Microsoft Defender Credential Guardin ja Exploit Guardin aktivointi

Tunnistetietojen suojaaminen Windowsissa ja järjestelmän vahvistaminen hyökkäyksiä vastaan Siitä on tullut lähes pakollinen kaikissa nykyaikaisissa liiketoimintaympäristöissä. Hyökkäykset, kuten Pass-the-Hash, Pass-the-Ticket tai nollapäivähaavoittuvuuksien väärinkäyttö, hyödyntävät mitä tahansa kokoonpanon valvontaa liikkuakseen verkon läpi sivusuunnassa ja ottaakseen palvelimet ja työasemat hallintaansa muutamassa minuutissa.

Tässä yhteydessä Microsoft Defender Credential Guard- ja Exploit Guard -teknologiat (yhdessä Microsoft Defenderin virustorjuntaohjelman kanssa) ovat keskeisiä osia Windows 10:n, Windows 11:n ja Windows Serverin tietoturvastrategiassa. Seuraavilla riveillä näet vaihe vaiheelta ja yksityiskohtaisesti, miten ne toimivat, mitä ne edellyttävät ja miten ne aktivoidaan tai deaktivoidaan oikein Intune-, ryhmäkäytäntö-, rekisteri-, PowerShell- ja muiden työkalujen avulla välttäen samalla tarpeetonta yhteensopivuuden rikkomista.

Mikä on Microsoft Defender Credential Guard ja miksi se on niin tärkeä?

Windows Defender Credential Guard on suojausominaisuus Microsoftin Windows 10 Enterprise- ja Windows Server 2016 -käyttöjärjestelmissä esittelemä ominaisuus perustuu virtualisointipohjaiseen suojaukseen (VBS) todennussalaisuuksien eristämiseen. Paikallisen suojausviranomaisen (LSA) sijaan, joka hallinnoi suoraan muistissa olevia tunnistetietoja, käytetään eristettyä LSA-prosessia.LSAIso.exe) toteutettu suojatussa ympäristössä.

Tämän eristäytymisen ansiosta Vain asianmukaiset käyttöoikeudet omaava järjestelmäohjelmisto voi käyttää NTLM-hajautuksia ja Kerberos-tikettejä (TGT).Credential Managerin, paikallisten kirjautumisten ja esimerkiksi etätyöpöytäyhteyksissä käytettyjen tunnistetietojen käyttöoikeudet eivät ole enää käytettävissä. Mikä tahansa haitallinen koodi, joka yrittää lukea suoraan perinteisen LSA-prosessin muistia, huomaa näiden salaisuuksien kadonneen.

Tämä lähestymistapa heikentää merkittävästi klassisten hyväksikäytön jälkeisten työkalujen, kuten Mimikatz Pass-the-Hash- tai Pass-the-Ticket-hyökkäyksilleTämä johtuu siitä, että aiemmin helposti purettavat tiivisteet ja tiketit sijaitsevat nyt erillisessä muistisäiliössä, johon haittaohjelmat eivät pääse niin helposti käsiksi, vaikka niillä olisi järjestelmänvalvojan oikeudet vaarantuneessa järjestelmässä.

On syytä selventää, että Credential Guard ei ole sama asia kuin Device Guard.Vaikka Credential Guard suojaa tunnistetietoja ja salaisuuksia, Device Guard (ja siihen liittyvät sovellusten hallintatekniikat) keskittyvät estämään luvattoman koodin suorittamisen tietokoneella. Ne täydentävät toisiaan, mutta ratkaisevat erilaisia ​​ongelmia.

Silti, Credential Guard ei ole ihmelääke Mimikatzia tai sisäisiä hyökkääjiä vastaan.Hyökkääjä, jolla on jo päätepiste hallinnassaan, voi kaapata tunnistetiedot käyttäjän syöttäessä niitä (esimerkiksi näppäinpainallusten tallentajalla tai syöttämällä koodia todennusprosessiin). Se ei myöskään estä työntekijää, jolla on laillinen pääsy tiettyihin tietoihin, kopioimasta tai vuotamasta niitä; Credential Guard suojaa muistissa olevia tunnistetietoja, ei käyttäjän toimintaa.

