সিস্টেমের তথ্য (msinfo32.exe)স্টার্ট মেনু থেকে এই টুলটি চালান, "সিস্টেম সামারি" নির্বাচন করুন এবং "রানিং ভার্চুয়ালাইজেশন-বেসড সিকিউরিটি সার্ভিসেস" বিভাগে গিয়ে নিশ্চিত করুন যে "ক্রেডেনশিয়াল গার্ড" একটি সক্রিয় পরিষেবা হিসাবে প্রদর্শিত হচ্ছে।

আপনি যদি স্ক্রিপ্টেবল কিছু পছন্দ করেন, পাওয়ারশেল আপনার মিত্রউচ্চতর বিশেষাধিকার সহ একটি কনসোল থেকে, আপনি নিম্নলিখিত কমান্ডটি চালাতে পারেন:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

এই কমান্ডের আউটপুট সাংখ্যিক কোড ব্যবহার করে নির্দেশ করে যে ওই মেশিনে ক্রেডেনশিয়াল গার্ড সক্রিয় আছে কি নাএকটি মান 0 মানে হলো ক্রেডেনশিয়াল গার্ড নিষ্ক্রিয় করা আছে।যদিও ১ নির্দেশ করে যে এটি সক্রিয় এবং চালু আছে। ভার্চুয়ালাইজেশন-ভিত্তিক নিরাপত্তা পরিষেবার অংশ হিসেবে।

অবশেষে, ইভেন্ট ভিউয়ার আপনাকে ক্রেডেনশিয়াল গার্ডের ঐতিহাসিক আচরণ পর্যালোচনা করার সুযোগ দেয়।উদ্বোধন eventvwr.exe 'Windows Logs > System'-এ গিয়ে, আপনি 'WinInit' ইভেন্ট সোর্স দ্বারা ফিল্টার করতে পারেন এবং Device Guard ও Credential Guard সার্ভিসগুলোর ইনিশিয়ালাইজেশন সম্পর্কিত মেসেজগুলো খুঁজে বের করতে পারেন, যা পর্যায়ক্রমিক নিরীক্ষার জন্য উপযোগী।

ক্রেডেনশিয়াল গার্ড নিষ্ক্রিয় করুন এবং UEFI লকআউট পরিচালনা করুন

যদিও ক্রেডেনশিয়াল গার্ড সক্রিয় রাখার সাধারণ পরামর্শ দেওয়া হয়। যেসব সিস্টেমে এটি সমর্থিত, সেগুলোতে কিছু অত্যন্ত নির্দিষ্ট পরিস্থিতিতে পুরোনো অ্যাপ্লিকেশনগুলির সাথে অসঙ্গতি সমাধান করতে অথবা নির্দিষ্ট কিছু ডায়াগনস্টিক কাজ সম্পাদন করতে এটিকে নিষ্ক্রিয় করার প্রয়োজন হতে পারে।

সঠিক পদ্ধতি ক্রেডেনশিয়াল গার্ড নিষ্ক্রিয় করা নির্ভর করে এটি প্রাথমিকভাবে কীভাবে কনফিগার করা হয়েছিল তার উপর।যদি এটি UEFI লকিং ছাড়া সক্রিয় করা হয়ে থাকে, তবে কেবল Intune, GPO, বা Registry পলিসিগুলো পূর্বাবস্থায় ফিরিয়ে আনুন এবং রিবুট করুন। তবে, যদি এটি UEFI লকিং সহ সক্রিয় করা হয়ে থাকে, তাহলে অতিরিক্ত পদক্ষেপের প্রয়োজন হবে, কারণ কিছু কনফিগারেশন ফার্মওয়্যারের EFI ভেরিয়েবলে সংরক্ষিত থাকে।

নির্দিষ্ট ক্ষেত্রে UEFI লক সহ ক্রেডেনশিয়াল গার্ড সক্রিয় করা হয়েছেপ্রথমে, আপনাকে অবশ্যই স্ট্যান্ডার্ড নিষ্ক্রিয়করণ প্রক্রিয়া (নির্দেশাবলী বা রেজিস্ট্রি মান পূর্বাবস্থায় ফিরিয়ে আনা) অনুসরণ করতে হবে এবং তারপরে সম্পর্কিত EFI ভেরিয়েবলগুলি ব্যবহার করে সরিয়ে ফেলতে হবে। bcdedit এবং ইউটিলিটি SecConfig.efi একটি উন্নত স্ক্রিপ্ট সহ।

