Credential Guardi seadistamine Windowsis samm-sammult

Volikirjade kaitsjast on saanud võtmeelement tugevdada volituste turvalisust keskkondades Windows Kaasaegsed süsteemid on eriti olulised organisatsioonides, kus volituste varguse rünnak võib kujutada endast tõsist probleemi. Selle asemel, et autentimissaladusi süsteemimällu paljastada, isoleerib see funktsioon need virtualiseerimispõhise turvalisuse abil, vähendades oluliselt rünnaku pinda.

Järgmistes ridades näete, kuidas Credential Guardi seadistada Kasutades erinevaid meetodeid (Intune/MDM, grupipoliitika ja register), käsitleme nõudeid, millele teie seade peab vastama, milliseid piiranguid see kaasa toob, kuidas kontrollida, kas see on tegelikult aktiivne, ja kuidas see vajalikel juhtudel keelata, sealhulgas virtuaalmasinate ja UEFI-lukustatud seadmete puhul. Kõik on üksikasjalikult selgitatud, kuid selges ja kasutajasõbralikus keeles, et saaksite seda hõlpsalt rakendada.

Mis on volituste valve ja kuidas see volitusi kaitseb?

Credential Guard on Windowsi turvafunktsioon mis kasutab virtualiseerimispõhist turvalisust (VBS) volituste ja muude autentimisega seotud saladuste isoleerimiseks. Selle asemel, et kõike otse kohaliku turvaasutuse protsessi salvestada (lsass.exe), tundlikke andmeid hoitakse isoleeritud komponendis nimega LSA isoleeritud o isoleeritud LSA.

See isoleeritud LSA töötab kaitstud keskkonnas, mis on hüperviisori abil põhioperatsioonisüsteemist eraldatud (turvarežiim virtuaalne või VSM). Sellesse keskkonda saab laadida ainult väga väikese hulga binaarfaile, mis on allkirjastatud usaldusväärsete sertifikaatidega. Suhtlus ülejäänud süsteemiga toimub RPC kaudu, mis takistab malware mis süsteemis töötab, olenemata selle privileegidest, saab kaitstud saladusi otse lugeda.

Credential Guard kaitseb spetsiaalselt kolme tüüpi volitusiNTLM-paroolide räsi, Kerberose piletite andmise (TGT) kirjed ja rakenduste poolt domeenimandaatidena salvestatud mandaadid on kõik leevendatud. See aitab võidelda klassikaliste rünnakutega, näiteks räsi edastamine o pileti edasiandmine, väga levinud ettevõtete võrgustike siseste külgmiste liikumiste puhul.

Oluline on mõista, et Credential Guard ei kaitse kõike.See ei hõlma näiteks kolmanda osapoole tarkvara poolt väljaspool Windowsi standardmehhanisme hallatavaid volitusi, kohalikke ja Microsofti kontosid ega kaitse füüsiliste rünnakute või klahvilogijate eest. Sellegipoolest vähendab see oluliselt domeeni volitustega seotud riski.

Volituste kaitse on vaikimisi lubatud

pärit Windows 11 22H2 ja Windows Server 2025Virtualiseerimispõhine turvalisus (VBS) ja Credential Guard on vaikimisi lubatud seadmetes, mis vastavad Microsofti määratletud riist-, püsivara- ja tarkvaranõuetele. See tähendab, et paljudes tänapäevastes arvutites on see eelkonfigureeritud ja aktiivne ilma administraatori sekkumiseta.

Vaikimisi on lubamisrežiim „UEFI lukustamata”.Teisisõnu, ilma lukustuseta, mis takistab kaugdeaktiveerimist. See lähenemisviis lihtsustab administraatoritel Credential Guardi keelamist poliitikate või kaugkonfiguratsiooni kaudu, kui kriitiline rakendus on ühildumatu või tuvastatakse jõudlusprobleeme.

Kui volituste kaitse on vaikimisi lubatudKa VBS ise lubatakse automaatselt. Credential Guardi toimimiseks pole vaja eraldi VBS-i konfigureerimist, kuigi platvormi kaitsetaseme tugevdamiseks on olemas lisaparameetreid (näiteks lisaks standardile DMA-kaitse nõudmine). saabas kindlasti).

