Kuidas aktiveerida Microsoft Defender Credential Guard ja Exploit Guard?

Windowsi volituste kaitsmine ja süsteemi tugevdamine ärakasutamise eest Sellest on saanud peaaegu kohustuslik igas tänapäevases ärikeskkonnas. Sellised rünnakud nagu Pass-the-Hash, Pass-the-Ticket või nullpäeva haavatavuste kuritarvitamine kasutavad ära igasugust konfiguratsioonis esinevat järelevalvet, et liikuda võrgus külgsuunas ning võtta serverite ja tööjaamade üle kontroll minutitega.

Selles kontekstis Microsoft Defenderi volituskaitse ja rünnakukaitse tehnoloogiad (koos Microsoft Defenderi viirusetõrjemootoriga) on Windows 10, Windows 11 ja Windows Serveri turbestrateegia põhikomponendid. Järgmistes ridades näete samm-sammult ja üksikasjalikult, kuidas need töötavad, millised on nende nõuded ning kuidas neid Intune'i, rühmapoliitika, registri, PowerShelli ja muude tööriistade abil õigesti aktiveerida või deaktiveerida, vältides samal ajal ühilduvuse tarbetut rikkumist.

Mis on Microsoft Defenderi volituskaitse ja miks see nii oluline on?

Windows Defenderi volituste valvur on turvafunktsioon Microsofti poolt Windows 10 Enterprise'is ja Windows Server 2016-s kasutusele võetud funktsioon tugineb autentimissaladuste isoleerimiseks virtualiseerimispõhisele turvalisusele (VBS). Kohaliku turbeasutuse (LSA) asemel, mis haldab otse mälus olevaid volitusi, kasutatakse isoleeritud LSA protsessi.LSAIso.exe) teostatud kaitstud keskkonnas.

Tänu sellele isolatsioonile NTLM-räsi ja Kerberose piletitele (TGT) pääseb ligi ainult vastavate õigustega süsteemitarkvara.Credential Manageri, kohalike sisselogimiste ja selliste ühenduste nagu kaugtöölaua puhul kasutatavad volikirjad pole enam saadaval. Iga pahatahtlik kood, mis üritab otse lugeda tavapärase LSA protsessi mälu, avastab, et need saladused on kadunud.

See lähenemisviis vähendab drastiliselt klassikaliste järelkasutusvahendite, näiteks Mimikatz Pass-the-Hash või Pass-the-Ticket rünnakute jaoksSeda seetõttu, et räsi ja piletid, mida varem oli lihtne hankida, asuvad nüüd mälus isoleeritud konteineris, mida pahavara ei saa nii lihtsalt kasutada isegi siis, kui tal on ohustatud süsteemis administraatori õigused.

Tuleks selgitada, et Credential Guard ei ole sama mis Device GuardKuigi Credential Guard kaitseb volitusi ja salasõnu, keskendub Device Guard (ja sellega seotud rakenduste kontrollitehnoloogiad) volitamata koodi käivitamise takistamisele arvutis. Need täiendavad teineteist, kuid lahendavad erinevaid probleeme.

Isegi nii, Credential Guard ei ole imerohi Mimikatzi ega sisemiste ründajate vastu.Ründaja, kes juba kontrollib lõpp-punkti, saab volikirju jäädvustada kohe, kui kasutaja neid sisestab (näiteks klahvilogija või autentimisprotsessi koodi sisestamise abil). Samuti ei takista see töötajal, kellel on õigustatud juurdepääs teatud andmetele, neid kopeerimast või välja filtreerimast; Credential Guard kaitseb mälus olevaid volikirju, mitte kasutaja käitumist.

Credential Guard on Windows 11-s ja Windows Serveris vaikimisi lubatud

Windowsi tänapäevastes versioonides aktiveeritakse Credential Guard paljudel juhtudel automaatselt.Alates Windows 11 22H2 ja Windows Server 2025-st lubatakse teatud riist- ja püsivara- ning konfiguratsiooninõuetele vastavatel seadmetel VBS ja Credential Guard vaikimisi, ilma et administraator peaks midagi tegema.

