A Microsoft Defender Credential Guard és a Exploit Guard aktiválása

Hitelesítő adatok védelme Windows rendszerben és a rendszer megerősítése a biztonsági rések kihasználásával szemben Szinte kötelezővé vált minden modern üzleti környezetben. Az olyan támadások, mint a Pass-the-Hash, a Pass-the-Ticket, vagy a nulladik napi sebezhetőségek kihasználása, kihasználják a konfigurációban lévő bármilyen felügyeletet, hogy laterálisan mozogjanak a hálózaton, és percek alatt átvegyék az irányítást a szerverek és munkaállomások felett.

Ebben az összefüggésben, Microsoft Defender hitelesítőadat-védelem és exploit Guard technológiák (a Microsoft Defender víruskereső motorral együtt) a Windows 10, a Windows 11 és a Windows Server biztonsági stratégiájának kulcsfontosságú elemei. A következő sorokban lépésről lépésre és részletesen bemutatjuk, hogyan működnek, mik a követelményeik, és hogyan aktiválhatja vagy inaktiválhatja őket helyesen az Intune, a csoportházirend, a beállításjegyzék, a PowerShell és más eszközök használatával, elkerülve a kompatibilitás szükségtelen megsértését.

Mi az a Microsoft Defender Credential Guard, és miért olyan fontos?

A Windows Defender hitelesítőadat-védője egy biztonsági funkció A Microsoft által a Windows 10 Enterprise és a Windows Server 2016 rendszerekben bevezetett funkció a virtualizáció-alapú biztonságra (VBS) támaszkodik a hitelesítési titkok elkülönítéséhez. A memóriában tárolt hitelesítő adatokat közvetlenül a helyi biztonsági hatóság (LSA) kezeli, helyette egy elkülönített LSA-folyamatot használ.LSAIso.exe) védett környezetben végrehajtva.

Ennek az elszigeteltségnek köszönhetően, Csak a megfelelő jogosultságokkal rendelkező rendszerszoftver férhet hozzá az NTLM hashekhez és a Kerberos jegyekhez (TGT).A Credential Manager által használt hitelesítő adatok, a helyi bejelentkezések és a távoli asztalhoz hasonló kapcsolatokban használt hitelesítő adatok már nem érhetők el. Bármely rosszindulatú kód, amely közvetlenül megkísérli olvasni egy hagyományos LSA-folyamat memóriáját, azt fogja tapasztalni, hogy ezek a titkos adatok elvesztek.

Ez a megközelítés drasztikusan csökkenti a klasszikus utólagos kihasználási eszközök hatékonyságát, mint például a Mimikatz Pass-the-Hash vagy Pass-the-Ticket támadásokhozEz azért van, mert a korábban könnyen kinyerhető hash-ek és jegyek most egy elszigetelt konténerben találhatók a memóriában, amelyhez a rosszindulatú programok nem férhetnek hozzá olyan könnyen, még akkor sem, ha rendszergazdai jogosultságokkal rendelkeznek a feltört rendszeren.

Tisztázni kellene, hogy A Credential Guard nem ugyanaz, mint az Device GuardMíg a Credential Guard védi a hitelesítő adatokat és a titkos adatokat, az Device Guard (és a kapcsolódó alkalmazásvezérlési technológiák) a jogosulatlan kódok számítógépen történő futtatásának megakadályozására összpontosít. Kiegészítik egymást, de különböző problémákat oldanak meg.

Még így is, A Credential Guard nem csodaszer Mimikatz vagy belső támadók ellenEgy támadó, aki már irányít egy végpontot, rögzítheti a hitelesítő adatokat, amint a felhasználó beírja azokat (például egy billentyűleütés-figyelővel vagy kód beillesztésével a hitelesítési folyamatba). Ez nem akadályozza meg azt sem, hogy egy bizonyos adatokhoz jogos hozzáféréssel rendelkező alkalmazott lemásolja vagy kiszivárogtassa azokat; a Credential Guard a memóriában tárolt hitelesítő adatokat védi, nem pedig a felhasználói viselkedést.

A Credential Guard alapértelmezés szerint engedélyezve van Windows 11 és Windows Server rendszerben

A Windows modern verzióiban a Credential Guard sok esetben automatikusan aktiválódik.A Windows 11 22H2 és a Windows Server 2025 verzióktól kezdődően a bizonyos hardver-, firmware- és konfigurációs követelményeknek megfelelő eszközök alapértelmezés szerint engedélyezve kapják a VBS-t és a Credential Guard-ot, anélkül, hogy a rendszergazdának bármit is tennie kellene.