সাধারণ প্রবাহের মধ্যে রয়েছে একটি অস্থায়ী EFI ড্রাইভ মাউন্ট করুন, কপি করুন SecConfig.efiএর সাথে একটি নতুন চার্জার ইনপুট তৈরি করুন bcdeditউইন্ডোজ বুট ম্যানেজারের মাধ্যমে আইসোলেটেড এলএসএ (LSA) নিষ্ক্রিয় করতে ও একটি অস্থায়ী বুট সিকোয়েন্স সেট করতে আপনার অপশনগুলো কনফিগার করুন, এবং সেই সাথে প্রক্রিয়াটির শেষে ড্রাইভটি আনমাউন্ট করুন।

এই কনফিগারেশন দিয়ে কম্পিউটারটি পুনরায় চালু করার পর, উইন্ডোজ চালু হওয়ার আগে, UEFI-তে একটি পরিবর্তন সম্পর্কে সতর্কতামূলক বার্তা প্রদর্শিত হবে।পরিবর্তনগুলো স্থায়ী করার জন্য এবং ফার্মওয়্যারে ক্রেডেনশিয়াল গার্ড ইএফআই লকটি সম্পূর্ণরূপে নিষ্ক্রিয় করার জন্য এই বার্তাটি নিশ্চিত করা বাধ্যতামূলক।

আপনার যা দরকার তা যদি হয় একটি নির্দিষ্ট হাইপার-ভি ভার্চুয়াল মেশিনে ক্রেডেনশিয়াল গার্ড নিষ্ক্রিয় করুনআপনি গেস্টকে স্পর্শ না করেই, পাওয়ারশেল ব্যবহার করে হোস্ট থেকে এটি করতে পারেন। একটি সাধারণ কমান্ড হবে:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

সেই সমন্বয়ের ফলে, ভার্চুয়াল মেশিনটি এটি VBS ব্যবহার করা বন্ধ করে দেয় এবং ফলস্বরূপ Credential Guard চালানোও বন্ধ করে দেয়। যদিও গেস্ট অপারেটিং সিস্টেমটি এই ফিচারটি সমর্থন করে, যা খুব নির্দিষ্ট ল্যাবরেটরি বা পরীক্ষার পরিবেশে উপযোগী হতে পারে।

হাইপার-ভি ভার্চুয়াল মেশিনে ক্রেডেনশিয়াল গার্ড

ক্রেডেনশিয়াল গার্ড শুধুমাত্র ভৌত সরঞ্জামের মধ্যে সীমাবদ্ধ নয়।এটি হাইপার-ভি পরিবেশে উইন্ডোজ চালিত ভার্চুয়াল মেশিনের ক্রেডেনশিয়ালগুলোও সুরক্ষিত করতে পারে, যা বেয়ার-মেটাল হার্ডওয়্যারে উপলব্ধ আইসোলেশনের অনুরূপ একটি স্তর প্রদান করে।

এই পরিস্থিতিতে, ক্রেডেনশিয়াল গার্ড ভার্চুয়াল মেশিনের ভেতর থেকেই পরিচালিত আক্রমণ থেকে গোপনীয় তথ্য সুরক্ষিত রাখে।অন্য কথায়, যদি কোনো আক্রমণকারী ভিএম-এর ভেতরের সিস্টেম প্রসেসগুলোকে হ্যাক করে, তাহলেও ভিবিএস সুরক্ষা এলএসএ-গুলোকে বিচ্ছিন্ন করে রাখবে এবং হ্যাশ ও টিকেটের প্রকাশ কমিয়ে দেবে।

তবে, সীমাটি সম্পর্কে স্পষ্ট থাকা জরুরি: ক্রেডেনশিয়াল গার্ড হোস্ট থেকে উদ্ভূত আক্রমণ থেকে ভিএম-কে রক্ষা করতে পারে না। উচ্চতর বিশেষাধিকার সহ। হাইপারভাইজর এবং হোস্ট সিস্টেমের ভার্চুয়াল মেশিনগুলোর উপর কার্যত সম্পূর্ণ নিয়ন্ত্রণ থাকে, তাই একজন বিদ্বেষী হোস্ট প্রশাসক এই বাধাগুলো অতিক্রম করতে পারে।

এই ধরনের ডেপ্লয়মেন্টে ক্রেডেনশিয়াল গার্ড সঠিকভাবে কাজ করার জন্য, হাইপার-ভি হোস্টে অবশ্যই একটি IOMMU থাকতে হবে। (ইনপুট/আউটপুট মেমরি ম্যানেজমেন্ট ইউনিট) যা মেমরি ও ডিভাইসগুলিতে অ্যাক্সেস বিচ্ছিন্ন করার সুযোগ দেয়, এবং ভার্চুয়াল মেশিন অবশ্যই এর হতে হবে দ্বিতীয় প্রজন্ম, UEFI ফার্মওয়্যার সহযা সিকিউর বুট এবং অন্যান্য প্রয়োজনীয় সক্ষমতা প্রদান করে।

