Πώς να ενεργοποιήσετε το Microsoft Defender Credential Guard και το Exploit Guard

Προστασία διαπιστευτηρίων στα Windows και θωράκιση του συστήματος από exploits Έχει γίνει σχεδόν υποχρεωτικό σε κάθε σύγχρονο επιχειρηματικό περιβάλλον. Επιθέσεις όπως το Pass-the-Hash, το Pass-the-Ticket ή η κατάχρηση τρωτών σημείων zero-day εκμεταλλεύονται οποιαδήποτε παράλειψη στη διαμόρφωση για να κινηθούν πλευρικά στο δίκτυο και να πάρουν τον έλεγχο των διακομιστών και των σταθμών εργασίας μέσα σε λίγα λεπτά.

Στο πλαίσιο αυτό, Τεχνολογίες Microsoft Defender Credential Guard και Exploit Guard (μαζί με τη μηχανή προστασίας από ιούς του Microsoft Defender) αποτελούν βασικά στοιχεία της στρατηγικής ασφαλείας στα Windows 10, Windows 11 και Windows Server. Στις παρακάτω γραμμές, θα δείτε, βήμα προς βήμα και λεπτομερώς, πώς λειτουργούν, τις απαιτήσεις τους και πώς να τα ενεργοποιήσετε ή να τα απενεργοποιήσετε σωστά χρησιμοποιώντας το Intune, την Πολιτική ομάδας, το Μητρώο, το PowerShell και άλλα εργαλεία, αποφεύγοντας παράλληλα την άσκοπη διακοπή της συμβατότητας.

Τι είναι το Microsoft Defender Credential Guard και γιατί είναι τόσο σημαντικό;

Το Windows Defender Credential Guard είναι μια λειτουργία ασφαλείας Αυτή η λειτουργία, που εισήχθη από τη Microsoft στα Windows 10 Enterprise και Windows Server 2016, βασίζεται σε ασφάλεια που βασίζεται σε εικονικοποίηση (VBS) για την απομόνωση μυστικών στοιχείων ελέγχου ταυτότητας. Αντί της Τοπικής Αρχής Ασφαλείας (LSA) να διαχειρίζεται απευθείας τα διαπιστευτήρια στη μνήμη, χρησιμοποιείται μια απομονωμένη διεργασία LSA.LSAIso.exe) εκτελείται σε προστατευμένο περιβάλλον.

Χάρη σε αυτή την απομόνωση, Μόνο το λογισμικό συστήματος με τα κατάλληλα δικαιώματα μπορεί να έχει πρόσβαση σε hashes NTLM και δελτία Kerberos (TGT).Τα διαπιστευτήρια που χρησιμοποιούνται από το Credential Manager, οι τοπικές συνδέσεις και τα διαπιστευτήρια που χρησιμοποιούνται σε συνδέσεις όπως η Απομακρυσμένη Επιφάνεια Εργασίας δεν είναι πλέον διαθέσιμα. Οποιοσδήποτε κακόβουλος κώδικας επιχειρεί να διαβάσει απευθείας τη μνήμη μιας συμβατικής διεργασίας LSA θα διαπιστώσει ότι αυτά τα μυστικά έχουν εξαφανιστεί.

Αυτή η προσέγγιση μειώνει δραστικά την αποτελεσματικότητα των κλασικών εργαλείων μετά την εκμετάλλευση, όπως π.χ. Mimikatz για επιθέσεις Pass-the-Hash ή Pass-the-TicketΑυτό συμβαίνει επειδή τα hashes και τα tickets που προηγουμένως ήταν εύκολο να εξαχθούν, τώρα βρίσκονται σε ένα απομονωμένο κοντέινερ στη μνήμη, το οποίο το κακόβουλο λογισμικό δεν μπορεί να συμβουλευτεί τόσο εύκολα, ακόμα κι αν έχει δικαιώματα διαχειριστή στο παραβιασμένο σύστημα.

Αξίζει να το διευκρινίσουμε Το Credential Guard δεν είναι το ίδιο με το Device GuardΕνώ το Credential Guard προστατεύει τα διαπιστευτήρια και τα μυστικά, το Device Guard (και οι σχετικές τεχνολογίες ελέγχου εφαρμογών) επικεντρώνεται στην αποτροπή της εκτέλεσης μη εξουσιοδοτημένου κώδικα στον υπολογιστή. Είναι συμπληρωματικά, αλλά επιλύουν διαφορετικά προβλήματα.

Ακόμα, Το Credential Guard δεν είναι πανάκεια ενάντια στον Mimikatz ή ενάντια σε εσωτερικούς εισβολείς.Ένας εισβολέας που ελέγχει ήδη ένα τελικό σημείο θα μπορούσε να καταγράψει διαπιστευτήρια καθώς ο χρήστης τα εισάγει (για παράδειγμα, με ένα keylogger ή εισάγοντας κώδικα στη διαδικασία ελέγχου ταυτότητας). Επίσης, δεν εμποδίζει έναν υπάλληλο με νόμιμη πρόσβαση σε ορισμένα δεδομένα να τα αντιγράψει ή να τα εξαγάγει. Το Credential Guard προστατεύει τα διαπιστευτήρια στη μνήμη, όχι τη συμπεριφορά του χρήστη.