Tunnistetietojen suojaus on oletusarvoisesti käytössä Windows 11:ssä ja Windows Serverissä

Nykyaikaisissa Windows-versioissa Credential Guard aktivoituu monissa tapauksissa automaattisesti.Windows 11 22H2:sta ja Windows Server 2025:stä alkaen tietyt laitteisto-, laiteohjelmisto- ja kokoonpanovaatimukset täyttävät laitteet saavat VBS:n ja Credential Guardin käyttöön oletuksena ilman, että järjestelmänvalvojan tarvitsee tehdä mitään.

Näissä järjestelmissä Oletusarvoinen käyttöönotto suoritetaan ilman UEFI-lukitusta.Tämä tarkoittaa, että vaikka Credential Guard on oletusarvoisesti käytössä, järjestelmänvalvoja voi myöhemmin poistaa sen käytöstä etänä ryhmäkäytännön, Intunen tai muiden menetelmien avulla, koska lukitusvaihtoehtoa ei ole aktivoitu laiteohjelmistossa.

Kun Credential Guard on aktivoitu ja virtualisointipohjainen suojaus (VBS) on myös käytössä.VBS on komponentti, joka luo suojatun ympäristön, jossa LSA:t eristetään ja salaisuudet tallennetaan, joten molemmat ominaisuudet kulkevat käsi kädessä näissä versioissa.

Tärkeä vivahde on, että Ylläpitäjän nimenomaisesti määrittämät arvot ovat aina voimassa. oletusasetusten päälle. Jos Credential Guard on otettu käyttöön tai poistettu käytöstä Intunen, ryhmäkäytäntöobjektin tai rekisterin kautta, tämä manuaalinen tila korvaa oletusarvoisen käyttöönoton tietokoneen uudelleenkäynnistyksen jälkeen.

Lisäksi jos Yhdessä laitteessa Credential Guard oli erikseen poistettu käytöstä ennen päivittämistä Windows-versioon, joka ottaa sen käyttöön oletusarvoisesti.Laite noudattaa tätä deaktivointia päivityksen jälkeen eikä käynnisty automaattisesti, ellei sen asetuksia muuteta uudelleen jollakin hallintatyökalulla.

Järjestelmä-, laitteisto-, laiteohjelmisto- ja lisenssivaatimukset

Jotta Credential Guard voi tarjota todellista suojaaLaitteiden on täytettävä tietyt laitteisto-, laiteohjelmisto- ja ohjelmistovaatimukset. Mitä paremmat alustan ominaisuudet ovat, sitä korkeampi on saavutettavissa oleva tietoturvataso.

Ensinnäkin 64-bittinen suoritin on pakollinen ja yhteensopivuus virtualisointipohjaisen tietoturvan kanssa. Tämä tarkoittaa, että suorittimen ja emolevyn on tuettava asianmukaisia ​​virtualisointilaajennuksia sekä näiden ominaisuuksien aktivointia UEFI/BIOSissa.

Toinen kriittinen elementti on suojattu käynnistys (Secure Boot)Secure Boot varmistaa, että järjestelmä käynnistyy lataamalla vain luotettuja, allekirjoitettuja laiteohjelmistoja ja ohjelmistoja. VBS ja Credential Guard käyttävät Secure Bootia estääkseen hyökkääjää muokkaamasta käynnistyskomponentteja suojauksen poistamiseksi käytöstä tai manipuloimiseksi.

Vaikka se ei ole ehdottoman pakollista, sellaisen omistamista suositellaan vahvasti. Luotettu alustamoduuli (TPM) versio 1.2 tai 2.0Olipa kyseessä sitten erillinen tai laiteohjelmistopohjainen TPM, se mahdollistaa salaussalaisuuksien ja -avainten linkittämisen laitteistoon, mikä lisää ylimääräisen tason ja vaikeuttaa asioita vakavasti niille, jotka yrittävät siirtää tai käyttää näitä salaisuuksia uudelleen toisella laitteella.