Ezekben a rendszerekben, Az alapértelmezett engedélyezés UEFI zárolás nélkül történik.Ez azt jelenti, hogy bár a Credential Guard alapértelmezés szerint engedélyezve van, a rendszergazda később távolról letilthatja azt csoportházirenden, Intune-on vagy más módszerekkel, mivel a zárolási opció nincs aktiválva a firmware-ben.

Mikor A Credential Guard aktiválva van, és a virtualizáció-alapú biztonság (VBS) is engedélyezve van.A VBS az a komponens, amely létrehozza azt a védett környezetet, ahol az LSA-k elkülönítve vannak, és ahol a titkos kódok tárolódnak, így mindkét funkció kéz a kézben jár ezekben a verziókban.

Fontos árnyalat az, hogy Az adminisztrátor által kifejezetten beállított értékek mindig az irányadók. az alapértelmezett beállítások felett. Ha a Hitelesítőadat-védelem engedélyezve vagy letiltva van az Intune-ban, a csoportházirend-objektumban vagy a beállításjegyzékben, akkor ez a manuális állapot felülírja az alapértelmezett engedélyezést a számítógép újraindítása után.

Továbbá, ha Az egyik eszközön kifejezetten letiltották a Credential Guard szolgáltatást, mielőtt egy olyan Windows-verzióra frissítettek volna, amely alapértelmezés szerint engedélyezi azt.Az eszköz a frissítés után tiszteletben tartja ezt a deaktiválást, és nem kapcsol be automatikusan, kivéve, ha a konfigurációját ismét megváltoztatják valamelyik kezelőeszközzel.

Rendszer-, hardver-, firmware- és licenckövetelmények

Hogy a Credential Guard valódi védelmet nyújthassonA berendezésnek meg kell felelnie bizonyos hardver-, firmware- és szoftverkövetelményeknek. Minél jobbak a platform képességei, annál magasabb biztonsági szint érhető el.

Először is, 64 bites CPU kötelező és a virtualizáción alapuló biztonsággal való kompatibilitás. Ez azt jelenti, hogy a processzornak és az alaplapnak támogatnia kell a megfelelő virtualizációs kiterjesztéseket, valamint ezen funkciók aktiválását az UEFI/BIOS-ban.

Egy másik kritikus elem a biztonságos rendszerindítás (Secure Boot)A Secure Boot biztosítja, hogy a rendszer csak megbízható, aláírt firmware-t és szoftvert töltsön be induláskor. A Secure Bootot a VBS és a Credential Guard használja annak megakadályozására, hogy a támadók módosítsák a rendszerindító komponenseket a védelem letiltása vagy manipulálása érdekében.

Bár nem szigorúan kötelező, erősen ajánlott megléte. Megbízható platform modul (TPM) 1.2-es vagy 2.0-s verziójaAkár különálló, akár firmware-alapú, a TPM lehetővé teszi a titkosítási titkok és kulcsok hardverhez csatolását, ami egy további réteget ad hozzá, és komolyan bonyolítja a dolgokat azok számára, akik ezeket a titkokat egy másik eszközön próbálják hordozni vagy újra felhasználni.

Szintén erősen ajánlott engedélyezni a UEFI zár a Credential GuardhozEz megakadályozza, hogy bárki, aki rendelkezik rendszerhozzáféréssel, letiltsa a védelmet egyszerűen egy beállításkulcs vagy házirend módosításával. Ha a zár aktív, a Credential Guard letiltása sokkal ellenőrzöttebb és explicitebb eljárást igényel.

Az engedélyezés területén, A Credential Guard nem érhető el a Windows minden kiadásábanÁltalában a vállalati és oktatási kiadásokban támogatott: a Windows Enterprise és a Windows Education verziókban van támogatás, míg a Windows Pro vagy a Pro Education/SE verziókban alapértelmezés szerint nem.

sok A Credential Guard használati jogai bizonyos előfizetési licencekhez kötöttek., mint például a Windows Enterprise E3 és E5, valamint a Windows Education A3 és A5. A Pro kiadások licencelés szempontjából nem jogosultak erre a fejlett funkcióra, annak ellenére, hogy ugyanazt az operációs rendszer bináris fájlját futtatják.