Το Credential Guard είναι ενεργοποιημένο από προεπιλογή στα Windows 11 και Windows Server

Στις σύγχρονες εκδόσεις των Windows, το Credential Guard ενεργοποιείται αυτόματα σε πολλές περιπτώσεις.Ξεκινώντας με τα Windows 11 22H2 και τον Windows Server 2025, οι συσκευές που πληρούν συγκεκριμένες απαιτήσεις υλικού, υλικολογισμικού και ρύθμισης παραμέτρων λαμβάνουν ενεργοποιημένα τα VBS και Credential Guard από προεπιλογή, χωρίς να χρειάζεται να κάνει τίποτα ο διαχειριστής.

Σε αυτά τα συστήματα, Η προεπιλεγμένη ενεργοποίηση εκτελείται χωρίς κλείδωμα UEFIΑυτό σημαίνει ότι, παρόλο που το Credential Guard είναι ενεργοποιημένο από προεπιλογή, ο διαχειριστής μπορεί αργότερα να το απενεργοποιήσει απομακρυσμένα μέσω πολιτικής ομάδας, Intune ή άλλων μεθόδων, επειδή η επιλογή κλειδώματος δεν έχει ενεργοποιηθεί στο υλικολογισμικό.

Όταν Το Credential Guard είναι ενεργοποιημένο και η ασφάλεια που βασίζεται σε εικονικοποίηση (VBS) είναι επίσης ενεργοποιημένη.Το VBS είναι το στοιχείο που δημιουργεί το προστατευμένο περιβάλλον όπου τα LSA είναι απομονωμένα και όπου αποθηκεύονται τα μυστικά, επομένως και οι δύο λειτουργίες συμβαδίζουν σε αυτές τις εκδόσεις.

Μια σημαντική απόχρωση είναι ότι Οι τιμές που έχουν διαμορφωθεί ρητά από τον διαχειριστή υπερισχύουν πάντα. πάνω από τις προεπιλεγμένες ρυθμίσεις. Εάν το Credential Guard είναι ενεργοποιημένο ή απενεργοποιημένο μέσω Intune, GPO ή Registry, αυτή η χειροκίνητη κατάσταση αντικαθιστά την προεπιλεγμένη ενεργοποίηση μετά την επανεκκίνηση του υπολογιστή.

Επιπλέον, εάν Μία συσκευή είχε απενεργοποιήσει ρητά το Credential Guard πριν από την αναβάθμιση σε μια έκδοση των Windows που το ενεργοποιεί από προεπιλογή.Η συσκευή θα σεβαστεί αυτήν την απενεργοποίηση μετά την ενημέρωση και δεν θα ενεργοποιηθεί αυτόματα, εκτός εάν αλλάξει ξανά η διαμόρφωσή της χρησιμοποιώντας ένα από τα εργαλεία διαχείρισης.

Απαιτήσεις συστήματος, υλικού, υλικολογισμικού και αδειοδότησης

Έτσι ώστε η Credential Guard να μπορεί να προσφέρει πραγματική προστασίαΟ εξοπλισμός πρέπει να πληροί ορισμένες απαιτήσεις υλικού, υλικολογισμικού και λογισμικού. Όσο καλύτερες είναι οι δυνατότητες της πλατφόρμας, τόσο υψηλότερο είναι το εφικτό επίπεδο ασφάλειας.

Στην πρώτη θέση, Απαιτείται CPU 64-bit και συμβατότητα με ασφάλεια που βασίζεται σε εικονικοποίηση. Αυτό σημαίνει ότι ο επεξεργαστής και η μητρική πλακέτα πρέπει να υποστηρίζουν τις κατάλληλες επεκτάσεις εικονικοποίησης, καθώς και την ενεργοποίηση αυτών των λειτουργιών στο UEFI/BIOS.

Ένα άλλο κρίσιμο στοιχείο είναι η ασφαλής εκκίνηση (Secure Boot)Η Ασφαλής Εκκίνηση διασφαλίζει ότι το σύστημα ξεκινά φορτώνοντας μόνο αξιόπιστο, υπογεγραμμένο υλικολογισμικό και λογισμικό. Η Ασφαλής Εκκίνηση χρησιμοποιείται από το VBS και το Credential Guard για να αποτρέψει έναν εισβολέα από το να τροποποιήσει στοιχεία εκκίνησης για να απενεργοποιήσει ή να χειραγωγήσει την προστασία.

Αν και δεν είναι απολύτως υποχρεωτικό, η κατοχή ενός συνιστάται ανεπιφύλακτα. Μονάδα αξιόπιστης πλατφόρμας (TPM) έκδοση 1.2 ή 2.0Είτε διακριτό είτε βασισμένο σε υλικολογισμικό, το TPM επιτρέπει τη σύνδεση μυστικών και κλειδιών κρυπτογράφησης με το υλικό, προσθέτοντας ένα επιπλέον επίπεδο που περιπλέκει σοβαρά τα πράγματα για όποιον προσπαθεί να μεταφέρει ή να επαναχρησιμοποιήσει αυτά τα μυστικά σε άλλη συσκευή.

