Cara mengaktifkan Microsoft Defender Credential Guard dan Exploit Guard

Melindungi kredensial di Windows dan memperkuat sistem terhadap eksploitasi. Hal ini hampir menjadi keharusan di lingkungan bisnis modern mana pun. Serangan seperti Pass-the-Hash, Pass-the-Ticket, atau penyalahgunaan kerentanan zero-day mengeksploitasi setiap kelalaian dalam konfigurasi untuk bergerak secara lateral melalui jaringan dan mengambil kendali server dan workstation dalam hitungan menit.

Dalam konteks ini, Teknologi Microsoft Defender Credential Guard dan Exploit Guard (bersama dengan mesin antivirus Microsoft Defender) adalah komponen kunci dari strategi keamanan di Windows 10, Windows 11, dan Windows Server. Pada uraian berikut, Anda akan melihat, langkah demi langkah dan secara detail, bagaimana cara kerjanya, persyaratannya, dan cara mengaktifkan atau menonaktifkannya dengan benar menggunakan Intune, Kebijakan Grup, Registri, PowerShell, dan alat lainnya, sambil menghindari kerusakan kompatibilitas yang tidak perlu.

Apa itu Microsoft Defender Credential Guard dan mengapa ini sangat penting?

Windows Defender Credential Guard adalah fitur keamanan. Diperkenalkan oleh Microsoft di Windows 10 Enterprise dan Windows Server 2016, fitur ini mengandalkan keamanan berbasis virtualisasi (VBS) untuk mengisolasi rahasia otentikasi. Alih-alih Otoritas Keamanan Lokal (LSA) yang secara langsung mengelola kredensial dalam memori, proses LSA yang terisolasi digunakan.LSAIso.exe) dieksekusi dalam lingkungan yang terlindungi.

Berkat isolasi ini, Hanya perangkat lunak sistem dengan hak akses yang sesuai yang dapat mengakses hash NTLM dan tiket Kerberos (TGT).Kredensial yang digunakan oleh Pengelola Kredensial, login lokal, dan kredensial yang digunakan dalam koneksi seperti Remote Desktop tidak lagi tersedia. Kode berbahaya apa pun yang mencoba membaca langsung memori proses LSA konvensional akan mendapati bahwa rahasia tersebut telah hilang.

Pendekatan ini secara drastis mengurangi efektivitas alat-alat pasca-eksploitasi klasik seperti Mimikatz untuk serangan Pass-the-Hash atau Pass-the-TicketHal ini karena hash dan tiket yang sebelumnya mudah diekstrak sekarang berada dalam wadah terisolasi di memori yang tidak dapat diakses dengan mudah oleh malware, bahkan jika malware tersebut memiliki hak akses administrator pada sistem yang disusupi.

Perlu diperjelas bahwa Credential Guard tidak sama dengan Device Guard.Sementara Credential Guard melindungi kredensial dan rahasia, Device Guard (dan teknologi kontrol aplikasi terkait) berfokus pada pencegahan kode yang tidak sah agar tidak berjalan di komputer. Keduanya saling melengkapi, tetapi memecahkan masalah yang berbeda.

Meski begitu, Credential Guard bukanlah solusi mujarab untuk melawan Mimikatz atau penyerang dari dalam.Penyerang yang sudah mengendalikan titik akhir dapat menangkap kredensial saat pengguna memasukkannya (misalnya, dengan keylogger atau dengan menyuntikkan kode ke dalam proses otentikasi). Selain itu, Credential Guard tidak mencegah karyawan yang memiliki akses sah ke data tertentu untuk menyalin atau mengeksfiltrasi data tersebut; Credential Guard melindungi kredensial di memori, bukan perilaku pengguna.

Credential Guard diaktifkan secara default di Windows 11 dan Windows Server.

Pada versi Windows modern, Credential Guard diaktifkan secara otomatis dalam banyak kasus.Mulai dari Windows 11 22H2 dan Windows Server 2025, perangkat yang memenuhi persyaratan perangkat keras, firmware, dan konfigurasi tertentu akan menerima VBS dan Credential Guard yang diaktifkan secara default, tanpa administrator perlu melakukan apa pun.