এই প্রয়োজনীয়তাগুলো কার্যকর থাকার সাথে সাথে, ভিএম-এ ক্রেডেনশিয়াল গার্ড ব্যবহারের অভিজ্ঞতা একটি ফিজিক্যাল মেশিনের মতোই।একই অ্যাক্টিভেশন পদ্ধতি (ইনটিউন, জিপিও, রেজিস্ট্রি) এবং ভেরিফিকেশন পদ্ধতি (এমএসইনফো৩২, পাওয়ারশেল, ইভেন্ট ভিউয়ার) অন্তর্ভুক্ত।

এক্সপ্লয়েট গার্ড এবং মাইক্রোসফট ডিফেন্ডার: সাধারণ সুরক্ষা সক্রিয় ও পরিচালনা করুন

ক্রেডেনশিয়াল গার্ডের পাশাপাশি, উইন্ডোজ নিরাপত্তা ইকোসিস্টেম মাইক্রোসফট ডিফেন্ডার অ্যান্টিভাইরাসের উপরও নির্ভর করে। এবং এক্সপ্লয়েট গার্ডের মতো প্রযুক্তিতে, যেগুলোতে অ্যাটাক সারফেস রিডাকশন রুলস, নেটওয়ার্ক প্রোটেকশন, ফোল্ডার অ্যাক্সেস কন্ট্রোল এবং ম্যালওয়্যারের গতি কমানো ও এক্সপ্লয়েট প্রশমিত করার লক্ষ্যে অন্যান্য ফিচার অন্তর্ভুক্ত রয়েছে।

অনেক দলে, মাইক্রোসফট ডিফেন্ডার অ্যান্টিভাইরাস ডিফল্টরূপে আগে থেকেই ইনস্টল এবং সক্রিয় থাকে। Windows 8, Windows 10 এবং Windows 11-এ এটি উপলব্ধ, কিন্তু পূর্ববর্তী পলিসি, থার্ড-পার্টি সলিউশন ইনস্টলেশন, অথবা রেজিস্ট্রি-তে ম্যানুয়াল পরিবর্তনের কারণে এটিকে নিষ্ক্রিয় অবস্থায় পাওয়া তুলনামূলকভাবে সাধারণ।

পাড়া স্থানীয় গ্রুপ পলিসি ব্যবহার করে মাইক্রোসফট ডিফেন্ডার অ্যান্টিভাইরাস সক্রিয় করুন।আপনি স্টার্ট মেনু খুলে, "Group Policy" লিখে সার্চ করে "Edit Group Policy" নির্বাচন করতে পারেন। "Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus"-এর মধ্যে আপনি "Turn off Windows Defender Antivirus" অপশনটি দেখতে পাবেন।

এই পলিসিটি 'এনাবলড' এ সেট করা থাকলে, এর মানে হলো অ্যান্টিভাইরাসটি জোরপূর্বক নিষ্ক্রিয় করা হয়েছে। এর কার্যকারিতা পুনরুদ্ধার করতে, অপশনটি 'Disabled' বা 'Not Configured'-এ সেট করুন।পরিবর্তনগুলো প্রয়োগ করুন এবং এডিটরটি বন্ধ করুন। পরবর্তী পলিসি আপডেটের পর সার্ভিসটি আবার চালু করা যাবে।

যদি সেই সময়ে রেজিস্ট্রি থেকে ডিফেন্ডারকে স্পষ্টভাবে নিষ্ক্রিয় করা হয়েছিল।আপনাকে পথটি যাচাই করতে হবে। HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender এবং মানটি সনাক্ত করুন DisableAntiSpywareরেজিস্ট্রি এডিটর ব্যবহার করে, আপনি এটি খুলতে পারেন এবং এর 'ভ্যালু ডেটা' সেট করতে পারেন 0অ্যান্টিভাইরাসটিকে পুনরায় কাজ করার সুযোগ দিতে পরিবর্তনটি গ্রহণ করা হচ্ছে।

এই পরিবর্তনগুলি করার পর, "স্টার্ট > সেটিংস > আপডেট ও নিরাপত্তা > উইন্ডোজ ডিফেন্ডার" (সাম্প্রতিক সংস্করণগুলিতে, "উইন্ডোজ সিকিউরিটি")-এ যান এবং "রিয়েল-টাইম প্রোটেকশন" সুইচটি সক্রিয় আছে কিনা তা যাচাই করুন।যদি এটি এখনও বন্ধ থাকে, তবে ম্যানুয়ালি এটি চালু করুন, যাতে সিস্টেমের সাথে অ্যান্টিভাইরাস সুরক্ষা ব্যবস্থাটিও চালু হয়।