On myös erittäin suositeltavaa ottaa käyttöön UEFI-lukitus Credential GuardilleTämä estää järjestelmään pääsyn omaavia henkilöitä poistamasta suojausta käytöstä yksinkertaisesti muokkaamalla rekisteriavainta tai käytäntöä. Kun lukitus on aktiivinen, Credential Guardin poistaminen käytöstä vaatii paljon kontrolloidumman ja selkeämmän menettelyn.

Lisensoinnin alalla Credential Guard ei ole käytettävissä kaikissa Windows-versioissaYleensä sitä tuetaan yritys- ja koulutusversioissa: Windows Enterprise ja Windows Education tukevat sitä, kun taas Windows Pro tai Pro Education/SE eivät tue sitä oletusarvoisesti.

Los Credential Guardin käyttöoikeudet on sidottu tiettyihin tilauslisensseihin, kuten Windows Enterprise E3 ja E5 sekä Windows Education A3 ja A5. Pro-versiot eivät lisensoinnin osalta ole oikeutettuja näihin edistyneisiin toimintoihin, vaikka ne käyttävät samaa käyttöjärjestelmän binääritiedostoa.

Sovellusten yhteensopivuus ja lukitut ominaisuudet

Ennen Credential Guardin käyttöönottoa massatuotantonaOn suositeltavaa tarkistaa huolellisesti sovellukset ja palvelut, jotka ovat riippuvaisia ​​tietyistä todennusmekanismeista. Kaikki vanhat ohjelmistot eivät toimi hyvin näiden suojausten kanssa, ja jotkin protokollat ​​estetään suoraan.

Kun tunnistetietojen suojaus on käytössä, riskialttiiksi katsotut ominaisuudet poistetaan käytöstä, jotta Niistä riippuvat sovellukset lakkaavat toimimasta oikeinNäitä kutsutaan sovellusvaatimuksiksi: ehtoja, joita on vältettävä, jos haluat jatkaa Credential Guardin käyttöä ilman ongelmia.

Ominaisuuksien joukossa, jotka Ne on estetty suoraan erottuvat:

• Kerberos DES -salauksen yhteensopivuus.
• Kerberoksen delegointi ilman rajoituksia.
• TGT:n erottaminen Kerberoksesta LSA:sta.
• NTLMv1-protokolla.

Lisäksi, On ominaisuuksia, jotka eivät ole täysin kiellettyjä, mutta joihin liittyy lisäriskejä jos sitä käytetään yhdessä Credential Guardin kanssa. Sovellukset, jotka ovat riippuvaisia ​​implisiittisestä todennuksesta, tunnistetietojen delegoinnista, MS-CHAPv2:sta tai CredSSP:stä, ovat erityisen arkaluontoisia, koska ne voivat paljastaa tunnistetiedot turvattomasti, jos niitä ei ole määritetty huolellisesti.

On myös havaittu suorituskykyongelmia sovelluksissa, jotka yrittävät sitoutua tai olla suoraan vuorovaikutuksessa eristetyn prosessin kanssa LSAIso.exeKoska tämä prosessi on suojattu ja eristetty, toistuvat käyttöyritykset voivat lisätä järjestelmän kuormitusta tai hidastaa sitä tietyissä tilanteissa.

Hyvä asia on se modernit palvelut ja protokollat, jotka käyttävät Kerberosta standardinaToiminnot, kuten SMB:n jaettujen resurssien käyttö tai oikein määritetty etätyöpöytä, toimivat edelleen normaalisti, eikä Credential Guardin aktivointi vaikuta niihin, kunhan ne eivät ole riippuvaisia ​​edellä mainituista vanhoista toiminnoista.