Dalam sistem ini, Pengaktifan default dilakukan tanpa penguncian UEFI.Ini berarti bahwa, meskipun Credential Guard diaktifkan secara default, administrator dapat menonaktifkannya dari jarak jauh melalui kebijakan grup, Intune, atau metode lain, karena opsi penguncian belum diaktifkan dalam firmware.

Ketika Credential Guard diaktifkan, dan keamanan berbasis virtualisasi (VBS) juga diaktifkan.VBS adalah komponen yang menciptakan lingkungan terlindungi tempat LSA diisolasi dan tempat rahasia disimpan, sehingga kedua fitur tersebut berjalan beriringan dalam versi ini.

Nuansa pentingnya adalah bahwa Nilai yang secara eksplisit dikonfigurasi oleh administrator selalu berlaku. di atas pengaturan default. Jika Credential Guard diaktifkan atau dinonaktifkan melalui Intune, GPO, atau Registry, status manual tersebut akan menimpa pengaktifan default setelah komputer dimulai ulang.

Selanjutnya jika Salah satu perangkat tersebut sebelumnya menonaktifkan Credential Guard secara eksplisit sebelum melakukan peningkatan ke versi Windows yang mengaktifkannya secara default.Perangkat akan menghormati penonaktifan ini setelah pembaruan dan tidak akan menyala secara otomatis, kecuali konfigurasi diubah lagi menggunakan salah satu alat manajemen.

Persyaratan sistem, perangkat keras, firmware, dan lisensi

Sehingga Credential Guard dapat menawarkan perlindungan yang nyata.Peralatan tersebut harus memenuhi persyaratan perangkat keras, firmware, dan perangkat lunak tertentu. Semakin baik kemampuan platform, semakin tinggi tingkat keamanan yang dapat dicapai.

Pertama, CPU 64-bit adalah wajib. dan kompatibilitas dengan keamanan berbasis virtualisasi. Ini berarti bahwa prosesor dan motherboard harus mendukung ekstensi virtualisasi yang sesuai, serta pengaktifan fitur-fitur ini di UEFI/BIOS.

Unsur penting lainnya adalah boot aman (Boot Aman)Secure Boot memastikan bahwa sistem hanya memuat firmware dan perangkat lunak tepercaya yang telah ditandatangani. Secure Boot digunakan oleh VBS dan Credential Guard untuk mencegah penyerang memodifikasi komponen boot guna menonaktifkan atau memanipulasi perlindungan.

Meskipun tidak wajib secara mutlak, memilikinya sangat disarankan. Trusted Platform Module (TPM) versi 1.2 atau 2.0Baik berupa perangkat diskrit maupun berbasis firmware, TPM memungkinkan rahasia dan kunci enkripsi dihubungkan ke perangkat keras, menambahkan lapisan ekstra yang sangat mempersulit siapa pun yang mencoba membawa atau menggunakan kembali rahasia tersebut pada perangkat lain.

Sangat disarankan juga untuk mengaktifkan Kunci UEFI untuk Credential GuardHal ini mencegah siapa pun yang memiliki akses sistem untuk menonaktifkan perlindungan hanya dengan memodifikasi kunci registri atau kebijakan. Dengan penguncian aktif, menonaktifkan Credential Guard memerlukan prosedur yang jauh lebih terkontrol dan eksplisit.

Di bidang perizinan, Credential Guard tidak tersedia di semua edisi WindowsSecara umum, fitur ini didukung pada edisi perusahaan dan pendidikan: Windows Enterprise dan Windows Education mendukungnya, sedangkan Windows Pro atau Pro Education/SE tidak menyertakannya secara default.

Los Hak penggunaan Credential Guard terikat pada lisensi berlangganan tertentu., seperti Windows Enterprise E3 dan E5, serta Windows Education A3 dan A5. Edisi Pro, dari segi lisensi, tidak berhak atas fungsionalitas tingkat lanjut ini, meskipun menjalankan biner sistem operasi yang sama.