Nendes süsteemides Vaikimisi lubamine toimub ilma UEFI lukustuseta.See tähendab, et kuigi Credential Guard on vaikimisi lubatud, saab administraator selle hiljem grupipoliitika, Intune'i või muude meetodite kaudu eemalt keelata, kuna lukustusvalikut pole püsivaras aktiveeritud.

Millal Credential Guard on aktiveeritud ja virtualiseerimispõhine turvalisus (VBS) on samuti lubatud.VBS on komponent, mis loob kaitstud keskkonna, kus LSA-d on isoleeritud ja kus saladusi hoitakse, seega käivad mõlemad funktsioonid nendes versioonides käsikäes.

Oluline nüanss on see, et Administraatori poolt selgesõnaliselt konfigureeritud väärtused on alati ülimuslikud. vaikesätetest üle. Kui Credential Guard on Intune'i, GPO või registri kaudu lubatud või keelatud, kirjutab see käsitsi tehtud olek pärast arvuti taaskäivitamist vaikimisi lubamise üle.

Veelgi enam, kui Ühel seadmel oli Credential Guard enne Windowsi versioonile üleminekut, mis seda vaikimisi lubab, otseselt keelatud.Seade järgib seda deaktiveerimist pärast värskendamist ja ei lülitu automaatselt sisse, kui selle konfiguratsiooni ei muudeta uuesti ühe haldustööriista abil.

Süsteemi-, riistvara-, püsivara- ja litsentsimisnõuded

Et Credential Guard saaks pakkuda tõelist kaitsetSeadmed peavad vastama teatud riist-, püsivara- ja tarkvaranõuetele. Mida paremad on platvormi võimalused, seda kõrgem on saavutatav turvalisuse tase.

Esiteks 64-bitine protsessor on kohustuslik ja ühilduvus virtualiseerimispõhise turvalisusega. See tähendab, et protsessor ja emaplaat peavad toetama sobivaid virtualiseerimislaiendusi ja nende funktsioonide aktiveerimist UEFI/BIOS-is.

Teine kriitiline element on turvaline alglaadimine (Turvaline alglaadimine)Turvaline alglaadimine tagab, et süsteem käivitub ainult usaldusväärse ja allkirjastatud püsivara ning tarkvara laadimisega. Turvalist alglaadimist kasutavad VBS ja Credential Guard, et takistada ründajal alglaadimiskomponentide muutmist kaitse keelamiseks või manipuleerimiseks.

Kuigi see pole rangelt kohustuslik, on selle olemasolu tungivalt soovitatav. Usaldusväärse platvormi mooduli (TPM) versioon 1.2 või 2.0Olenemata sellest, kas tegemist on diskreetse või püsivarapõhise TPM-iga, võimaldab see krüpteerimissaladusi ja -võtmeid riistvaraga siduda, lisades täiendava kihi, mis muudab asja tõsiselt keerulisemaks kõigile, kes üritavad neid saladusi teises seadmes kanda või taaskasutada.

Samuti on väga soovitatav lubada UEFI lukk Credential GuardileSee takistab süsteemile juurdepääsu omavatel isikutel kaitse keelamist lihtsalt registrivõtme või poliitika muutmise teel. Kui lukk on aktiivne, nõuab Credential Guardi keelamine palju kontrollitumat ja selgemat protseduuri.

Litsentseerimise valdkonnas Credential Guard pole kõigis Windowsi väljaannetes saadavalÜldiselt toetatakse seda ettevõtte- ja haridusväljaannetes: Windows Enterprise ja Windows Education toetavad seda, samas kui Windows Pro või Pro Education/SE seda vaikimisi ei sisalda.

osa Credential Guardi kasutusõigused on seotud teatud tellimuslitsentsidega, näiteks Windows Enterprise E3 ja E5, samuti Windows Education A3 ja A5. Pro-väljaannetel ei ole litsentsimise osas õigust sellele täiustatud funktsionaalsusele, isegi kui nad käitavad sama operatsioonisüsteemi binaarfaili.