Tunnistetietojen suojauksen ottaminen käyttöön: Intune, ryhmäkäytäntö ja rekisteri

Ideaalinen tapa aktivoida Credential Guard riippuu ympäristösi koosta ja hallinnasta.Organisaatioille, joilla on modernit hallintajärjestelmät, Microsoft Intune (MDM) on erittäin kätevä, kun taas perinteisissä Active Directory -verkkotunnuksissa käytetään edelleen yleisesti ryhmäkäytäntöä. Tarkempia säätöjä tai tiettyjä automaatioita varten rekisteri on edelleen vaihtoehto.

Ensinnäkin on tärkeää ymmärtää, että Tunnistetietojen suojauksen on oltava käytössä ennen tietokoneen liittämistä toimialueeseen. tai ennen kuin verkkotunnuskäyttäjä kirjautuu sisään ensimmäistä kertaa. Jos aktivoidaan myöhemmin, käyttäjä- ja konesalaisuudet saattavat jo vaarantua, mikä vähentää suojauksen todellista hyötyä.

Yleisesti ottaen voit ottaa Credential Guardin käyttöön seuraavasti:

• Microsoft Intune / MDM-hallinta.
• Ryhmäkäytäntö (GPO) Active Directoryssa tai paikallisessa käytäntöeditorissa.
• Windowsin rekisterin suora muokkaaminen.

Kun käytät mitä tahansa näistä asetuksista, Älä unohda, että laitteen uudelleenkäynnistys on pakollista. Jotta muutokset tulisivat voimaan, Credential Guard, VBS ja kaikki eristyskomponentit alustetaan käynnistyksen yhteydessä, joten pelkkä käytännön muuttaminen ei riitä.

Aktivoi tunnistetietojen suoja Microsoft Intunella

Jos hallitset laitteitasi Intunen avulla, sinulla on kaksi lähestymistapaa Päävaihtoehdot: Käytä Endpoint Security -malleja tai mukautettua käytäntöä, joka määrittää DeviceGuard CSP:n OMA-URI:n kautta.

Intune-portaalissa voit mennä kohtaan ”Päätepisteiden suojaus > Tilin suojaus” ja luo uusi tilin suojauskäytäntö. Valitse alustaksi "Windows 10 ja uudemmat" ja profiilityypiksi "Tilin suojaus" (eri muunnelmina saatavilla olevasta versiosta riippuen).

Kun määrität asetuksia, Aseta "Ota käyttöön tunnistetietojen suojaus" -asetukseksi "Ota käyttöön UEFI-lukituksella". Jos haluat estää suojauksen helpon etäkäytön, Credential Guard on "ankkuroitu" laiteohjelmistoon, mikä nostaa laitteen fyysisen ja loogisen turvallisuuden tasoa.

Kun parametrit on määritelty, Määritä käytäntö ryhmälle, joka sisältää suojattavat laitteet tai käyttäjäobjektit.Käytäntöä sovelletaan, kun laite synkronoidaan Intunen kanssa, ja vastaavan uudelleenkäynnistyksen jälkeen Credential Guard aktivoituu.

Jos haluat hallita hienoja yksityiskohtia, Voit käyttää DeviceGuard CSP:hen perustuvaa mukautettua käytäntöä.Tätä varten on luotava OMA-URI-merkintöjä asianmukaisilla nimillä ja arvoilla, esimerkiksi:

kokoonpano
nimiOta käyttöön virtualisointiin perustuva suojaus OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tietotyyppi: kokonaisluku urheus: 1
nimiTunnistetietojen suojauksen määritys OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tietotyyppi: kokonaisluku urheus: Käytössä UEFI-lukolla: 1 Käytössä ilman estoa: 2

Tämän mukautetun käytännön käyttöönoton ja uudelleenkäynnistyksen jälkeen Laite käynnistyy VBS ja Credential Guard aktiivisina., ja järjestelmän tunnistetiedot suojataan eristetyssä säilössä.