Uuendatud seadmetes on oluline nüanssKui seadmel oli Credential Guard enne Windowsi versioonile üleminekut, kus see on vaikimisi lubatud, selgesõnaliselt keelatud, jääb see keelatuks ka pärast versiooniuuendust. Teisisõnu, administraatori selgesõnaline säte on vaikesätete suhtes ülimuslik.

Süsteemi-, riistvara-, püsivara- ja litsentsimisnõuded

Et Credential Guard pakuks tõelist kaitsetSeade peab vastama mitmetele minimaalsetele riist- ja püsivara ning tarkvara nõuetele. Seadmed, mis neid miinimumnõudeid ületavad ja millel on lisafunktsioonid, näiteks IOMMU või TPM 2.0, saavad kasu kõrgemast turvalisuse tasemest DMA-rünnakute ja täiustatud ohtude vastu.

Riistvara ja püsivara nõuded

Credential Guardi peamised riistvaranõuded Nende hulka kuulub 64-bitine protsessor koos virtualiseerimislaiendustega (Intel VT-x või AMD-V) ja teise taseme aadresside teisendamise tugi (SLAT, tuntud ka kui laiendatud lehetabelid). Ilma nende virtualiseerimisvõimalusteta ei suuda VBS ja virtuaalne turvarežiim mälu korralikult isoleerida.

Püsivara tasandil on kohustuslik omada UEFI Versioon 2.3.1 või uuem koos turvalise alglaadimise toe ja turvalise püsivara värskendamise protsessiga. Lisaks on soovitatavad sellised funktsioonid nagu turvaliselt rakendatud mälu ülekirjutamise taotlus (MOR), alglaadimise konfiguratsiooni kaitse ja püsivara värskendamise võimalus [ebaselge - võimalik, et "tarkvarauuendus" või "tarkvarauuendus"] kaudu. Windows Update.

Sisend-/väljundmälu haldusüksuse (IOMMU) kasutamineSoovitatav on kasutada virtuaalmasinat (nt Intel VT-d või AMD-Vi), kuna see võimaldab teil lubada DMA-kaitse koos VBS-iga. See kaitse takistab siiniga ühendatud pahatahtlikel seadmetel otse mälule juurde pääseda ja saladusi välja võtta.

Usaldusväärse platvormi moodul (TPM) on veel üks oluline komponenteelistatavalt versioonis TPM 2.0kuigi toetatud on ka TPM 1.2. TPM pakub riistvaralist turvaankurdust VSM-i peavõtme kaitsmiseks ja tagab, et Credential Guardi poolt kaitstud andmetele pääseb juurde ainult usaldusväärses keskkonnas.

VSM-kaitse ja TPM-i roll

Credential Guardi poolt kaitstud saladused on mällu isoleeritud virtuaalse turvarežiimi (VSM) kaudu. Uuemate TPM 2.0-ga riistvarade puhul krüpteeritakse VSM-keskkonnas püsivad andmed VSM-i peavõti kaitstud TPM-i enda ja seadme turvalise käivituse mehhanismide poolt.

Kuigi NTLM ja Kerberose TGT-d genereeritakse igal sisselogimisel uuesti Ja kuna neid tavaliselt taaskäivituste vahel ei säilitata, võimaldab VSM-i peavõtme olemasolu andmete kaitsmist, mida saab alles hoida. aegTPM tagab, et võtit ei saa seadmest välja võtta ja kaitstud saladustele ei pääse juurde väljaspool valideeritud keskkonda.

Windowsi väljaande nõuded ja litsentsid

Credential Guard pole kõigis Windowsi väljaannetes saadavalKliendisüsteemides on see toetatud Windows Enterprise ja Windows Educationis, aga mitte Windows Pros ega Windows Pro Education/SE-s. Teisisõnu, Windows Pro-ga arvuti vajab selle funktsiooni kasutamiseks uuendamist Enterprise'i versioonile.

Credential Guardi kasutusõigused on antud litsentside kaudu nagu Windows Enterprise E3 ja E5 või hariduslitsentsid A3 ja A5. Ärikeskkondades saadakse see tavaliselt hulgilitsentsilepingute kaudu, samas kui originaalseadmete tootjad (OEM-id) tarnivad tavaliselt Windows Pro ja klient uuendab seejärel Enterprise'ile.