Rakenduste ühilduvus ja lukustatud funktsioonid

Enne volituste valve massilist kasutuselevõttuSoovitatav on põhjalikult üle vaadata rakendused ja teenused, mis tuginevad kindlatele autentimismehhanismidele. Mitte kogu pärandtarkvara ei ühildu nende kaitsemeetmetega ja mõned protokollid on otse blokeeritud.

Kui volituste kaitse on lubatud, keelatakse riskantseks peetavad funktsioonid, nii et Neist sõltuvad rakendused lakkavad korralikult töötamastNeid nimetatakse rakendusnõueteks: tingimused, mida tuleb vältida, kui soovite Credential Guardi kasutamist ilma probleemideta jätkata.

Omaduste hulgas, mis Need on otse blokeeritud sisaldama:

• Kerberose DES-krüptimise ühilduvus.
• Kerberose delegeerimine ilma piiranguteta.
• TGT ekstraheerimine Kerberosest LSA-st.
• NTLMv1 protokoll.

Lisaks On funktsioone, mis pole küll täielikult keelatud, kuid millega kaasnevad lisariskid kui seda kasutatakse koos Credential Guardiga. Rakendused, mis tuginevad kaudsele autentimisele, volituste delegeerimisele, MS-CHAPv2-le või CredSSP-le, on eriti tundlikud, kuna need võivad volitusi ebaturvaliselt paljastada, kui need pole hoolikalt konfigureeritud.

Neid on ka täheldatud jõudlusprobleemid rakendustes, mis üritavad isoleeritud protsessiga otseselt siduda või suhelda LSAIso.exeKuna see protsess on kaitstud ja isoleeritud, võivad korduvad juurdepääsukatsed teatud olukordades lisakoormust suurendada või aeglustumist põhjustada.

Hea on see kaasaegsed teenused ja protokollid, mis kasutavad standardina KerberostSellised funktsioonid nagu juurdepääs SMB jagatud ressurssidele või õigesti konfigureeritud kaugtöölaud toimivad edasi normaalselt ega mõjuta Credential Guardi aktiveerimist, kui need ei sõltu eespool mainitud pärandfunktsioonidest.

Kuidas lubada volituste kaitset: Intune, GPO ja register

Ideaalne viis Credential Guardi aktiveerimiseks sõltub teie keskkonna suurusest ja haldusest.Kaasaegsete haldussüsteemidega organisatsioonide jaoks on Microsoft Intune (MDM) väga mugav, samas kui traditsioonilistes Active Directory domeenides kasutatakse endiselt sageli rühmapoliitikat. Täpsemate kohanduste või spetsiifiliste automatiseerimiste jaoks on endiselt üks võimalus register.

Esiteks on oluline mõista, et Enne arvuti domeeniga ühendamist peab volituste kaitse olema lubatud. või enne, kui domeenikasutaja esimest korda sisse logib. Hiljem aktiveerimisel võivad kasutaja ja masina saladused juba olla ohustatud, vähendades kaitse tegelikku kasu.

Üldiselt saate volituste kaitse lubada järgmiselt:

• Microsoft Intune'i / MDM-i haldus.
• Rühmapoliitika (GPO) Active Directorys või kohalikus poliitikaredaktoris.
• Windowsi registri otsene muutmine.

Nende sätete rakendamisel Ärge unustage, et seadme taaskäivitamine on kohustuslik. Muudatuste jõustumiseks initsialiseeritakse Credential Guard, VBS ja kõik isolatsioonikomponendid käivitamisel, seega ainult poliitika muutmisest ei piisa.

Aktiveerige volituste valvur Microsoft Intune'iga

Kui haldate oma seadmeid Intune'i abil, on teil kaks lähenemisviisi Peamised valikud: kasutage lõpp-punkti turvalisuse malle või kohandatud poliitikat, mis konfigureerib DeviceGuard CSP OMA-URI kaudu.