Määritä Credential Guard ryhmäkäytännön avulla

Ympäristöissä, joissa on perinteinen Active DirectoryLuonnollisin tapa ottaa Credential Guard käyttöön joukkona on ryhmäkäytäntöobjektien (GPO) kautta. Voit tehdä tämän joko paikallisessa käytäntöeditorissa yksittäisellä tietokoneella tai ryhmäkäytäntöjen hallinnassa toimialuetasolla.

Voit määrittää käytännön avaamalla vastaavan ryhmäkäytäntöeditorin ja siirtymällä polkuun. Tietokoneen asetukset > Hallintamallit > Järjestelmä > LaitesuojaTästä osiosta löydät käytännön "Ota virtualisointiin perustuva suojaus käyttöön".

Tässä direktiivissä vahvistetaan Valitse "Käytössä" ja valitse haluamasi tunnistetietojen suojausasetukset avattavasta luettelosta.Voit valita joko "Käytössä UEFI-lukolla" tai "Käytössä ilman lukitusta" haluamasi fyysisen suojauksen tason mukaan.

Kun ryhmäkäytäntöobjekti on määritetty, linkitä se organisaatioyksikköön tai toimialueeseen, jossa kohdetietokoneet sijaitsevatVoit hienosäätää sen soveltamista käyttämällä suojausryhmäsuodatusta tai WMI-suodattimia, jotta se koskee vain tietyntyyppisiä laitteita (esimerkiksi vain yrityksen kannettavia tietokoneita, joissa on yhteensopiva laitteisto).

Kun koneet vastaanottavat käskyn ja käynnistyvät uudelleen, Tunnistetietojen suojaus aktivoidaan ryhmäkäytäntömäärityksen mukaisesti., hyödyntäen verkkotunnusinfrastruktuuria sen käyttöönottoon standardoidulla tavalla.

Ota Credential Guard käyttöön muokkaamalla Windowsin rekisteriä

Jos tarvitset erittäin tarkkaa hallintaa tai haluat automatisoida käyttöönoton komentosarjojen avullaVoit määrittää Credential Guardin suoraan rekisteriavainten avulla. Tämä menetelmä vaatii tarkkuutta, koska väärä arvo voi jättää järjestelmän odottamattomaan tilaan.

Jotta virtualisointipohjainen tietoturva ja Credential Guard aktivoituisivat, Sinun on luotava tai muokattava useita merkintöjä tiettyjen polkujen allaKeskeiset kohdat ovat:

kokoonpano
reitti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nimi: EnableVirtualizationBasedSecurity Tyyppi: REG_DWORD urheus: 1 (mahdollistaa virtualisointiin perustuvan tietoturvan)
reitti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nimi: RequirePlatformSecurityFeatures Tyyppi: REG_DWORD urheus: 1 (käyttäen suojattua käynnistystä) 3 (suojattu käynnistys + DMA-suojaus)
reitti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nimi: LsaCfgFlags Tyyppi: REG_DWORD urheus: 1 (ottaa käyttöön tunnistetietojen suojauksen ja UEFI-lukituksen) 2 (mahdollistaa tunnistetietojen suojauksen ilman lukitusta)

Näiden arvojen soveltamisen jälkeen Käynnistä tietokone uudelleen, jotta Windowsin hypervisor ja eristetty LSA-prosessi tulevat käyttöönIlman tätä nollausta rekisterin muutokset eivät itse asiassa aktivoi muistin suojausta.

Kuinka tarkistaa, onko Credential Guard käytössä ja toimiiko se

Katso, onko prosessi LsaIso.exe Se näkyy Tehtävienhallinnassa. Se saattaa antaa vihjeen, mutta Microsoft ei pidä sitä luotettavana menetelmänä Credential Guardin toiminnan varmistamiseksi. On olemassa vankempia menetelmiä, jotka perustuvat sisäänrakennettuihin järjestelmätyökaluihin.

Suositeltujen vaihtoehtojen joukossa mm. Tarkista tunnistetietojen suojauksen tila Näitä ovat Järjestelmätiedot, PowerShell ja Tapahtumienvalvonta. Jokainen menetelmä tarjoaa erilaisen näkökulman, joten kannattaa tutustua niihin kaikkiin.