Hyper-V virtuaalmasinate volituskaitse

Credential Guard saab kaitsta ka virtuaalsete masinate saladusi käivitatakse Hyper-V-s, sarnaselt füüsiliste masinate toimimisele. Peamised nõuded on, et Hyper-V hostil oleks IOMMU ja et virtuaalmasinad oleksid 2. põlvkonna.

Sellistel juhtudel on oluline mõista kaitsepiiri.Credential Guard kaitseb virtuaalmasina enda seest lähtuvate rünnakute eest, kuid mitte kõrgendatud õigustega hostilt lähtuvate ohtude eest. Kui host on ohustatud, pääseb see siiski külalismasinatele ligi.

Rakenduse nõuded ja ühilduvus

Credential Guardi aktiveerimine blokeerib teatud autentimisfunktsioonidSeetõttu võivad mõned rakendused töötamise lõpetada, kui need tuginevad aegunud või ebaturvalistele meetoditele. Enne massilist juurutamist on soovitatav testida kriitilisi rakendusi, et tagada nende töökorras püsimine.

Rakendused, mis vajavad Kerberose jaoks DES-krüptimistPiiramatu Kerberose delegeerimine, TGT ekstraheerimine ja NTLMv1 kasutamine on häiritud, kuna need valikud on Credential Guardi aktiveerimisel otse keelatud. See on range turvameede, kuid vajalik tõsiste haavatavuste vältimiseks.

Muud funktsioonid, näiteks kaudne autentimineVolituste delegeerimine, MS-CHAPv2 või CredSSP seavad volitused täiendavatele ohtudele isegi siis, kui volituste valve on aktiivne. Rakendused, mis nõuavad nende kasutamist, võivad küll edasi töötada, kuid muudavad volitused haavatavamaks, seega on soovitatav ka need üle vaadata.

Samuti võib esineda jõudlusmõjusid kui teatud rakendused üritavad isoleeritud protsessiga otse suhelda LsaIso.exeÜldiselt teenused, mis kasutavad Kerberost standardsel viisil (näiteks failide jagamine või Kaugtöölaud) jätkavad normaalset toimimist ilma mingeid muutusi märkamata.

Kuidas volituskaitset õigesti lubada

Microsofti üldine soovitus on lubada Credential Guard. Seda tuleb teha enne seadme domeeniga liitumist või enne domeenikasutaja esmakordset sisselogimist. Hiljem aktiveerimisel võivad kasutaja- või arvutisaladused kaitsmata mälus juba nähtavale jääda.

Selle funktsiooni seadistamiseks on kolm peamist meetodit.Seda saab teha Microsoft Intune'i/MDM-i, rühmapoliitika või Windowsi registri kaudu. Valik sõltub keskkonna tüübist, saadaolevatest haldustööriistadest ja soovitud automatiseerimistasemest.

Luba volituste valvur Microsoft Intune'i / MDM-i abil

Intune'i või muude MDM-lahendustega hallatavates keskkondadesCredential Guardi saab lubada seadme konfiguratsioonipoliitika loomisega, mis kõigepealt aktiveerib virtualiseerimispõhise turvalisuse ja seejärel määratleb Credential Guardi konkreetse käitumise.

Kohandatud poliitikaid saab luua DeviceGuard CSP abil. järgmiste oluliste OMA-URI parameetritega:

• Aktiveeri VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityandmetüüp int, väärtus 1 virtualiseerimispõhise turvalisuse lubamiseks.
• Konfigureeri volituste valvur: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, tüüp int, väärtus 1 UEFI lukuga lubamiseks või 2 blokeerimiseta lubamiseks.

Kui poliitika on loodud, määratakse see seadmele või kasutajarühmale. mida soovite kaitsta. Pärast poliitika rakendamist peate seadme taaskäivitama, et Credential Guard jõustuks.

Credential Guardi seadistamine rühmapoliitika (GPO) abil

Active Directory domeenides on kõige mugavam meetod tavaliselt rühmapoliitika objekti (GPO) kasutamine.Kohaliku grupipoliitika redaktorit saab kasutada ühe arvuti jaoks või luua domeenide või organisatsiooniüksustega lingitud grupipoliitika objekti, mis hõlmab paljusid seadmeid.

Grupipoliitika konkreetne tee onSeadme konfiguratsioon → Administratiivmallid → Süsteem → Seadmekaitse. Selles jaotises on säte nimega „Luba virtualiseerimispõhine turvalisus”.