Συνιστάται επίσης ιδιαίτερα να ενεργοποιήσετε την Κλείδωμα UEFI για το Credential GuardΑυτό εμποδίζει οποιονδήποτε έχει πρόσβαση στο σύστημα να απενεργοποιήσει την προστασία απλώς τροποποιώντας ένα κλειδί μητρώου ή μια πολιτική. Με ενεργό το κλείδωμα, η απενεργοποίηση του Credential Guard απαιτεί μια πολύ πιο ελεγχόμενη και σαφή διαδικασία.

Στον τομέα των αδειοδότησης, Το Credential Guard δεν είναι διαθέσιμο σε όλες τις εκδόσεις των WindowsΓενικά, υποστηρίζεται σε εκδόσεις για επιχειρήσεις και εκπαιδευτικά ιδρύματα: Τα Windows Enterprise και Windows Education υποστηρίζουν την υπηρεσία, ενώ τα Windows Pro ή Pro Education/SE δεν την περιλαμβάνουν από προεπιλογή.

Ο Τα δικαιώματα χρήσης του Credential Guard συνδέονται με ορισμένες άδειες χρήσης συνδρομής, όπως τα Windows Enterprise E3 και E5, καθώς και τα Windows Education A3 και A5. Οι εκδόσεις Pro, όσον αφορά τις άδειες χρήσης, δεν δικαιούνται αυτήν την προηγμένη λειτουργικότητα, παρόλο που εκτελούν το ίδιο δυαδικό αρχείο του λειτουργικού συστήματος.

Συμβατότητα εφαρμογών και κλειδωμένες λειτουργίες

Πριν από τη μαζική ανάπτυξη του Credential GuardΣυνιστάται να ελέγχετε διεξοδικά τις εφαρμογές και τις υπηρεσίες που βασίζονται σε συγκεκριμένους μηχανισμούς ελέγχου ταυτότητας. Δεν λειτουργούν όλα τα παλαιότερα λογισμικά καλά με αυτές τις προστασίες και ορισμένα πρωτόκολλα αποκλείονται απευθείας.

Όταν είναι ενεργοποιημένη η Προστασία Πιστοποιητικών, οι λειτουργίες που θεωρούνται επικίνδυνες απενεργοποιούνται, έτσι ώστε Οι εφαρμογές που εξαρτώνται από αυτά σταματούν να λειτουργούν σωστάΑυτές είναι γνωστές ως απαιτήσεις εφαρμογής: όροι που πρέπει να αποφεύγονται εάν θέλετε να συνεχίσετε να χρησιμοποιείτε το Credential Guard χωρίς απρόοπτα.

Ανάμεσα στα χαρακτηριστικά που Είναι μπλοκαρισμένα απευθείας περιλαμβάνουν:

• Συμβατότητα κρυπτογράφησης Kerberos DES.
• Ανάθεση Kerberos χωρίς περιορισμούς.
• Εξαγωγή TGT από Kerberos από LSA.
• Πρωτόκολλο NTLMv1.

Επιπλέον, Υπάρχουν χαρακτηριστικά που, αν και δεν απαγορεύονται εντελώς, ενέχουν πρόσθετους κινδύνους εάν χρησιμοποιείται σε συνδυασμό με το Credential Guard. Οι εφαρμογές που βασίζονται σε έμμεση επαλήθευση ταυτότητας, ανάθεση διαπιστευτηρίων, MS-CHAPv2 ή CredSSP είναι ιδιαίτερα ευαίσθητες, καθώς μπορούν να εκθέσουν με ασφάλεια διαπιστευτήρια εάν δεν ρυθμιστούν προσεκτικά.

Έχει επίσης παρατηρηθεί προβλήματα απόδοσης σε εφαρμογές που επιχειρούν να συνδεθούν ή να αλληλεπιδράσουν άμεσα με την απομονωμένη διεργασία LSAIso.exeΕπειδή αυτή η διεργασία είναι προστατευμένη και απομονωμένη, τυχόν επαναλαμβανόμενες προσπάθειες πρόσβασης ενδέχεται να προσθέσουν επιβάρυνση ή να προκαλέσουν επιβράδυνση σε συγκεκριμένα σενάρια.

Το καλό είναι ότι σύγχρονες υπηρεσίες και πρωτόκολλα που χρησιμοποιούν το Kerberos ως πρότυποΛειτουργίες όπως η πρόσβαση σε κοινόχρηστους πόρους SMB ή μια σωστά διαμορφωμένη Απομακρυσμένη επιφάνεια εργασίας συνεχίζουν να λειτουργούν κανονικά και δεν επηρεάζονται από την ενεργοποίηση του Credential Guard, εφόσον δεν εξαρτώνται από τις παλαιότερες λειτουργίες που αναφέρονται παραπάνω.

Πώς να ενεργοποιήσετε το Credential Guard: Intune, GPO και Registry

Ο ιδανικός τρόπος ενεργοποίησης του Credential Guard εξαρτάται από το μέγεθος και τη διαχείριση του περιβάλλοντός σας.Για οργανισμούς με σύγχρονα συστήματα διαχείρισης, το Microsoft Intune (MDM) είναι πολύ βολικό, ενώ στα παραδοσιακά domains του Active Directory, η Πολιτική ομάδας εξακολουθεί να χρησιμοποιείται ευρέως. Για πιο ακριβείς προσαρμογές ή συγκεκριμένους αυτοματισμούς, το Μητρώο παραμένει μια επιλογή.