Intune'i portaalis võite minna jaotisse „Lõpp-punkti turvalisus > Konto kaitse”. ja looge uus konto kaitsepoliitika. Valige platvorm „Windows 10 ja uuemad versioonid“ ning profiili tüüp „Konto kaitse“ (erinevates variantides, olenevalt saadaolevast versioonist).

Sätete konfigureerimisel Määrake suvand „Lülita sisse volituste kaitse” väärtuseks „Luba UEFI lukuga”. Kui soovite takistada kaitse lihtsat kaugjuhtimise teel keelamist, on Credential Guard püsivarasse "ankurdatud", tõstes seadme füüsilise ja loogilise turvalisuse taset.

Kui parameetrid on määratletud, Määrake poliitika rühmale, mis sisaldab seadmeid või kasutajaobjekte, mida soovite kaitsta.Poliitika rakendatakse seadme Intune'iga sünkroonimisel ja pärast vastavat taaskäivitamist aktiveeritakse Credential Guard.

Kui eelistad peeneid detaile kontrollida, Saate kasutada DeviceGuard CSP-l põhinevat kohandatud poliitikat.Selleks on vaja luua OMA-URI kirjed sobivate nimede ja väärtustega, näiteks:

konfiguratsioon
nimiLuba virtualiseerimispõhine turvalisus OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Andmetüüp: int vaprus: 1
nimiVolituskaitse konfiguratsioon OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Andmetüüp: int vaprus: Lubatud UEFI lukuga: 1 Lubatud ilma blokeerimiseta: 2

Pärast selle kohandatud poliitika rakendamist ja taaskäivitamist Seade käivitub VBS-i ja Credential Guardi aktiveerimisega.ja süsteemi volikirjad on isoleeritud konteineris kaitstud.

Credential Guardi seadistamine rühmapoliitika abil

Traditsioonilise Active Directoryga keskkondadesKõige loomulikum viis Credential Guardi hulgi lubamiseks on rühmapoliitika objektide (GPO) kaudu. Seda saab teha kas kohalikust poliitikaredaktorist ühel arvutil või rühmapoliitika haldurist domeeni tasandil.

Poliitika konfigureerimiseks avage vastav GPO redaktor ja navigeerige teele Arvuti konfiguratsioon > Haldusmallid > Süsteem > SeadmekaitseSelles jaotises leiate poliitika „Luba virtualiseerimispõhine turvalisus”.

See direktiiv kehtestab Valige „Lubatud” ja valige rippmenüüst soovitud volituste kaitse sätted.Sõltuvalt soovitud füüsilise kaitse tasemest saate valida valiku „Lubatud UEFI lukuga” või „Lubatud ilma lukuta” vahel.

Kui GPO on konfigureeritud, lingi see organisatsiooniüksuse või domeeniga, kus sihtarvutid asuvadSelle rakendust saab täpsustada turbegruppide filtreerimise või WMI-filtrite abil, nii et see kehtiks ainult teatud tüüpi seadmetele (näiteks ainult ühilduva riistvaraga ettevõtte sülearvutitele).

Kui masinad saavad direktiivi ja taaskäivituvad, Credential Guard aktiveeritakse vastavalt GPO konfiguratsioonile., kasutades domeeni infrastruktuuri selle standardiseeritud viisil juurutamiseks.

Luba volituste valvur Windowsi registrit muutes

Kui vajate väga detailset kontrolli või soovite juurutamist skriptide abil automatiseeridaSaate Credential Guardi konfigureerida otse registrivõtmete abil. See meetod nõuab täpsust, sest vale väärtus võib süsteemi ootamatusse olekusse viia.