Selle poliitika lubamisel peate valima suvandi Credential Guard. rippmenüüst „Volitusandmete kaitse seaded”:

• Lubatud UEFI lukuga: takistab Credential Guardi kaugjuhtimispuldi abil keelamist; seda saab muuta ainult püsivara/BIOS-i füüsilise juurdepääsu kaudu.
• Lubatud ilma blokeerimiseta: võimaldab teil Credential Guardi hiljem GPO või kaugkonfiguratsiooni kaudu keelata.

GPO-sid saab filtreerida turberühmade või WMI-filtrite abilSee võimaldab teil seda kaitset rakendada ainult teatud tüüpi seadmetele või kasutajaprofiilidele. Pärast poliitika rakendamist on muudatuste jõustumiseks vaja ka taaskäivitada.

Credential Guardi seadistamine Windowsi registri abil

Kui on vaja detailsemat kontrolli või käsikiri kombeksCredential Guardi saab lubada otse registri kaudu. Seda meetodit kasutatakse tavaliselt täiustatud stsenaariumides või automatiseeringutes, kus GPO või MDM pole saadaval.

Virtualiseerimispõhise turvalisuse (VBS) aktiveerimiseksJärgmised võtmed tuleb konfigureerida:

• Võtme tee: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nimi: EnableVirtualizationBasedSecurity, tüüp REG_DWORD, väärtus 1.
• Võtme tee: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nimi: RequirePlatformSecurityFeatures, tüüp REG_DWORD, väärtus 1 ohutuks käivitamiseks või 3 turvaliseks käivitamiseks DMA-kaitsega.

Konkreetse volituskaitse konfiguratsiooni jaoks Võtit kasutatakse:

• Võtme tee: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Nimi: LsaCfgFlags, tüüp REG_DWORDVõimalikud väärtused:
  0 volituskaitse keelamiseks
  1 selle lubamiseks UEFI lukuga,
  2 et see blokeerimiseta lubada.

Pärast nende võtmete registris kohandamistVBS-i ja Credential Guardi korrektseks initsialiseerimiseks ning volituste kaitsmise alustamiseks peate arvuti taaskäivitama.

Kontrollige, kas volituste kaitse on lubatud

Kuigi võib tunduda ahvatlev uurida, kas protsess LsaIso.exe See on pooleli alates Task ManagerMicrosoft ei soovita seda meetodit usaldusväärse kontrollina. Selle asemel pakutakse välja kolm peamist mehhanismi: süsteemiteave, PowerShell ja sündmustevaatur.

Süsteemiteabe abil kontrollimine (msinfo32)

Lihtsaim viis paljude administraatorite jaoks See hõlmab Windowsi süsteemiteabe tööriista kasutamist:

1. Valige Start ja tippige msinfo32.exeSeejärel avage rakendus "Süsteemiteave".
2. Avage vasakpoolsel paneelil Süsteemi ülevaade.
3. Otsige paremal paneelil üles jaotis "Virtualiseerimispõhised turvateenused töös" ja kontrollige, kas loetletud teenuste hulgas on "Credential Guard".

Kui Credential Guard on loetletud töötava teenusena Selles jaotises tähendab see, et see on arvutis õigesti lubatud ja aktiivne.

Verifitseerimine PowerShelli abil

Hallatud keskkondades on PowerShelli kasutamine väga praktiline. Credential Guardi oleku hulgikontrolli tegemiseks saate käivitada järgmise käsu kõrgendatud PowerShelli konsoolis:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

See käsk tagastab numbriliste väärtuste komplekti mis näitavad, millised virtualiseerimispõhised turvateenused on aktiivsed. Credential Guardi puhul tõlgendatakse neid järgmiselt:

• 0: Volituskaitse on keelatud (ei tööta).
• 1: Volituskaitse on lubatud (töötab).

Lisaks sellele üldisele päringuleMicrosoft pakub DG_Readiness_Tool skripti (näiteks DG_Readiness_Tool_v2.0.ps1), mis võimaldab teil kontrollida, kas süsteem on võimeline Credential Guardi käivitama, seda lubada, keelata ja selle olekut valideerida, kasutades selliseid valikuid nagu -Capable, -Enable, -Disable y -Ready.