Visuaalisin menetelmä on se, joka Järjestelmätiedot (msinfo32.exe)Käynnistä Käynnistä-valikosta tämä työkalu, valitse "Järjestelmän yhteenveto" ja tarkista "Virtualisointipohjaisten suojauspalveluiden suorittaminen" -osiosta, että "Credential Guard" näkyy aktiivisena palveluna.

Jos haluat mieluummin jotain skriptattavaa, PowerShell on liittolaisesiVoit suorittaa seuraavan komennon konsolista, jossa on laajennetut oikeudet:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Tämän komennon tuloste osoittaa numeeristen koodien avulla, onko Tunnistetietojen suojaus on käytössä tai ei ole käytössä kyseisessä koneessaArvo 0 tarkoittaa, että tunnistetietojen suojaus on poistettu käytöstä.Vaikka 1 osoittaa, että se on aktivoitu ja käynnissä. osana virtualisointipohjaisia ​​tietoturvapalveluita.

Lopuksi Tapahtumienvalvonnan avulla voit tarkastella Credential Guardin historiallista toimintaa.Avaaminen eventvwr.exe Siirrymällä kohtaan "Windowsin lokit > Järjestelmä" voit suodattaa "WinInit"-tapahtumalähteen mukaan ja etsiä Device Guard- ja Credential Guard -palveluiden alustukseen liittyviä viestejä, jotka ovat hyödyllisiä säännöllisissä tarkastuksissa.

Poista Credential Guard käytöstä ja hallitse UEFI-lukitusta

Vaikka yleinen suositus on pitää Credential Guard aktiivisena Kaikissa sitä tukevissa järjestelmissä se voi joissakin hyvin erityisissä tilanteissa olla tarpeen poistaa käytöstä joko vanhojen sovellusten yhteensopivuusongelmien ratkaisemiseksi tai tiettyjen diagnostiikkatehtävien suorittamiseksi.

Tarkka menettely Tunnistetietojen suojauksen poistaminen käytöstä riippuu siitä, miten se alun perin määritettiin.Jos se otettiin käyttöön ilman UEFI-lukitusta, palauta Intune-, GPO- tai rekisterikäytännöt ja käynnistä tietokone uudelleen. Jos se kuitenkin otettiin käyttöön UEFI-lukituksen kanssa, tarvitaan lisävaiheita, koska osa määrityksistä on tallennettu laiteohjelmiston EFI-muuttujiin.

Erityistapauksessa Tunnistetietojen suojaus käytössä UEFI-lukollaEnsin sinun on noudatettava vakiomuotoista käytöstäpoistoprosessia (direktiivien tai rekisteriarvojen palauttaminen) ja sitten poistettava asiaankuuluvat EFI-muuttujat käyttämällä bcdedit ja apuohjelma SecConfig.efi edistyneellä skriptillä.

Tyypillinen virtaus sisältää asenna väliaikainen EFI-asema, kopioi SecConfig.efi, luo uusi latausliitäntä bcdeditMääritä asetukset poistaaksesi eristetyn LSA:n käytöstä ja asettaaksesi väliaikaisen käynnistysjärjestyksen Windowsin käynnistyksenhallinnan kautta sekä irrottaaksesi aseman prosessin lopussa.

Kun olet käynnistänyt tietokoneen uudelleen tällä kokoonpanolla, Ennen Windowsin käynnistymistä näyttöön tulee varoitus UEFI-asetuksen muutoksesta.Tämän viestin vahvistaminen on pakollista, jotta muutokset pysyvät ja Credential Guard EFI -lukitus on todella poistettu käytöstä laiteohjelmistossa.