Virtualiseerimispõhise turvalisuse ja Credential Guardi aktiveerimiseks Peate looma või muutma mitu kirjet kindlate teede allPõhipunktid on järgmised:

konfiguratsioon
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nimi: EnableVirtualizationBasedSecurity Tüüp: REG_DWORD vaprus: 1 (võimaldab virtualiseerimispõhist turvalisust)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nimi: RequirePlatformSecurityFeatures Tüüp: REG_DWORD vaprus: 1 (kasutades turvalist käivitust) 3 (turvaline alglaadimine + DMA-kaitse)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nimi: LsaCfgFlags Tüüp: REG_DWORD vaprus: 1 (lubab Credential Guardi UEFI lukustusega) 2 (lubab volituste kaitset ilma lukustamata)

Pärast nende väärtuste rakendamist Taaskäivitage arvuti, et Windowsi hüperviisor ja isoleeritud LSA protsess tööle hakkaksidIlma selle lähtestamiseta ei aktiveeri registrimuudatused tegelikult mälukaitset.

Kuidas kontrollida, kas volituste kaitse on lubatud ja töötab

Vaadake, kas protsess LsaIso.exe See kuvatakse tegumihalduris. See võib anda vihje, kuid Microsoft ei pea seda usaldusväärseks meetodiks Credential Guardi töökorrasoleku kinnitamiseks. On olemas ka kindlamad protseduurid, mis põhinevad sisseehitatud süsteemitööriistadel.

Soovitatavate valikute hulgas on Kontrollige volituskaitse olekut Nende hulka kuuluvad süsteemiteave, PowerShell ja sündmustevaatur. Iga meetod pakub erinevat vaatenurka, seega tasub nendega kõigiga tutvuda.

Kõige visuaalsem meetod on see, mis Süsteemiteave (msinfo32.exe)Käivitage lihtsalt menüüst Start see tööriist, valige "Süsteemi kokkuvõte" ja kontrollige jaotist "Virtualiseerimispõhiste turvateenuste käitamine", et veenduda, kas "Credential Guard" kuvatakse aktiivse teenusena.

Kui eelistate midagi skriptitavat, PowerShell on teie liitlaneKõrgendatud õigustega konsoolist saate käivitada järgmise käsu:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Selle käsu väljund näitab numbriliste koodide abil, kas Kas volituste kaitse on selles masinas lubatud või mitte?Väärtus 0 tähendab, et volituste kaitse on keelatud.Kuigi 1 näitab, et see on aktiveeritud ja töötab. osana virtualiseerimispõhistest turvateenustest.

Lõpuks Sündmustevaatur võimaldab teil vaadata Credential Guardi ajaloolist käitumist.Avamine eventvwr.exe Navigeerides menüüsse „Windowsi logid > Süsteem”, saate filtreerida sündmuste allika „WinInit” järgi ja leida Device Guardi ja Credential Guardi teenuste initsialiseerimisega seotud teateid, mis on kasulikud perioodiliste auditite jaoks.

Keela volituste valvur ja halda UEFI lukustust

Kuigi üldine soovitus on hoida Credential Guard aktiveerituna Kõigis seda toetavates süsteemides võib mõnel väga spetsiifilisel juhul olla vajalik see keelata, kas siis ühildumatuse lahendamiseks pärandrakendustega või teatud diagnostiliste ülesannete täitmiseks.

Täpne protseduur Credential Guardi keelamine sõltub sellest, kuidas see algselt konfigureeriti.Kui see oli lubatud ilma UEFI lukustuseta, siis lihtsalt taastage Intune'i, GPO või registripoliitikad ja taaskäivitage arvuti. Kui see oli aga lubatud UEFI lukustusega, on vaja täiendavaid samme, kuna osa konfiguratsioonist on salvestatud püsivara EFI muutujatesse.

Konkreetsel juhul UEFI lukustusega volituste kaitseEsmalt peate järgima standardset keelamisprotsessi (direktiivide või registriväärtuste taastamine) ja seejärel eemaldama seotud EFI muutujad, kasutades bcdedit ja utiliit SecConfig.efi täiustatud skriptiga.

Tüüpiline voog hõlmab paigalda ajutine EFI-draiv, kopeeri SecConfig.efi, looge uus laadija sisend koos bcdeditKonfigureerige oma valikud isoleeritud LSA keelamiseks ja ajutise käivitusjärjestuse määramiseks Windowsi käivitushalduri kaudu ning protsessi lõpus draivi lahtiühendamiseks.