Sündmustevaaturi kasutamine

Teine kontrollimeetod, mis on rohkem suunatud auditeerimisele See on sündmustevaaturi kasutamine. Alates eventvwr.exe Teil on juurdepääs valikule "Windowsi logid" → "Süsteem" ja filtreeri sündmusi mille päritolu on "WinInit".

Nende sündmuste hulgas on idufirmaga seotud sissekandeid. virtualiseerimispõhistest turvateenustest, sealhulgas nendest, mis näitavad käivitamisprotsessi käigus, kas Credential Guard on edukalt initsialiseeritud.

Keela volituste kaitse ja UEFI lukuhaldus

Kuigi tavaliselt on soovitatav Credential Guard sisse lülitadaOn olukordi, kus see võib olla vajalik keelata: rakenduste ühildumatus, laborikatsetused, turvaarhitektuuri muudatused jne. Keelamise protseduur sõltub sellest, kuidas see lubati ja kas UEFI lukustust kasutati.

Üldiselt on Credential Guardi keelamine See hõlmab Intune'i/MDM-i, rühmapoliitika või registri kaudu rakendatud sätete tühistamist ja seejärel arvuti taaskäivitamist. Kui see on UEFI lukustusega lubatud, on aga lisatoimingud, kuna mõned sätted on salvestatud püsivara EFI muutujad.

UEFI lukuga volituste kaitsja keelamine

Kui Credential Guard oli UEFI lukuga lubatudGPO või registri muutmisest ei piisa. Samuti peate eemaldama isoleeritud LSA konfiguratsiooniga seotud EFI muutujad, kasutades käsku bcdedit ja väike spetsiaalne käivitusprotsess.

alates käsuviip kõrgendatud õigustega järjestust käivitatakse käsud jaoks:

1. Paigaldage ajutine EFI-seade koos mountvol ja koopia SecConfig.efi Microsofti käivitusteele.
2. Loo süsteemi laadija kirje koos bcdedit /create sellele osutades SecConfig.efi.
3. Konfigureerige saapajada käivitushaldurist, et see käivituks üks kord selle spetsiaalse laaduriga.
4. Lisage laadimisvõimalus DISABLE-LSA-ISO UEFI-sse salvestatud isoleeritud LSA konfiguratsiooni keelamiseks.
5. Eemaldage ajutine EFI-seade uuesti.

Pärast nende toimingute tegemist taaskäivitub seade.Enne operatsioonisüsteemi käivitumist kuvatakse teade, mis näitab, et UEFI sätteid on muudetud, ja küsitakse kinnitust. Deaktiveerimise muudatuste jõustumiseks on oluline see teade vastu võtta.

Keela virtuaalmasinates volituste kaitse

Hyper-V hostiga ühendatud virtuaalsete masinate puhulVM-il on võimalik takistada VBS-i ja Credential Guardi kasutamist isegi siis, kui külalisoperatsioonisüsteem oleks selleks valmis.

Hostist saate PowerShelli abil käivitada Järgmine käsk jätab virtuaalmasina virtualiseerimispõhisest turvalisusest välja:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Selle välistamisvaliku aktiveerimise teelVirtuaalmasin töötab ilma VBS-kaitseta ja seega ka ilma Credential Guardita, mis võib olla kasulik testimiskeskkondades või virtuaalsete masinate sees pärandsüsteemide käitamisel.

Credential Guardi integreerimine AWS Nitrosse ja muudesse stsenaariumidesse

Credential Guard on saadaval ka pilvekeskkondades näiteks Amazon EC2, kasutades ära AWS Nitro süsteemi turvalist arhitektuuri. Selles kontekstis toetuvad VBS ja Credential Guard Nitrole, et takistada Windowsi sisselogimisandmete hankimist külalisoperatsioonisüsteemi mälust.

Credential Guardi kasutamiseks Windowsi eksemplaris EC2-sÜhilduva eksemplari käivitamiseks peate valima toetatud eksemplari tüübi ja eelkonfigureeritud Windows AMI, mis sisaldab virtuaalse TPM-i ja VBS-i tuge. Seda saab teha Amazon EC2 konsoolist või AWS CLI-st, kasutades run-instances või PowerShelli abil New-EC2Instancenäiteks stiili pildi täpsustamine TPM-Windows_Server-2022-English-Full-Base.