Jos tarvitset on Poista tunnistetietojen suojaus käytöstä tietyssä Hyper-V-virtuaalikoneessaVoit tehdä tämän isännästä koskematta vieraaseen PowerShellin avulla. Tyypillinen komento olisi:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Tuon säädön myötä virtuaalikone Se lopettaa VBS:n käytön ja siten Credential Guardin suorittamisen. vaikka vieraskäyttöjärjestelmä tukeekin ominaisuutta, josta voi olla hyötyä hyvin erityisissä laboratorio- tai testausympäristöissä.

Credential Guard Hyper-V-virtuaalikoneissa

Credential Guard ei rajoitu fyysisiin laitteisiinSe voi myös suojata tunnistetietoja Windowsia käyttävissä virtuaalikoneissa Hyper-V-ympäristöissä, tarjoten samanlaisen eristäytymistason kuin paljaassa metallilaitteistossa.

Tässä tilanteessa Credential Guard suojaa salaisuuksia virtuaalikoneen sisältä tulevilta hyökkäyksiltä.Toisin sanoen, jos hyökkääjä vaarantaa virtuaalikoneen järjestelmäprosesseja, VBS-suojaus jatkaa LSA:iden eristämistä ja vähentää tiivisteiden ja tikettien altistumista.

On kuitenkin tärkeää tehdä selväksi raja: Credential Guard ei voi puolustaa virtuaalikoneen isäntäkoneesta tulevilta hyökkäyksiltä. laajennetuilla oikeuksilla. Hypervisorilla ja isäntäjärjestelmällä on käytännössä täydellinen hallinta virtuaalikoneihin, joten pahantahtoinen isäntäjärjestelmänvalvoja voi ohittaa nämä esteet.

Jotta Credential Guard toimisi oikein tällaisissa käyttöönottoissa, Hyper-V-isännässä on oltava IOMMU (tulo-/lähtömuistin hallintayksikkö), joka mahdollistaa muistin ja laitteiden käytön eristämisen, ja virtuaalikoneiden on oltava Sukupolvi 2, UEFI-laiteohjelmistolla, joka mahdollistaa Secure Bootin ja muut tarvittavat ominaisuudet.

Näiden vaatimusten täyttyessä Credential Guardin käyttö virtuaalikoneilla on hyvin samanlaista kuin fyysisellä koneella.mukaan lukien samat aktivointimenetelmät (Intune, GPO, Rekisteri) ja vahvistusmenetelmät (msinfo32, PowerShell, Tapahtumienvalvonta).

Exploit Guard ja Microsoft Defender: Yleisen suojauksen aktivointi ja hallinta

Credential Guardin ohella Windowsin tietoturvaekosysteemi on riippuvainen Microsoft Defender Antivirus -ohjelmasta. ja teknologioissa, kuten Exploit Guard, jotka sisältävät hyökkäyspinnan vähentämissääntöjä, verkon suojausta, kansioiden käyttöoikeuksien hallintaa ja muita ominaisuuksia, joiden tarkoituksena on hidastaa haittaohjelmia ja lieventää hyväksikäyttöjä.

Monissa joukkueissa, Microsoft Defender -virustorjunta on esiasennettu ja aktivoitu oletuksena Windows 8:ssa, Windows 10:ssä ja Windows 11:ssä se on saatavilla, mutta on suhteellisen yleistä, että se on poistettu käytöstä aiempien käytäntöjen, kolmannen osapuolen ratkaisujen asennuksen tai rekisterin manuaalisten muutosten vuoksi.

että Aktivoi Microsoft Defender Antivirus paikallisen ryhmäkäytännön avullaVoit avata Käynnistä-valikon, etsiä hakusanalla "Ryhmäkäytäntö" ja valita "Muokkaa ryhmäkäytäntöä". Kohdassa "Tietokoneen asetukset > Hallintamallit > Windowsin osat > Windows Defender Antivirus" näet vaihtoehdon "Poista Windows Defender Antivirus käytöstä".

Jos tämän käytännön arvoksi on asetettu "Käytössä", virustorjuntaohjelma on pakotettu pois käytöstä. Voit palauttaa sen toiminnallisuuden asettamalla asetuksen arvoksi "Pois käytöstä" tai "Ei määritetty".Ota muutokset käyttöön ja sulje editori. Palvelu voidaan käynnistää uudelleen seuraavan käytäntöpäivityksen jälkeen.