Pärast arvuti taaskäivitamist selle konfiguratsiooniga Enne Windowsi käivitumist kuvatakse teade, mis hoiatab UEFI muutuse eest.Selle teate kinnitamine on kohustuslik, et muudatused jääksid püsima ja Credential Guard EFI lukustus oleks püsivarast tõeliselt keelatud.

Kui see, mida vajate, on Keela Credential Guard konkreetsel Hyper-V virtuaalmasinalSeda saab teha hostist, külalist puudutamata, kasutades PowerShelli. Tüüpiline käsk oleks:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Selle muudatusega virtuaalmasin See lõpetab VBS-i kasutamise ja seetõttu ka Credential Guardi käitamise. isegi kui külalisoperatsioonisüsteem seda funktsiooni toetab, mis võib olla kasulik väga spetsiifilistes labori- või testimiskeskkondades.

Hyper-V virtuaalmasinate volituskaitse

Credential Guard ei piirdu ainult füüsilise varustusegaSee suudab kaitsta ka Hyper-V keskkondades Windowsi käitavate virtuaalsete masinate volikirju, pakkudes sarnast isolatsioonitaset nagu paljasmetalli riistvaras.

Selles olukorras Credential Guard kaitseb saladusi virtuaalmasina enda seest lähtuvate rünnakute eest.Teisisõnu, kui ründaja kahjustab virtuaalmasina süsteemiprotsesse, jätkab VBS-kaitse LSA-de isoleerimist ja vähendab räsikoodide ja piletite kättesaadavust.

Siiski on oluline piirmäära osas selgust saada: Credential Guard ei suuda virtuaalmasinat hostist lähtuvate rünnakute eest kaitsta. kõrgendatud õigustega. Hüperviisoril ja hostsüsteemil on virtuaalmasinate üle sisuliselt täielik kontroll, seega saab pahatahtlik hostiadministraator neist tõketest mööda hiilida.

Selleks, et Credential Guard seda tüüpi juurutustes korrektselt toimiks, Hyper-V hostil peab olema IOMMU (sisend-/väljundmälu haldusüksus), mis võimaldab isoleerida juurdepääsu mälule ja seadmetele ning virtuaalmasinad peavad olema 2. põlvkond, UEFI püsivaraga, mis võimaldab turvalist alglaadimist ja muid vajalikke funktsioone.

Nende nõuetega Credential Guardi kasutamise kogemus virtuaalmasinates on väga sarnane füüsilise masina omaga.sealhulgas samad aktiveerimismeetodid (Intune, GPO, register) ja kinnitusmeetodid (msinfo32, PowerShell, sündmustevaatur).

Exploit Guard ja Microsoft Defender: üldise kaitse aktiveerimine ja haldamine

Lisaks Credential Guardile tugineb Windowsi turbeökosüsteem ka Microsoft Defender Antivirus'ile. ja sellistes tehnoloogiates nagu Exploit Guard, mis hõlmavad rünnakupinna vähendamise reegleid, võrgukaitset, kaustadele juurdepääsu kontrolli ja muid funktsioone, mille eesmärk on aeglustada pahavara ja leevendada ärakasutamisvõimalusi.

Paljudes meeskondades Microsoft Defenderi viirusetõrje on vaikimisi eelinstallitud ja aktiveeritud. Windows 8, Windows 10 ja Windows 11 puhul on see saadaval, kuid suhteliselt sageli on see keelatud varasemate eeskirjade, kolmandate osapoolte lahenduste installimise või registri käsitsi muutmise tõttu.

et Aktiveeri Microsoft Defenderi viirusetõrje kohaliku rühmapoliitika abilAvage menüü Start, otsige üles „Rühmapoliitika” ja valige „Muuda rühmapoliitikat”. Jaotises „Arvuti konfiguratsioon > Haldusmallid > Windowsi komponendid > Windows Defenderi viirusetõrje” näete valikut „Lülita Windows Defenderi viirusetõrje välja”.