Πρώτα απ 'όλα, είναι σημαντικό να κατανοήσουμε ότι Το Credential Guard πρέπει να είναι ενεργοποιημένο πριν από την ένωση του υπολογιστή στον τομέα. ή πριν ένας χρήστης τομέα συνδεθεί για πρώτη φορά. Εάν ενεργοποιηθεί αργότερα, τα μυστικά χρήστη και υπολογιστή ενδέχεται να έχουν ήδη παραβιαστεί, μειώνοντας το πραγματικό όφελος της προστασίας.

Σε γενικές γραμμές, μπορείτε να ενεργοποιήσετε το Credential Guard ως εξής:

• Διαχείριση Microsoft Intune / MDM.
• Πολιτική ομάδας (GPO) στο Active Directory ή στο τοπικό πρόγραμμα επεξεργασίας πολιτικής.
• Άμεση τροποποίηση του μητρώου των Windows.

Κατά την εφαρμογή οποιασδήποτε από αυτές τις ρυθμίσεις, Μην ξεχνάτε ότι η επανεκκίνηση της συσκευής είναι υποχρεωτική. Για να τεθούν σε ισχύ οι αλλαγές, το Credential Guard, το VBS και όλα τα στοιχεία απομόνωσης αρχικοποιούνται κατά την εκκίνηση, επομένως η απλή αλλαγή της πολιτικής δεν αρκεί.

Ενεργοποίηση του Credential Guard με το Microsoft Intune

Εάν διαχειρίζεστε τις συσκευές σας με το Intune, έχετε δύο προσεγγίσεις Κύριες επιλογές: Χρησιμοποιήστε πρότυπα Endpoint Security ή χρησιμοποιήστε μια προσαρμοσμένη πολιτική που διαμορφώνει το DeviceGuard CSP μέσω OMA-URI.

Στην πύλη Intune, μπορείτε να μεταβείτε στην ενότητα «Ασφάλεια τελικού σημείου > Προστασία λογαριασμού» και δημιουργήστε μια νέα πολιτική προστασίας λογαριασμού. Επιλέξτε την πλατφόρμα "Windows 10 και νεότερες εκδόσεις" και τον τύπο προφίλ "Προστασία λογαριασμού" (στις διαφορετικές παραλλαγές του, ανάλογα με την διαθέσιμη έκδοση).

Κατά τη διαμόρφωση των ρυθμίσεων, Ορίστε την επιλογή "Ενεργοποίηση Credential Guard" σε "Ενεργοποίηση με κλείδωμα UEFI" Αν θέλετε να αποτρέψετε την εύκολη απενεργοποίηση της προστασίας από απόσταση, το Credential Guard είναι "αγκυροβολημένο" στο υλικολογισμικό, αυξάνοντας το επίπεδο φυσικής και λογικής ασφάλειας της συσκευής.

Μόλις οριστούν οι παράμετροι, Αντιστοιχίστε την πολιτική σε μια ομάδα που περιέχει τις συσκευές ή τα αντικείμενα χρήστη που θέλετε να προστατεύσετε.Η πολιτική θα εφαρμοστεί όταν η συσκευή συγχρονιστεί με το Intune και μετά την αντίστοιχη επανεκκίνηση, θα ενεργοποιηθεί το Credential Guard.

Αν προτιμάτε να ελέγχετε τις μικρές λεπτομέρειες, Μπορείτε να χρησιμοποιήσετε μια προσαρμοσμένη πολιτική με βάση το DeviceGuard CSPΓια να γίνει αυτό, είναι απαραίτητο να δημιουργήσετε καταχωρήσεις OMA-URI με τα κατάλληλα ονόματα και τιμές, για παράδειγμα:

διαμόρφωση
όνομαΕνεργοποίηση ασφάλειας που βασίζεται σε εικονικοποίηση OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Τύπος δεδομένων: εσωτ. αξία: 1
όνομαΔιαμόρφωση Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Τύπος δεδομένων: εσωτ. αξία: Ενεργοποιήθηκε με το κλείδωμα UEFI: 1 Ενεργοποιημένο χωρίς αποκλεισμό: 2

Μετά την εφαρμογή αυτής της προσαρμοσμένης πολιτικής και την επανεκκίνηση, Η συσκευή θα ξεκινήσει με ενεργές τις λειτουργίες VBS και Credential Guard.και τα διαπιστευτήρια συστήματος θα προστατεύονται στο απομονωμένο κοντέινερ.

Ρύθμιση παραμέτρων του Credential Guard χρησιμοποιώντας πολιτική ομάδας

Σε περιβάλλοντα με παραδοσιακό Active DirectoryΟ πιο φυσικός τρόπος για να ενεργοποιήσετε το Credential Guard μαζικά είναι μέσω των Αντικειμένων Πολιτικής Ομάδας (GPO). Μπορείτε να το κάνετε αυτό είτε από το τοπικό πρόγραμμα επεξεργασίας πολιτικής σε έναν μόνο υπολογιστή είτε από τη Διαχείριση Πολιτικής Ομάδας σε επίπεδο τομέα.