Alkalmazáskompatibilitás és zárolt funkciók

A Credential Guard tömeges telepítése előttCélszerű alaposan felülvizsgálni azokat az alkalmazásokat és szolgáltatásokat, amelyek adott hitelesítési mechanizmusokra támaszkodnak. Nem minden korábbi szoftver működik jól ezekkel a védelemmel, és egyes protokollok közvetlenül blokkolva vannak.

Ha a Hitelesítőadat-védelem engedélyezve van, a kockázatosnak ítélt funkciók le vannak tiltva, így Az ezektől függő alkalmazások nem működnek megfelelőenEzeket alkalmazási követelményeknek nevezzük: olyan feltételek, amelyeket el kell kerülni, ha továbbra is zavartalanul szeretné használni a Credential Guard szolgáltatást.

A jellemzők között, amelyek Közvetlenül blokkolva vannak a következők:

• Kerberos DES titkosítási kompatibilitás.
• Kerberos delegálása korlátozások nélkül.
• TGT kinyerése Kerberosból LSA-ból.
• NTLMv1 protokoll.

Ezen túlmenően, Vannak olyan funkciók, amelyek bár nem teljesen tiltottak, további kockázatokat rejtenek magukban ha a Credential Guarddal együtt használják. Az implicit hitelesítésre, hitelesítőadat-delegálásra, MS-CHAPv2-re vagy CredSSP-re támaszkodó alkalmazások különösen érzékenyek, mivel nem kellően konfigurált állapotban veszélyeztethetik a hitelesítő adatok biztonságát.

Azt is megfigyelték, teljesítményproblémák azokban az alkalmazásokban, amelyek megpróbálnak kötődni vagy közvetlenül kapcsolatba lépni az izolált folyamattal LSAIso.exeMivel ez a folyamat védett és elszigetelt, az ismételt hozzáférési kísérletek bizonyos esetekben többletterhelést vagy lassulást okozhatnak.

A jó dolog az modern szolgáltatások és protokollok, amelyek szabványként használják a KerberostAz olyan funkciók, mint az SMB megosztott erőforrásaihoz való hozzáférés vagy a megfelelően konfigurált távoli asztal, továbbra is normálisan működnek, és nem befolyásolják a Credential Guard aktiválása, feltéve, hogy nem függenek a fent említett örökölt funkcióktól.

A hitelesítő adatok védelmének engedélyezése: Intune, csoportházirend és beállításjegyzék

A Credential Guard aktiválásának ideális módja a környezet méretétől és kezelésétől függ.A modern felügyeleti rendszerekkel rendelkező szervezetek számára a Microsoft Intune (MDM) nagyon kényelmes, míg a hagyományos Active Directory tartományokban továbbra is gyakran használják a csoportházirendet. Pontosabb beállításokhoz vagy adott automatizálásokhoz a beállításjegyzék továbbra is választható.

Először is, kulcsfontosságú megérteni, hogy A számítógép tartományhoz való csatlakoztatása előtt engedélyezni kell a hitelesítő adatok védelmét. vagy mielőtt egy tartományi felhasználó először bejelentkezik. Ha később aktiválják, a felhasználói és gépi titkok már veszélybe kerülhettek, ami csökkenti a védelem tényleges előnyeit.

Általánosságban elmondható, hogy a Credential Guard a következőképpen engedélyezhető:

• Microsoft Intune / MDM menedzsment.
• Csoportházirend (GPO) az Active Directoryban vagy a helyi házirend-szerkesztőben.
• A Windows rendszerleíró adatbázis közvetlen módosítása.

Ezen beállítások bármelyikének alkalmazásakor Ne felejtsük el, hogy az eszköz újraindítása kötelező. Ahhoz, hogy a változtatások érvénybe lépjenek, a Credential Guard, a VBS és az összes elkülönítési komponens inicializálódik a rendszerindításkor, így a szabályzat egyszerű módosítása nem elegendő.

A hitelesítő adatok védelme aktiválása a Microsoft Intune-nal

Ha az Intune-nal kezeli az eszközeit, kétféleképpen is megközelítheti a feladatot Fő lehetőségek: Végpontbiztonsági sablonok használata vagy egyéni szabályzat használata, amely OMA-URI-n keresztül konfigurálja a DeviceGuard CSP-t.