Kompatibilitas aplikasi dan fitur yang terkunci

Sebelum menerapkan Credential Guard secara massalSebaiknya tinjau secara menyeluruh aplikasi dan layanan yang bergantung pada mekanisme otentikasi tertentu. Tidak semua perangkat lunak lama berfungsi dengan baik dengan perlindungan ini, dan beberapa protokol langsung diblokir.

Saat Credential Guard diaktifkan, fitur-fitur yang dianggap berisiko akan dinonaktifkan, sehingga Aplikasi yang bergantung padanya berhenti berfungsi dengan benar.Ini dikenal sebagai persyaratan aplikasi: kondisi yang harus dihindari jika Anda ingin terus menggunakan Credential Guard tanpa insiden.

Di antara fitur-fitur yang Mereka diblokir secara langsung. meliputi:

• Kompatibilitas enkripsi Kerberos DES.
• Pendelegasian Kerberos tanpa batasan.
• Ekstraksi TGT dari Kerberos dari LSA.
• Protokol NTLMv1.

Selain itu, Terdapat fitur-fitur yang, meskipun tidak sepenuhnya dilarang, menimbulkan risiko tambahan. Jika digunakan bersamaan dengan Credential Guard. Aplikasi yang mengandalkan otentikasi implisit, delegasi kredensial, MS-CHAPv2, atau CredSSP sangat sensitif, karena dapat mengekspos kredensial secara tidak aman jika tidak dikonfigurasi dengan hati-hati.

Hal ini juga telah diamati masalah kinerja pada aplikasi yang mencoba mengikat atau berinteraksi langsung dengan proses terisolasi LSAIso.exeKarena proses ini dilindungi dan diisolasi, setiap upaya akses berulang dapat menambah beban atau menyebabkan perlambatan dalam skenario tertentu.

Hal baiknya adalah itu layanan dan protokol modern yang menggunakan Kerberos sebagai standarFungsi-fungsi seperti akses ke sumber daya bersama SMB atau Remote Desktop yang dikonfigurasi dengan benar tetap berfungsi normal dan tidak terpengaruh oleh aktivasi Credential Guard, selama fungsi-fungsi tersebut tidak bergantung pada fungsi lama yang disebutkan di atas.

Cara mengaktifkan Credential Guard: Intune, GPO, dan Registry

Cara ideal untuk mengaktifkan Credential Guard bergantung pada ukuran dan pengelolaan lingkungan Anda.Bagi organisasi dengan sistem manajemen modern, Microsoft Intune (MDM) sangat nyaman, sedangkan di domain Active Directory tradisional, Group Policy masih umum digunakan. Untuk penyesuaian yang lebih tepat atau otomatisasi spesifik, Registry tetap menjadi pilihan.

Pertama-tama, sangat penting untuk memahami bahwa Credential Guard harus diaktifkan sebelum komputer bergabung ke domain. atau sebelum pengguna domain masuk untuk pertama kalinya. Jika diaktifkan kemudian, rahasia pengguna dan mesin mungkin sudah terkompromikan, sehingga mengurangi manfaat sebenarnya dari perlindungan tersebut.

Secara umum, Anda dapat mengaktifkan Credential Guard dengan cara:

• Manajemen Microsoft Intune / MDM.
• Kebijakan Grup (GPO) di Active Directory atau editor kebijakan lokal.
• Modifikasi langsung pada Registry Windows.

Saat menerapkan salah satu pengaturan ini, Jangan lupa bahwa memulai ulang perangkat adalah wajib. Agar perubahan berlaku, Credential Guard, VBS, dan semua komponen isolasi diinisialisasi saat booting, jadi hanya mengubah kebijakan saja tidak cukup.

Aktifkan Credential Guard dengan Microsoft Intune

Jika Anda mengelola perangkat Anda dengan Intune, Anda memiliki dua pendekatan. Opsi utama: Gunakan templat Keamanan Titik Akhir atau gunakan kebijakan khusus yang mengkonfigurasi DeviceGuard CSP melalui OMA-URI.

Di portal Intune, Anda dapat membuka “Keamanan titik akhir > Perlindungan akun” dan buat kebijakan perlindungan akun baru. Pilih platform "Windows 10 dan yang lebih baru" dan jenis profil "Perlindungan akun" (dalam berbagai variannya, tergantung pada versi yang tersedia).