Για να ρυθμίσετε την πολιτική, ανοίξτε τον αντίστοιχο επεξεργαστή GPO και μεταβείτε στη διαδρομή Ρύθμιση παραμέτρων υπολογιστή > Πρότυπα διαχείρισης > Σύστημα > Προστασία συσκευώνΣε αυτήν την ενότητα θα βρείτε την πολιτική "Ενεργοποίηση ασφάλειας που βασίζεται σε εικονικοποίηση".

Η παρούσα οδηγία θεσπίζει Επιλέξτε "Ενεργοποιημένο" και επιλέξτε τις επιθυμητές ρυθμίσεις Credential Guard από την αναπτυσσόμενη λίστα.Μπορείτε να επιλέξετε μεταξύ "Ενεργοποιημένο με κλείδωμα UEFI" ή "Ενεργοποιημένο χωρίς κλείδωμα", ανάλογα με το επίπεδο φυσικής προστασίας που θέλετε να εφαρμόσετε.

Μόλις ρυθμιστεί το GPO, συνδέστε το με την οργανωτική μονάδα ή τον τομέα όπου βρίσκονται οι υπολογιστές-στόχοιΜπορείτε να βελτιώσετε την εφαρμογή του χρησιμοποιώντας φιλτράρισμα ομάδων ασφαλείας ή φίλτρα WMI, έτσι ώστε να ισχύει μόνο για ορισμένους τύπους συσκευών (για παράδειγμα, μόνο σε εταιρικούς φορητούς υπολογιστές με συμβατό υλικό).

Όταν τα μηχανήματα λάβουν την οδηγία και επανεκκινήσουν, Το Credential Guard θα ενεργοποιηθεί σύμφωνα με τη διαμόρφωση του GPO., αξιοποιώντας την υποδομή τομέα για την ανάπτυξή της με τυποποιημένο τρόπο.

Ενεργοποιήστε το Credential Guard τροποποιώντας το μητρώο των Windows

Εάν χρειάζεστε πολύ λεπτομερή έλεγχο ή για να αυτοματοποιήσετε την ανάπτυξη με σενάριαΜπορείτε να ρυθμίσετε το Credential Guard απευθείας χρησιμοποιώντας κλειδιά μητρώου. Αυτή η μέθοδος απαιτεί ακρίβεια, επειδή μια εσφαλμένη τιμή μπορεί να αφήσει το σύστημα σε μια μη αναμενόμενη κατάσταση.

Για να ενεργοποιηθούν η ασφάλεια που βασίζεται στην εικονικοποίηση και το Credential Guard, Πρέπει να δημιουργήσετε ή να τροποποιήσετε πολλές καταχωρήσεις σε συγκεκριμένες διαδρομέςΤα βασικά σημεία είναι:

διαμόρφωση
Διαδρομή: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard όνομα: EnableVirtualizationBasedSecurity tipo: REG_DWORD αξία: 1 (ενεργοποιεί την ασφάλεια που βασίζεται στην εικονικοποίηση)
Διαδρομή: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard όνομα: RequirePlatformSecurityFeatures tipo: REG_DWORD αξία: 1 (χρησιμοποιώντας ασφαλή εκκίνηση) 3 (ασφαλής εκκίνηση + προστασία DMA)
Διαδρομή: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa όνομα: LsaCfgFlags tipo: REG_DWORD αξία: 1 (ενεργοποιεί το Credential Guard με κλείδωμα UEFI) 2 (ενεργοποιεί το Credential Guard χωρίς κλείδωμα)

Μετά την εφαρμογή αυτών των τιμών, Επανεκκινήστε τον υπολογιστή, ώστε να τεθούν σε λειτουργία ο υπερεπόπτης των Windows και η απομονωμένη διεργασία LSA.Χωρίς αυτήν την επαναφορά, οι αλλαγές στο μητρώο δεν θα ενεργοποιήσουν στην πραγματικότητα την προστασία μνήμης.

Πώς να ελέγξετε εάν το Credential Guard είναι ενεργοποιημένο και λειτουργεί

Δείτε αν η διαδικασία LsaIso.exe Εμφανίζεται στη Διαχείριση Εργασιών. Μπορεί να παρέχει μια ένδειξη, αλλά η Microsoft δεν τη θεωρεί αξιόπιστη μέθοδο για την επιβεβαίωση ότι το Credential Guard λειτουργεί. Υπάρχουν πιο ισχυρές διαδικασίες, βασισμένες σε ενσωματωμένα εργαλεία συστήματος.

Μεταξύ των προτεινόμενων επιλογών για Ελέγξτε την κατάσταση του Credential Guard Αυτά περιλαμβάνουν τις Πληροφορίες Συστήματος, το PowerShell και το Πρόγραμμα Προβολής Συμβάντων. Κάθε μέθοδος προσφέρει μια διαφορετική οπτική γωνία, επομένως αξίζει να εξοικειωθείτε με όλες.