Az Intune portálon a „Végpontbiztonság > Fiókvédelem” menüpontra léphet. és hozzon létre egy új fiókvédelmi szabályzatot. Válassza ki a „Windows 10 és újabb” platformot, és a „Fiókvédelem” profiltípust (különböző változatokban, az elérhető verziótól függően).

A beállítások konfigurálásakor A „Hitelesítőadat-védelem bekapcsolása” opciót állítsa „Engedélyezés UEFI-zárral” értékre. Ha meg szeretné akadályozni, hogy a védelmet távolról könnyen letilthassák, a Credential Guard a firmware-be van „rögzítve”, ami növeli az eszköz fizikai és logikai biztonságának szintjét.

Miután a paramétereket meghatároztuk, Rendelje hozzá a szabályzatot egy olyan csoporthoz, amely tartalmazza a védeni kívánt eszközöket vagy felhasználói objektumokat.A szabályzat akkor lesz érvényben, amikor az eszköz szinkronizálódik az Intune-nal, és a megfelelő újraindítás után aktiválódik a Credential Guard.

Ha jobban szereted a finom részleteket kontrollálni, Használhat egyéni szabályzatot a DeviceGuard CSP alapján.Ehhez létre kell hozni az OMA-URI bejegyzéseket a megfelelő nevekkel és értékekkel, például:

konfiguráció
névVirtualizáció-alapú biztonság engedélyezése OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Adattípus: int érték: 1
névHitelesítőadat-védelem konfigurációja OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Adattípus: int érték: UEFI zárral engedélyezve: 1 Blokkolás nélkül engedélyezve: 2

Az egyéni szabályzat alkalmazása és az újraindítás után Az eszköz aktív VBS-sel és Credential Guarddal indul el., és a rendszer hitelesítő adatai védve lesznek az elkülönített tárolóban.

A hitelesítő adatok védelme csoportházirend használatával konfigurálható

Hagyományos Active Directory-t használó környezetekbenA Credential Guard tömeges engedélyezésének legtermészetesebb módja a csoportházirend-objektumok (GPO-k) használata. Ezt megteheti a helyi házirend-szerkesztőből egyetlen számítógépen, vagy a Csoportházirend-kezelőből tartományi szinten.

A házirend konfigurálásához nyissa meg a megfelelő csoportházirend-szerkesztőt, és navigáljon az elérési úthoz. Számítógép konfigurációja > Felügyeleti sablonok > Rendszer > EszközvédelemEbben a szakaszban található a „Virtualizáció-alapú biztonság engedélyezése” szabályzat.

Ez az irányelv megállapítja Válassza az „Engedélyezve” lehetőséget, és a legördülő listából válassza ki a kívánt hitelesítőadat-védelmi beállításokat.Az „Engedélyezve UEFI-zárral” vagy az „Engedélyezve zár nélkül” lehetőségek közül választhat, attól függően, hogy milyen szintű fizikai védelmet szeretne alkalmazni.

Miután a csoportházirend-objektum konfigurálva van, csatolja ahhoz a szervezeti egységhez vagy tartományhoz, ahol a célszámítógépek találhatókFinomhangolhatja az alkalmazását biztonsági csoportszűréssel vagy WMI-szűrőkkel, így csak bizonyos típusú eszközökre vonatkozhat (például csak kompatibilis hardverrel rendelkező vállalati laptopokra).

Amikor a gépek megkapják az utasítást és újraindulnak, A hitelesítőadat-védelem a csoportházirend-konfigurációnak megfelelően aktiválódik., kihasználva a domain infrastruktúrát a szabványosított telepítéshez.

A hitelesítő adatok védelme engedélyezése a Windows rendszerleíró adatbázis módosításával

Ha nagyon részletes vezérlésre van szüksége, vagy szkriptekkel szeretné automatizálni a telepítéstA Credential Guard közvetlenül a beállításkulcsok segítségével konfigurálható. Ez a módszer pontosságot igényel, mert a helytelen érték váratlan állapotba hozhatja a rendszert.