Jos silloin Defender on erikseen poistettu käytöstä rekisteristäSinun täytyy tarkistaa reitti HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender ja etsi arvo DisableAntiSpywareRekisterieditorin avulla voit avata sen ja asettaa sen "Arvotiedot" -arvoksi 0Hyväksy muutos, jotta virustorjunta toimii uudelleen.

Näiden säätöjen jälkeen siirry kohtaan "Käynnistä > Asetukset > Päivitys ja suojaus > Windows Defender" (uudemmissa versioissa "Windowsin suojaus") ja Varmista, että "Reaaliaikainen suojaus" -kytkin on käytössäJos se on edelleen pois päältä, kytke se manuaalisesti päälle varmistaaksesi, että virustorjunta käynnistyy järjestelmän mukana.

Parhaan mahdollisen suojan saavuttamiseksi on suositeltavaa Ota käyttöön sekä reaaliaikainen että pilvipohjainen suojausSiirry "Windowsin tietoturva" -sovelluksessa kohtaan "Virus- ja uhkien torjunta > Virus- ja uhkien torjunnan asetukset > Hallitse asetuksia" ja aktivoi vastaavat kytkimet.

Jos näitä vaihtoehtoja ei ole näkyvissä, on todennäköistä, että Ryhmäkäytäntö piilottaa virustorjuntaosan. Tarkista Windowsin suojaus -osiossa "Tietokoneen asetukset > Hallintamallit > Windowsin osat > Windowsin suojaus > Virusten ja uhkien torjunta" ja varmista, että "Piilota virusten ja uhkien torjunta-alue" -käytännön arvoksi on asetettu "Ei käytössä", jolloin muutokset tulevat voimaan.

Se on yhtä tärkeää pidä virusmääritelmät ajan tasalla Näin Microsoft Defender voi havaita viimeaikaiset uhat. Napsauta Windowsin suojauksen kohdassa "Virus- ja uhkien torjunta" kohdassa "Uhkien torjunnan päivitykset" ja napsauta sitten "Tarkista päivitykset" ja salli uusimpien tunnisteiden lataaminen.

Jos haluat käyttää komentoriviä, sekin on yksi vaihtoehto. Voit käynnistää Microsoft Defender -palvelun CMD:stäPaina Windows-näppäintä + R ja kirjoita cmd Suorita sitten komentokehotteessa (mieluiten laajennetuilla oikeuksilla) seuraava:

sc start WinDefend

Tällä komennolla Pääasiallinen virustorjuntapalvelu käynnistyy edellyttäen, ettei sitä estä muita käytäntöjä tai estot, jolloin voit nopeasti tarkistaa, käynnistyykö moottori virheettömästi.

Voit selvittää, käyttääkö tietokoneesi Microsoft Defenderiä, siirtymällä kohtaan "Käynnistä > Asetukset > Järjestelmä" ja avaamalla sitten "Ohjauspaneeli". "Suojaus ja ylläpito" -osiosta löydät "Järjestelmän suojaus ja suojaus" -osion, jossa Näet yhteenvedon virustorjunnan tilasta ja muista aktiivisista toimenpiteistä. joukkueessa.

yhdistämällä Credential Guard suojaa muistissa olevia tunnistetietoja Oikein konfiguroidulla Microsoft Defenderillä, Exploit Guardilla ja asianmukaisilla koventamissäännöillä saavutetaan huomattavasti korkeampi suojaustaso tunnistetietojen varkauksia, kehittyneitä haittaohjelmia ja verkkotunnuksen sisäistä sivuttaissiirtoa vastaan. Vaikka yhteensopivuuteen vanhojen protokollien ja sovellusten kanssa liittyy aina kustannuksia, yleinen tietoturvan parannus korvaa nämä useimmissa organisaatioissa enemmän kuin hyvin.