Η πιο οπτική μέθοδος είναι αυτή που Πληροφορίες συστήματος (msinfo32.exe)Από το μενού Έναρξη, απλώς εκτελέστε αυτό το εργαλείο, επιλέξτε "Σύνοψη Συστήματος" και ελέγξτε την ενότητα "Εκτέλεση υπηρεσιών ασφαλείας που βασίζονται σε εικονικοποίηση" για να επιβεβαιώσετε ότι το "Credential Guard" εμφανίζεται ως ενεργή υπηρεσία.

Αν προτιμάτε κάτι που μπορεί να χρησιμοποιηθεί σεναριακά, Το PowerShell είναι ο σύμμαχός σαςΑπό μια κονσόλα με αυξημένα δικαιώματα, μπορείτε να εκτελέσετε την ακόλουθη εντολή:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Η έξοδος αυτής της εντολής υποδεικνύει, χρησιμοποιώντας αριθμητικούς κωδικούς, εάν Το Credential Guard είναι ενεργοποιημένο ή όχι σε αυτόν τον υπολογιστήΜια τιμή Το 0 σημαίνει ότι το Credential Guard είναι απενεργοποιημένο.Ενώ Το 1 υποδεικνύει ότι είναι ενεργοποιημένο και λειτουργεί. ως μέρος υπηρεσιών ασφαλείας που βασίζονται στην εικονικοποίηση.

Τέλος, η Το Event Viewer σάς επιτρέπει να εξετάσετε το ιστορικό συμπεριφοράς του Credential Guard.Ανοιγμα eventvwr.exe Μεταβαίνοντας στα "Αρχεία καταγραφής των Windows > Σύστημα", μπορείτε να φιλτράρετε με βάση την προέλευση συμβάντος "WinInit" και να εντοπίσετε μηνύματα που σχετίζονται με την αρχικοποίηση των υπηρεσιών Device Guard και Credential Guard, τα οποία είναι χρήσιμα για περιοδικούς ελέγχους.

Απενεργοποίηση του Credential Guard και διαχείριση κλειδώματος UEFI

Παρόλο που η γενική σύσταση είναι να διατηρείται ενεργοποιημένη η προστασία διαπιστευτηρίων Σε όλα τα συστήματα που το υποστηρίζουν, σε ορισμένα πολύ συγκεκριμένα σενάρια ενδέχεται να είναι απαραίτητο να το απενεργοποιήσετε, είτε για να επιλύσετε ασυμβατότητες με παλαιότερες εφαρμογές είτε για να εκτελέσετε ορισμένες διαγνωστικές εργασίες.

Η ακριβής διαδικασία για Η απενεργοποίηση του Credential Guard εξαρτάται από τον τρόπο με τον οποίο ρυθμίστηκε αρχικά.Εάν ενεργοποιήθηκε χωρίς κλείδωμα UEFI, απλώς επαναφέρετε τις πολιτικές Intune, GPO ή Registry και επανεκκινήστε. Ωστόσο, εάν ενεργοποιήθηκε με κλείδωμα UEFI, απαιτούνται πρόσθετα βήματα, επειδή ορισμένες από τις ρυθμίσεις είναι αποθηκευμένες στις μεταβλητές EFI του υλικολογισμικού.

Στη συγκεκριμένη περίπτωση του Ενεργοποίηση Credential Guard με κλείδωμα UEFIΑρχικά, πρέπει να ακολουθήσετε την τυπική διαδικασία απενεργοποίησης (επαναφορά οδηγιών ή τιμών μητρώου) και, στη συνέχεια, να καταργήσετε τις σχετικές μεταβλητές EFI χρησιμοποιώντας bcdedit και το βοηθητικό πρόγραμμα SecConfig.efi με ένα προηγμένο σενάριο.

Η τυπική ροή περιλαμβάνει προσάρτηση προσωρινής μονάδας δίσκου EFI, αντιγραφή SecConfig.efi, δημιουργήστε μια νέα είσοδο φορτιστή με bcdeditΡυθμίστε τις παραμέτρους σας για να απενεργοποιήσετε το απομονωμένο LSA και να ορίσετε μια προσωρινή ακολουθία εκκίνησης μέσω του διαχειριστή εκκίνησης των Windows, καθώς και για να αποσυνδέσετε τη μονάδα δίσκου στο τέλος της διαδικασίας.

Μετά την επανεκκίνηση του υπολογιστή με αυτήν τη ρύθμιση παραμέτρων, Πριν από την εκκίνηση των Windows, θα εμφανιστεί ένα μήνυμα που θα σας προειδοποιεί για μια αλλαγή στο UEFI.Η επιβεβαίωση αυτού του μηνύματος είναι υποχρεωτική για να παραμείνουν οι αλλαγές και για να είναι πραγματικά απενεργοποιημένο το κλείδωμα EFI του Credential Guard στο υλικολογισμικό.

Εάν αυτό που χρειάζεστε είναι Απενεργοποίηση του Credential Guard σε μια συγκεκριμένη εικονική μηχανή Hyper-VΜπορείτε να το κάνετε αυτό από τον κεντρικό υπολογιστή, χωρίς να αγγίξετε τον επισκέπτη, χρησιμοποιώντας το PowerShell. Μια τυπική εντολή θα ήταν:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Με αυτήν την προσαρμογή, η εικονική μηχανή Σταματά να χρησιμοποιεί το VBS και επομένως σταματά να εκτελεί το Credential Guard. παρόλο που το λειτουργικό σύστημα guest υποστηρίζει τη λειτουργία, η οποία μπορεί να είναι χρήσιμη σε πολύ συγκεκριμένα εργαστηριακά ή δοκιμαστικά περιβάλλοντα.