Ahhoz, hogy a virtualizáció-alapú biztonság és a Credential Guard aktívvá váljon, Több bejegyzést kell létrehoznia vagy módosítania adott elérési utak alattA főbb pontok a következők:

konfiguráció
útvonal: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard név: EnableVirtualizationBasedSecurity Type: REG_DWORD érték: 1 (virtualizáció-alapú biztonságot tesz lehetővé)
útvonal: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard név: RequirePlatformSecurityFeatures Type: REG_DWORD érték: 1 (biztonságos rendszerindítás használatával) 3 (biztonságos rendszerindítás + DMA-védelem)
útvonal: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa név: LsaCfgFlags Type: REG_DWORD érték: 1 (engedélyezi a hitelesítőadat-védelmet UEFI-zárral) 2 (engedélyezi a hitelesítő adatok védelmét zárolás nélkül)

Miután ezeket az értékeket alkalmaztuk, Indítsa újra a számítógépet, hogy a Windows hipervizor és az izolált LSA folyamat működésbe lépjenA visszaállítás nélkül a beállításjegyzékbeli módosítások valójában nem aktiválják a memóriavédelmet.

Hogyan ellenőrizhető, hogy a Credential Guard engedélyezve van-e és működik-e

Nézd meg, hogy a folyamat LsaIso.exe Megjelenik a Feladatkezelőben. Adhat némi támpontot, de a Microsoft nem tartja megbízható módszernek a Credential Guard működésének ellenőrzésére. Léteznek robusztusabb eljárások, amelyek beépített rendszereszközökön alapulnak.

Az ajánlott lehetőségek közül a Ellenőrizze a hitelesítő adatok védelmének állapotát Ezek közé tartozik a Rendszerinformáció, a PowerShell és az Eseménynapló. Mindegyik módszer más perspektívát kínál, ezért érdemes mindegyikkel megismerkedni.

A legvizuálisabb módszer az, amelyik Rendszerinformációk (msinfo32.exe)A Start menüből egyszerűen futtassa ezt az eszközt, válassza a „Rendszerösszefoglaló” lehetőséget, és a „Virtualizációalapú biztonsági szolgáltatások futtatása” részben ellenőrizze, hogy a „Hitelesítőadat-védelem” aktív szolgáltatásként jelenik-e meg.

Ha valami szkriptelhetőt szeretnél, A PowerShell a szövetségesedEmelt jogosultságokkal rendelkező konzolról futtathatja a következő parancsot:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

A parancs kimenete numerikus kódok segítségével jelzi, hogy A hitelesítő adatok védelme engedélyezve van-e ezen a gépen, vagy nincs.Egy érték A 0 azt jelenti, hogy a hitelesítő adatok védelme le van tiltva.Míg Az 1-es azt jelzi, hogy aktiválva van és működik. virtualizáción alapuló biztonsági szolgáltatások részeként.

Végül a Az Eseménynapló lehetővé teszi a Credential Guard korábbi viselkedésének áttekintését.Nyílás eventvwr.exe A „Windows naplók > Rendszer” menüpontra navigálva szűrhet a „WinInit” eseményforrás szerint, és megkeresheti az Eszközőr és a Hitelesítőadat-őr szolgáltatások inicializálásával kapcsolatos üzeneteket, amelyek hasznosak az időszakos auditokhoz.

A hitelesítő adatok védelmének letiltása és az UEFI zárolásának kezelése

Bár az általános ajánlás az, hogy a Credential Guard aktív maradjon Minden olyan rendszeren, amely támogatja, bizonyos nagyon specifikus esetekben szükségessé válhat a letiltása, akár a korábbi alkalmazásokkal való inkompatibilitások elhárítása, akár bizonyos diagnosztikai feladatok végrehajtása érdekében.

A pontos eljárás a A hitelesítőadat-védelem letiltása attól függ, hogy hogyan lett eredetileg konfigurálva.Ha UEFI-zárolás nélkül engedélyezve volt, egyszerűen állítsa vissza az Intune-, a csoportházirend- vagy a beállításjegyzék-házirendeket, és indítsa újra a gépet. Ha azonban UEFI-zárolással engedélyezve volt, további lépésekre van szükség, mivel a konfiguráció egy része a firmware EFI-változóiban tárolódik.

A konkrét esetben Hitelesítőadat-védelem engedélyezve UEFI-zárralElőször a szokásos letiltási folyamatot kell követnie (direktívák vagy beállításjegyzékbeli értékek visszaállítása), majd el kell távolítania a kapcsolódó EFI változókat a következővel: bcdedit és hasznosság SecConfig.efi egy fejlett szkripttel.