Kui see reegel on seatud väärtusele „Lubatud”, tähendab see, et viirusetõrje on sunniviisiliselt keelatud. Selle funktsionaalsuse taastamiseks määrake suvandiks „Keelatud” või „Pole konfigureeritud”.Rakenda muudatused ja sulge redaktor. Teenus saab pärast järgmist poliitika värskendust uuesti käivituda.

Kui omal ajal Defender oli registrist selgesõnaliselt keelatudPead marsruuti kontrollima HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender ja leidke väärtus DisableAntiSpywareRegistriredaktori abil saate selle avada ja määrata selle "Value data" väärtuseks 0Muudatuse aktsepteerimine, et viirusetõrje uuesti töötaks.

Pärast nende muudatuste tegemist minge menüüsse „Start > Seaded > Värskendamine ja turvalisus > Windows Defender” (uuemates versioonides „Windowsi turvalisus”) ja Veenduge, et lüliti „Reaalajaline kaitse” on lubatud.Kui see on ikka välja lülitatud, lülitage see käsitsi sisse, et viirusetõrje käivituks koos süsteemiga.

Maksimaalse kaitse tagamiseks on soovitatav Luba nii reaalajas kui ka pilvepõhine kaitseRakenduses „Windowsi turvalisus” minge valikule „Viiruste ja ohtude kaitse > Viiruste ja ohtude kaitse sätted > Sätete haldamine” ja aktiveerige vastavad lülitid.

Kui need valikud pole nähtavad, on tõenäoline, et Rühmapoliitika peidab viirusetõrje jaotise. Windowsi turbe all kontrollige valikuid „Arvuti konfiguratsioon > Haldusmallid > Windowsi komponendid > Windowsi turve > Viiruste ja ohtude kaitse” ning veenduge, et poliitika „Peida viiruste ja ohtude kaitseala” väärtuseks oleks seatud „Keelatud”, rakendades muudatused.

See on sama oluline hoidke viirusdefinitsioonid ajakohasena See võimaldab Microsoft Defenderil tuvastada hiljutisi ohte. Klõpsake Windowsi turbe all jaotises „Viiruste ja ohtude kaitse“, seejärel jaotises „Ohutõrje värskendused“ nuppu „Kontrolli värskendusi“ ja lubage uusimate signatuuride allalaadimine.

Kui eelistate käsurealt, on see ka üks võimalus. Saate Microsoft Defenderi teenuse käivitada CMD-stVajutage Windowsi nuppu + R ja tippige cmd Seejärel käivitage käsurealt (eelistatavalt kõrgendatud õigustega) järgmine käsk:

sc start WinDefend

Selle käsuga Peamine viirusetõrjeteenus käivitub eeldusel, et puuduvad täiendavad poliitikad või blokeeringud, mis seda takistavad, võimaldades teil kiiresti kontrollida, kas mootor käivitub vigadeta.

Et teada saada, kas teie arvuti kasutab Microsoft Defenderit, minge lihtsalt menüüsse „Start > Seaded > Süsteem“ ja seejärel avage „Juhtpaneel“. Jaotises „Turvalisus ja hooldus“ leiate jaotise „Süsteemi turvalisus ja kaitse“, kus Näete viirusetõrje oleku ja muude aktiivsete meetmete kokkuvõtet. meeskonnas.

Kombineerides Credential Guard mälus olevate volituste kaitsmiseks Korrektselt konfigureeritud Microsoft Defenderi, Exploit Guardi ja sobivate tugevdamisreeglite abil saavutatakse oluliselt kõrgem turvalisuse tase volituste varguse, täiustatud pahavara ja domeenisisese külgmise liikumise vastu. Kuigi pärandprotokollide ja -rakendustega ühilduvusega kaasneb alati kulu, kompenseerib üldine turvalisuse paranemine selle enamikus organisatsioonides kuhjaga.