Saat mengkonfigurasi pengaturan, Atur opsi "Aktifkan Credential Guard" ke "Aktifkan dengan penguncian UEFI" Jika Anda ingin mencegah perlindungan agar tidak mudah dinonaktifkan dari jarak jauh, Credential Guard "diintegrasikan" ke dalam firmware, sehingga meningkatkan tingkat keamanan fisik dan logis perangkat.

Setelah parameter ditentukan, Tetapkan kebijakan tersebut ke grup yang berisi perangkat atau objek pengguna yang ingin Anda lindungi.Kebijakan ini akan diterapkan saat perangkat melakukan sinkronisasi dengan Intune dan, setelah perangkat dihidupkan ulang, Credential Guard akan diaktifkan.

Jika Anda lebih suka mengontrol detail-detail kecilnya, Anda dapat menggunakan kebijakan khusus berdasarkan DeviceGuard CSP.Untuk melakukan hal ini, perlu membuat entri OMA-URI dengan nama dan nilai yang sesuai, misalnya:

konfigurasi
namaAktifkan keamanan berbasis virtualisasi OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tipe data: int keberanian: 1
namaKonfigurasi Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tipe data: int keberanian: Diaktifkan dengan kunci UEFI: 1 Diaktifkan tanpa pemblokiran: 2

Setelah menerapkan kebijakan khusus ini dan melakukan restart, Perangkat akan memulai dengan VBS dan Credential Guard aktif., dan kredensial sistem akan dilindungi di dalam kontainer terisolasi.

Konfigurasi Credential Guard menggunakan kebijakan grup.

Di lingkungan dengan Active Directory tradisionalCara paling mudah untuk mengaktifkan Credential Guard secara massal adalah melalui Group Policy Objects (GPO). Anda dapat melakukan ini baik dari editor kebijakan lokal pada satu komputer atau dari Group Policy Manager di tingkat domain.

Untuk mengkonfigurasi kebijakan, buka editor GPO yang sesuai dan navigasikan ke jalur tersebut. Konfigurasi Komputer > Template Administratif > Sistem > Device GuardDi bagian tersebut Anda akan menemukan kebijakan "Aktifkan keamanan berbasis virtualisasi".

Arahan ini menetapkan dalam Pilih "Diaktifkan" dan pilih pengaturan Credential Guard yang Anda inginkan dari daftar tarik-turun.Anda dapat memilih antara "Diaktifkan dengan kunci UEFI" atau "Diaktifkan tanpa kunci," tergantung pada tingkat perlindungan fisik yang ingin Anda terapkan.

Setelah GPO dikonfigurasi, Hubungkan dengan unit organisasi atau domain tempat komputer target berada.Anda dapat menyempurnakan penerapannya menggunakan pemfilteran grup keamanan atau filter WMI, sehingga hanya berlaku untuk jenis perangkat tertentu (misalnya, hanya untuk laptop perusahaan dengan perangkat keras yang kompatibel).

Ketika mesin menerima perintah dan memulai ulang, Credential Guard akan diaktifkan sesuai dengan konfigurasi GPO., dengan memanfaatkan infrastruktur domain untuk menyebarkannya secara terstandarisasi.

Aktifkan Credential Guard dengan memodifikasi Registri Windows.

Jika Anda memerlukan kontrol yang sangat detail atau ingin mengotomatiskan penyebaran dengan skripAnda dapat mengkonfigurasi Credential Guard secara langsung menggunakan kunci Registry. Metode ini membutuhkan ketelitian, karena nilai yang salah dapat menyebabkan sistem berada dalam keadaan yang tidak terduga.