A tipikus áramlás magában foglalja ideiglenes EFI meghajtó csatlakoztatása, másolás SecConfig.efi, hozzon létre egy új töltő bemenetet a következővel: bcdeditKonfigurálja a beállításokat az izolált LSA letiltásához, és állítson be egy ideiglenes rendszerindítási sorrendet a Windows rendszerindító-kezelőjén keresztül, valamint a meghajtó leválasztását a folyamat végén.

Miután újraindította a számítógépet ezzel a konfigurációval, A Windows indulása előtt megjelenik egy üzenet, amely figyelmeztet az UEFI változására.Az üzenet megerősítése kötelező ahhoz, hogy a változtatások érvényben maradjanak, és a Credential Guard EFI zárolása valóban letiltásra kerüljön a firmware-ben.

Ha szüksége van rá A hitelesítő adatok védelmének letiltása egy adott Hyper-V virtuális gépenEzt megteheted a gazdagépről, a vendéggép érintése nélkül, a PowerShell használatával. Egy tipikus parancs a következő lenne:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Ezzel a beállítással a virtuális gép Leállítja a VBS használatát, és ezért leállítja a Credential Guard futtatását is. annak ellenére, hogy a vendég operációs rendszer támogatja a funkciót, ami nagyon specifikus laboratóriumi vagy tesztelési környezetekben lehet hasznos.

Hitelesítőadat-védelem Hyper-V virtuális gépeken

A Credential Guard nem korlátozódik fizikai eszközökreEmellett képes védeni a hitelesítő adatokat a Hyper-V környezetekben Windows rendszert futtató virtuális gépeken belül, hasonló szintű elszigeteltséget biztosítva, mint ami a csupasz fém hardverekben elérhető.

Ebben a helyzetben A Credential Guard megvédi a titkos adatokat a virtuális gépen belülről érkező támadásoktól.Más szóval, ha egy támadó feltöri a virtuális gépen belüli rendszerfolyamatokat, a VBS védelem továbbra is elkülöníti az LSA-kat, és csökkenti a hash-ek és jegyek kitettségét.

Azonban fontos tisztázni a határértéket: A Credential Guard nem tudja megvédeni a virtuális gépet a gazdagépről érkező támadásoktól. emelt szintű jogosultságokkal. A hipervizor és a gazdagép gyakorlatilag teljes ellenőrzéssel rendelkezik a virtuális gépek felett, így egy rosszindulatú gazdagép-adminisztrátor megkerülheti ezeket az akadályokat.

Ahhoz, hogy a Credential Guard megfelelően működjön az ilyen típusú telepítéseknél, A Hyper-V gazdagépnek rendelkeznie kell IOMMU-val. (bemeneti/kimeneti memóriakezelő egység), amely lehetővé teszi a memóriához és az eszközökhöz való hozzáférés elkülönítését, és a virtuális gépeknek 2. generáció, UEFI firmware-rel, amely lehetővé teszi a Biztonságos rendszerindítást és más szükséges funkciókat.

Ezen követelmények betartásával, A Credential Guard virtuális gépeken történő használatának élménye nagyon hasonló egy fizikai gép használatához.beleértve ugyanazokat az aktiválási módszereket (Intune, GPO, Registry) és ellenőrzési módszereket (msinfo32, PowerShell, Event Viewer).

Exploit Guard és Microsoft Defender: Az általános védelem aktiválása és kezelése

A Credential Guard mellett a Windows biztonsági ökoszisztéma a Microsoft Defender Antivirusra is támaszkodik. valamint olyan technológiákban, mint az Exploit Guard, amelyek magukban foglalják a támadási felület csökkentésére vonatkozó szabályokat, a hálózati védelmet, a mappahozzáférés-vezérlést és egyéb, a rosszindulatú programok lassítását és a támadások mérséklését célzó funkciókat.

Sok csapatban, A Microsoft Defender víruskereső alapértelmezés szerint előre telepítve és aktiválva van. Windows 8, Windows 10 és Windows 11 rendszerekben elérhető, de viszonylag gyakori, hogy korábbi szabályzatok, harmadik féltől származó megoldások telepítése vagy a beállításjegyzék manuális módosításai miatt letiltva van.

hogy A Microsoft Defender víruskereső aktiválása helyi csoportházirenddelNyisd meg a Start menüt, keresd meg a „Csoportházirend” kifejezést, és válaszd a „Csoportházirend szerkesztése” lehetőséget. A „Számítógép konfigurációja > Felügyeleti sablonok > Windows-összetevők > Windows Defender Antivirus” menüpontban találod a „Windows Defender Antivirus kikapcsolása” lehetőséget.