Προστασία διαπιστευτηρίων σε εικονικές μηχανές Hyper-V

Η φύλαξη διαπιστευτηρίων δεν περιορίζεται στον φυσικό εξοπλισμόΜπορεί επίσης να προστατεύσει τα διαπιστευτήρια σε εικονικές μηχανές που εκτελούν Windows σε περιβάλλοντα Hyper-V, παρέχοντας ένα επίπεδο απομόνωσης παρόμοιο με αυτό που διατίθεται σε υλικό bare-metal.

Σε αυτές τις καταστάσεις, Το Credential Guard προστατεύει τα μυστικά από επιθέσεις που προέρχονται από την ίδια την εικονική μηχανή.Με άλλα λόγια, εάν ένας εισβολέας παραβιάσει τις διαδικασίες του συστήματος εντός της εικονικής μηχανής, η προστασία VBS θα συνεχίσει να απομονώνει τα LSA και να μειώνει την έκθεση σε hashes και tickets.

Ωστόσο, είναι σημαντικό να διευκρινιστεί το όριο: Το Credential Guard δεν μπορεί να προστατεύσει την εικονική μηχανή από επιθέσεις που προέρχονται από τον κεντρικό υπολογιστή. με αυξημένα δικαιώματα. Ο υπερεπόπτης και το σύστημα κεντρικού υπολογιστή έχουν ουσιαστικά τον πλήρη έλεγχο των εικονικών μηχανών, επομένως ένας κακόβουλος διαχειριστής κεντρικού υπολογιστή θα μπορούσε να παρακάμψει αυτά τα εμπόδια.

Για να λειτουργήσει σωστά το Credential Guard σε αυτούς τους τύπους αναπτύξεων, Ο κεντρικός υπολογιστής Hyper-V πρέπει να διαθέτει IOMMU (μονάδα διαχείρισης μνήμης εισόδου/εξόδου) που επιτρέπει την απομόνωση της πρόσβασης στη μνήμη και τις συσκευές, και οι εικονικές μηχανές πρέπει να είναι Γενιά 2, με υλικολογισμικό UEFI, το οποίο ενεργοποιεί την Ασφαλή εκκίνηση και άλλες απαραίτητες δυνατότητες.

Με αυτές τις απαιτήσεις σε ισχύ, Η εμπειρία χρήσης του Credential Guard σε εικονικές μηχανές είναι πολύ παρόμοια με αυτήν ενός φυσικού υπολογιστή.συμπεριλαμβανομένων των ίδιων μεθόδων ενεργοποίησης (Intune, GPO, Registry) και μεθόδων επαλήθευσης (msinfo32, PowerShell, Event Viewer).

Exploit Guard και Microsoft Defender: Ενεργοποίηση και διαχείριση γενικής προστασίας

Παράλληλα με το Credential Guard, το οικοσύστημα ασφαλείας των Windows βασίζεται στο Microsoft Defender Antivirus. και σε τεχνολογίες όπως το Exploit Guard, οι οποίες περιλαμβάνουν κανόνες μείωσης της επιφάνειας επίθεσης, προστασία δικτύου, έλεγχο πρόσβασης σε φακέλους και άλλες λειτουργίες που στοχεύουν στην επιβράδυνση του κακόβουλου λογισμικού και στον μετριασμό των exploits.

Σε πολλές ομάδες, Το antivirus του Microsoft Defender είναι προεγκατεστημένο και ενεργοποιημένο από προεπιλογή Στα Windows 8, Windows 10 και Windows 11, είναι διαθέσιμο, αλλά είναι σχετικά συνηθισμένο να το βρείτε απενεργοποιημένο λόγω προηγούμενων πολιτικών, εγκατάστασης λύσεων τρίτων ή μη αυτόματων αλλαγών στο μητρώο.

να Ενεργοποίηση του Microsoft Defender Antivirus χρησιμοποιώντας την τοπική πολιτική ομάδαςΜπορείτε να ανοίξετε το μενού Έναρξη, να αναζητήσετε "Πολιτική ομάδας" και να επιλέξετε "Επεξεργασία πολιτικής ομάδας". Στην ενότητα "Ρύθμιση παραμέτρων υπολογιστή > Πρότυπα διαχείρισης > Στοιχεία των Windows > Προστασία από ιούς του Windows Defender", θα δείτε την επιλογή "Απενεργοποίηση προστασίας από ιούς του Windows Defender".

Εάν αυτή η πολιτική έχει οριστεί σε "Ενεργοποιημένη", αυτό σημαίνει ότι το antivirus έχει απενεργοποιηθεί αναγκαστικά. Για να επαναφέρετε τη λειτουργικότητά του, ορίστε την επιλογή σε "Απενεργοποιημένο" ή "Δεν έχει ρυθμιστεί".Εφαρμόστε τις αλλαγές και κλείστε το πρόγραμμα επεξεργασίας. Η υπηρεσία θα μπορεί να ξεκινήσει ξανά μετά την επόμενη ενημέρωση πολιτικής.