Mõnel juhul on vaja mälu terviklikkuse kontroll keelata. (HVCI) enne Credential Guardi lubamist, kohandades rühmapoliitikaid, mis on seotud "Virtualiseerimispõhise koodi terviklikkuse kaitsega". Kui need muudatused on tehtud ja eksemplar taaskäivitatud, saab Credential Guardi lubada ja valideerida, nagu igas teises Windowsi masinas, järgmise abil: msinfo32.exe.

Kaitsepiirangud ja aspektid, mida Credential Guard ei kata

Kuigi Credential Guard kujutab endast tohutut sammu edasi volituste kaitsmiselSee ei ole imerohi, mis kõike lahendab. On konkreetseid juhtumeid, mis jäävad selle ulatusest välja ja vale turvatunde vältimiseks on oluline neist teadlik olla.

Mõned näited sellest, mida see ei kaitse, on järgmised::

• Kolmanda osapoole tarkvara mis haldab volitusi väljaspool standardseid Windowsi mehhanisme.
• Kohalikud kontod ja arvutis endas konfigureeritud Microsofti kontod.
• Active Directory andmebaas Windows Serveri domeenikontrollerites.
• Sissetulevate volituste kanalid näiteks kaugtöölaua lüüsiserverid.
• Klahvivajutuste salvestajad ja otseseid füüsilisi rünnakuid meeskonna vastu.

Samuti ei takista see ründajal, kellel on arvutis pahavara, See kasutab aktiivsele volikirjale juba antud õigusi. See tähendab, et kui kõrgendatud õigustega kasutaja loob ühenduse ohustatud süsteemiga, saab ründaja neid õigusi seansi vältel ära kasutada, isegi kui ta ei saa kaitstud mälust räsi varastada.

Keskkondades, kus on väärtuslikud kasutajad või kontod (domeeniadministraatorid, kriitilistele ressurssidele juurdepääsuga IT-töötajad jne) on siiski soovitatav kasutada spetsiaalseid seadmeid ja muid täiendavaid turvakihte, näiteks mitmefaktorilist autentimist, võrgu segmenteerimist ja klahvilogijate vastaseid meetmeid.

Device Guard, VBS ja seos Credential Guardiga

Seadmekaitset ja volituskaitset mainitakse sageli koos sest mõlemad kasutavad süsteemikaitse tugevdamiseks ära virtualiseerimispõhist turvalisust, kuigi lahendavad erinevaid probleeme.

Credential Guard keskendub volituste kaitsmisele (NTLM, Kerberos, Credential Manager) isoleerides need kaitstud LSA-s. See ei sõltu Device Guardist, kuigi mõlemad jagavad hüperviisori ja riistvarafunktsioonide (nt TPM, turvaline alglaadimine ja IOMMU) kasutamist.

Device Guard on omalt poolt funktsioonide kogum Riist- ja tarkvaralahendused võimaldavad teil seadet lukustada, nii et see saab käivitada ainult usaldusväärseid rakendusi, mis on määratletud koodi terviklikkuse poliitikates. See muudab traditsioonilise mudeli (kus kõik töötab, kui viirusetõrjetarkvara seda ei blokeeri) selliseks, kus käivitatakse ainult selgesõnaliselt volitatud rakendused.

Mõlemad funktsioonid on osa Windows Enterprise'i arsenalist. Täiustatud ohtude eest kaitsmiseks tugineb Device Guard VBS-ile ja nõuab draiveritelt HVCI-ühilduvust, samas kui Credential Guard kasutab autentimissaladuste isoleerimiseks VBS-i. Koos pakuvad nad võimsat kombinatsiooni: usaldusväärsemat koodi ja paremini kaitstud volitusi.

Kas volituskaitse on õigesti seadistatud? See hõlmab iga Windowsi keskkonna ühe tundlikuma aspekti – kasutaja ja arvuti volituste – turvamist. Selle nõuete mõistmine, teadmine, kuidas seda Intune'i, GPO või registri abil aktiveerida, selle piirangute tundmine ning selgete protseduuride olemasolu selle oleku kontrollimiseks ja erandjuhtudel keelamiseks võimaldab teil seda tehnoloogiat täiel määral ära kasutada ilma tootmises üllatusi kogemata.