Ha ez a házirend „Engedélyezve” értékre van állítva, az azt jelenti, hogy a víruskereső kényszerített letiltásra kerül. A működés visszaállításához állítsa a beállítást „Letiltva” vagy „Nincs konfigurálva” értékre.Alkalmazza a módosításokat, és zárja be a szerkesztőt. A szolgáltatás a következő szabályzatfrissítés után újraindulhat.

Ha annak idején A Defender kifejezetten letiltásra került a beállításjegyzékből.Ellenőrizned kell az útvonalat HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender és keresse meg az értéket DisableAntiSpywareA Beállításszerkesztő segítségével megnyithatja, és beállíthatja az „Értékadatok” értékét a következőre: 0A módosítás elfogadása, hogy a víruskereső újra működjön.

A beállítások elvégzése után lépjen a „Start > Beállítások > Frissítés és biztonság > Windows Defender” (újabb verziókban „Windows biztonság”) menüpontra, és Ellenőrizze, hogy a „Valós idejű védelem” kapcsoló engedélyezve van-eHa továbbra is ki van kapcsolva, kapcsolja be manuálisan, hogy a vírusvédelem a rendszerrel együtt induljon el.

A maximális védelem érdekében ajánlott Valós idejű és felhőalapú védelem engedélyezéseA „Windows biztonság” alkalmazásban lépjen a „Vírus- és fenyegetésvédelem > Vírus- és fenyegetésvédelmi beállítások > Beállítások kezelése” menüpontra, és aktiválja a megfelelő kapcsolókat.

Ha ezek a lehetőségek nem láthatók, akkor valószínűleg Egy csoportházirend elrejti a vírusvédelmi részt. A Windows biztonságban jelölje be a „Számítógép konfigurációja > Felügyeleti sablonok > Windows-összetevők > Windows biztonság > Vírus- és fenyegetésvédelem” menüpontot, és győződjön meg arról, hogy a „Vírus- és fenyegetésvédelmi terület elrejtése” házirend „Letiltva” értékre van állítva, ezzel érvénybe lépve a módosítások.

Ugyanilyen fontos tartsuk naprakészen a vírusdefiníciókat Ez lehetővé teszi a Microsoft Defender számára a legújabb fenyegetések észlelését. A Windows biztonságban, a „Vírus- és fenyegetésvédelem” alatt, a „Fenyegetésvédelmi frissítések” részben kattintson a „Frissítések keresése” lehetőségre, és engedélyezze a legújabb vírusazonosítók letöltését.

Ha a parancssort részesíted előnyben, az is egy lehetőség. A Microsoft Defender szolgáltatást a CMD-ből indíthatja el.Nyomja meg a Windows + R billentyűkombinációt, és írja be a következőt: cmd Ezután a parancssorban (lehetőleg emelt jogosultságokkal) futtassa a következőt:

sc start WinDefend

Ezzel a paranccsal Elindul a fő víruskereső szolgáltatás feltéve, hogy nincsenek további szabályzatok vagy blokkok, amelyek megakadályozzák, így gyorsan ellenőrizheti, hogy a motor hibák nélkül elindul-e.

Annak megállapításához, hogy számítógépe használja-e a Microsoft Defendert, egyszerűen lépjen a „Start > Beállítások > Rendszer” menüpontra, majd nyissa meg a „Vezérlőpultot”. A „Biztonság és karbantartás” részben található a „Rendszerbiztonság és -védelem” rész, ahol Látni fogja a vírusvédelem állapotának és az egyéb aktív intézkedések összefoglalását. a csapatban.

kombinálásával Credential Guard a memóriában tárolt hitelesítő adatok védelme érdekében Egy megfelelően konfigurált Microsoft Defenderrel, Exploit Guarddal és megfelelő megerősítési szabályokkal jelentősen magasabb szintű biztonság érhető el a hitelesítő adatok ellopása, a fejlett kártevők és a tartományon belüli oldalirányú mozgás ellen. Bár a régi protokollokkal és alkalmazásokkal való kompatibilitás mindig költségekkel jár, az általános biztonsági javulás a legtöbb szervezetben bőven kompenzálja ezeket.