Αν την ώρα Ο Defender απενεργοποιήθηκε ρητά από το ΜητρώοΘα πρέπει να ελέγξετε τη διαδρομή HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender και βρείτε την τιμή DisableAntiSpywareΧρησιμοποιώντας τον Επεξεργαστή Μητρώου, μπορείτε να το ανοίξετε και να ορίσετε τα "Δεδομένα τιμής" σε 0Αποδοχή της αλλαγής για να επιτραπεί η επανενεργοποίηση του antivirus.

Μετά από αυτές τις προσαρμογές, μεταβείτε στην ενότητα "Έναρξη > Ρυθμίσεις > Ενημέρωση και ασφάλεια > Windows Defender" (σε πιο πρόσφατες εκδόσεις, "Ασφάλεια των Windows") και Βεβαιωθείτε ότι ο διακόπτης "Προστασία σε πραγματικό χρόνο" είναι ενεργοποιημένοςΕάν εξακολουθεί να είναι απενεργοποιημένο, ενεργοποιήστε το χειροκίνητα για να βεβαιωθείτε ότι η προστασία από ιούς ξεκινά με το σύστημα.

Για μέγιστη προστασία, συνιστάται Ενεργοποιήστε τόσο την προστασία σε πραγματικό χρόνο όσο και την προστασία που βασίζεται στο cloudΑπό την εφαρμογή "Ασφάλεια των Windows", μεταβείτε στην επιλογή "Προστασία από ιούς και απειλές > Ρυθμίσεις προστασίας από ιούς και απειλές > Διαχείριση ρυθμίσεων" και ενεργοποιήστε τους αντίστοιχους διακόπτες.

Εάν αυτές οι επιλογές δεν είναι ορατές, είναι πιθανό ότι Μια πολιτική ομάδας αποκρύπτει την ενότητα προστασίας από ιούς. Στην Ασφάλεια των Windows, επιλέξτε "Ρύθμιση παραμέτρων υπολογιστή > Πρότυπα διαχείρισης > Στοιχεία των Windows > Ασφάλεια των Windows > Προστασία από ιούς και απειλές" και βεβαιωθείτε ότι η πολιτική "Απόκρυψη περιοχής προστασίας από ιούς και απειλές" έχει οριστεί σε "Απενεργοποιημένη", εφαρμόζοντας τις αλλαγές.

Είναι εξίσου σημαντικό να διατηρείτε τους ορισμούς των ιών ενημερωμένους Αυτό επιτρέπει στο Microsoft Defender να εντοπίζει πρόσφατες απειλές. Από την Ασφάλεια των Windows, στην ενότητα "Προστασία από ιούς και απειλές", στις "Ενημερώσεις προστασίας από απειλές", κάντε κλικ στην επιλογή "Έλεγχος για ενημερώσεις" και επιτρέψτε τη λήψη των πιο πρόσφατων υπογραφών.

Αν προτιμάτε τη γραμμή εντολών, αυτή είναι επίσης μια επιλογή. Μπορείτε να ξεκινήσετε την υπηρεσία Microsoft Defender από το CMDΠατήστε Windows + R, πληκτρολογήστε cmd Στη συνέχεια, στη γραμμή εντολών (κατά προτίμηση με αυξημένα δικαιώματα), εκτελέστε:

sc start WinDefend

Με αυτήν την εντολή, Η κύρια υπηρεσία προστασίας από ιούς ξεκινά υπό την προϋπόθεση ότι δεν υπάρχουν πρόσθετες πολιτικές ή αποκλεισμοί που να το εμποδίζουν, επιτρέποντάς σας να επαληθεύσετε γρήγορα εάν ο κινητήρας ξεκινά χωρίς σφάλματα.

Για να μάθετε εάν ο υπολογιστής σας χρησιμοποιεί το Microsoft Defender, απλώς μεταβείτε στην ενότητα "Έναρξη > Ρυθμίσεις > Σύστημα" και, στη συνέχεια, ανοίξτε τον "Πίνακα Ελέγχου". Στην ενότητα "Ασφάλεια και Συντήρηση", θα βρείτε την ενότητα "Ασφάλεια και προστασία συστήματος", όπου Θα δείτε μια σύνοψη της κατάστασης προστασίας από ιούς και άλλων ενεργών μέτρων. στην ομάδα.

με το συνδυασμό Credential Guard για την προστασία των διαπιστευτηρίων στη μνήμη Με ένα σωστά διαμορφωμένο Microsoft Defender, Exploit Guard και κατάλληλους κανόνες θωράκισης, επιτυγχάνεται σημαντικά υψηλότερο επίπεδο ασφάλειας έναντι κλοπής διαπιστευτηρίων, προηγμένου κακόβουλου λογισμικού και πλευρικής μετακίνησης εντός του τομέα. Ενώ υπάρχει πάντα ένα κόστος που σχετίζεται με τη συμβατότητα με παλαιότερα πρωτόκολλα και εφαρμογές, η συνολική βελτίωση της ασφάλειας αντισταθμίζει αυτό το γεγονός στους περισσότερους οργανισμούς.