সর্বোচ্চ সুরক্ষার জন্য পরামর্শ দেওয়া হয় রিয়েল-টাইম সুরক্ষা এবং ক্লাউড-ভিত্তিক সুরক্ষা উভয়ই সক্রিয় করুন"উইন্ডোজ সিকিউরিটি" অ্যাপ্লিকেশন থেকে, "ভাইরাস ও হুমকি সুরক্ষা > ভাইরাস ও হুমকি সুরক্ষা সেটিংস > সেটিংস পরিচালনা"-তে যান এবং সংশ্লিষ্ট সুইচগুলি সক্রিয় করুন।

যদি এই বিকল্পগুলি দৃশ্যমান না হয়, তাহলে সম্ভবত একটি গ্রুপ পলিসি অ্যান্টিভাইরাস সুরক্ষা অংশটিকে আড়াল করে রাখছে। Windows Security-তে, 'Computer Configuration > Administrative Templates > Windows Components > Windows Security > Virus & threat protection' চেক করুন এবং নিশ্চিত করুন যে 'Hide virus and threat protection area' পলিসিটি 'Disabled' অবস্থায় সেট করা আছে, এরপর পরিবর্তনগুলো প্রয়োগ করুন।

এটি সমান গুরুত্বপূর্ণ ভাইরাস ডেফিনিশন আপ-টু-ডেট রাখুন এর ফলে মাইক্রোসফট ডিফেন্ডার সাম্প্রতিক হুমকিগুলো শনাক্ত করতে পারে। উইন্ডোজ সিকিউরিটি থেকে, "ভাইরাস ও হুমকি সুরক্ষা" (Virus & threat protection)-এর অধীনে "হুমকি সুরক্ষা আপডেট" (Threat protection updates)-এ গিয়ে "আপডেটের জন্য পরীক্ষা করুন" (Check for updates)-এ ক্লিক করুন এবং সর্বশেষ সিগনেচারগুলো ডাউনলোড করার অনুমতি দিন।

আপনি যদি কমান্ড লাইন পছন্দ করেন, সেটাও একটি বিকল্প। আপনি CMD থেকে Microsoft Defender সার্ভিসটি চালু করতে পারেন।. Windows + R টিপুন, টাইপ করুন cmd তারপর, কমান্ড প্রম্পটে (বিশেষত উন্নত বিশেষাধিকার সহ), চালান:

sc start WinDefend

এই আদেশের মাধ্যমে, প্রধান অ্যান্টিভাইরাস পরিষেবা চালু হয় যদি কোনো অতিরিক্ত পলিসি বা ব্লক এটিকে বাধা না দেয়, তবে ইঞ্জিনটি ত্রুটি ছাড়াই চালু হয় কিনা তা আপনি দ্রুত যাচাই করতে পারবেন।

আপনার কম্পিউটার মাইক্রোসফট ডিফেন্ডার ব্যবহার করে কিনা তা জানতে, কেবল "স্টার্ট > সেটিংস > সিস্টেম"-এ যান এবং তারপর "কন্ট্রোল প্যানেল" খুলুন। "সিকিউরিটি অ্যান্ড মেইনটেন্যান্স" বিভাগে, আপনি "সিস্টেম সিকিউরিটি অ্যান্ড প্রোটেকশন" অংশটি খুঁজে পাবেন, যেখানে আপনি অ্যান্টিভাইরাস সুরক্ষার অবস্থা এবং অন্যান্য সক্রিয় ব্যবস্থাগুলোর একটি সারসংক্ষেপ দেখতে পাবেন। দলে।

মিশ্রন দ্বারা মেমরিতে ক্রেডেনশিয়াল সুরক্ষিত রাখতে ক্রেডেনশিয়াল গার্ড সঠিকভাবে কনফিগার করা মাইক্রোসফট ডিফেন্ডার, এক্সপ্লয়েট গার্ড এবং উপযুক্ত হার্ডেনিং রুলসের মাধ্যমে ক্রেডেনশিয়াল চুরি, অ্যাডভান্সড ম্যালওয়্যার এবং ডোমেইনের মধ্যে ল্যাটারাল মুভমেন্টের বিরুদ্ধে উল্লেখযোগ্যভাবে উচ্চতর নিরাপত্তা অর্জন করা যায়। যদিও লিগ্যাসি প্রোটোকল এবং অ্যাপ্লিকেশনগুলোর সাথে সামঞ্জস্য রক্ষার জন্য সবসময়ই একটি খরচ থাকে, তবে বেশিরভাগ প্রতিষ্ঠানে সামগ্রিক নিরাপত্তার উন্নতি এই খরচকে পুষিয়ে দেয়।