Agar keamanan berbasis virtualisasi dan Credential Guard dapat aktif, Anda harus membuat atau memodifikasi beberapa entri di bawah jalur tertentu.Poin-poin kuncinya adalah:

konfigurasi
Rute: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nama: EnableVirtualizationBasedSecurity Jenis: REG_DWORD keberanian: 1 (mengaktifkan keamanan berbasis virtualisasi)
Rute: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nama: RequirePlatformSecurityFeatures Jenis: REG_DWORD keberanian: 1 (menggunakan secure boot) 3 (boot aman + perlindungan DMA)
Rute: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nama: LsaCfgFlags Jenis: REG_DWORD keberanian: 1 (mengaktifkan Credential Guard dengan penguncian UEFI) 2 (mengaktifkan Credential Guard tanpa penguncian)

Setelah menerapkan nilai-nilai ini, Restart komputer agar hypervisor Windows dan proses LSA terisolasi dapat berjalan.Tanpa pengaturan ulang tersebut, perubahan Registry sebenarnya tidak akan mengaktifkan perlindungan memori.

Cara memeriksa apakah Credential Guard diaktifkan dan berfungsi.

Lihat apakah prosesnya LsaIso.exe Itu muncul di Pengelola Tugas. Hal itu mungkin memberikan petunjuk, tetapi Microsoft tidak menganggapnya sebagai metode yang andal untuk memastikan bahwa Credential Guard berfungsi. Terdapat prosedur yang lebih andal, berdasarkan alat sistem bawaan.

Di antara pilihan yang direkomendasikan untuk Periksa status Credential Guard Ini termasuk Informasi Sistem, PowerShell, dan Event Viewer. Setiap metode menawarkan perspektif yang berbeda, jadi ada baiknya Anda membiasakan diri dengan semuanya.

Metode yang paling visual adalah metode yang Informasi sistem (msinfo32.exe)Dari menu Mulai, cukup jalankan alat ini, pilih "Ringkasan Sistem" dan periksa bagian "Menjalankan layanan keamanan berbasis virtualisasi" untuk memastikan bahwa "Credential Guard" muncul sebagai layanan aktif.

Jika Anda lebih menyukai sesuatu yang dapat diprogram, PowerShell adalah sekutu AndaDari konsol dengan hak akses administrator, Anda dapat menjalankan perintah berikut:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Output dari perintah ini menunjukkan, menggunakan kode numerik, apakah Apakah Credential Guard diaktifkan atau tidak pada mesin tersebut?Sebuah nilai Angka 0 berarti Credential Guard dinonaktifkan.Sementara Angka 1 menunjukkan bahwa fitur tersebut telah diaktifkan dan sedang berjalan. sebagai bagian dari layanan keamanan berbasis virtualisasi.

Akhirnya, Event Viewer memungkinkan Anda untuk meninjau riwayat perilaku Credential Guard.Pembukaan eventvwr.exe Dengan membuka "Windows Logs > System", Anda dapat memfilter berdasarkan sumber kejadian "WinInit" dan menemukan pesan yang terkait dengan inisialisasi layanan Device Guard dan Credential Guard, yang berguna untuk audit berkala.

Nonaktifkan Credential Guard dan kelola penguncian UEFI.

Meskipun rekomendasi umumnya adalah untuk tetap mengaktifkan Credential Guard. Pada semua sistem yang mendukungnya, dalam beberapa skenario yang sangat spesifik mungkin perlu untuk menonaktifkannya, baik untuk mengatasi ketidakkompatibilitas dengan aplikasi lama atau untuk melakukan tugas diagnostik tertentu.

Prosedur yang tepat untuk Menonaktifkan Credential Guard bergantung pada bagaimana pengaturan awalnya dilakukan.Jika diaktifkan tanpa penguncian UEFI, cukup kembalikan kebijakan Intune, GPO, atau Registry dan lakukan reboot. Namun, jika diaktifkan dengan penguncian UEFI, diperlukan langkah tambahan karena beberapa konfigurasi disimpan dalam variabel EFI firmware.

Dalam kasus khusus Credential Guard diaktifkan dengan penguncian UEFI.Pertama, Anda harus mengikuti proses penonaktifan standar (mengembalikan arahan atau nilai Registri) dan kemudian menghapus variabel EFI terkait menggunakan bcdedit dan utilitas SecConfig.efi dengan skrip tingkat lanjut.

Aliran tipikal melibatkan pasang drive EFI sementara, salin SecConfig.efi, buat input pengisi daya baru dengan bcdeditKonfigurasikan opsi Anda untuk menonaktifkan LSA terisolasi dan mengatur urutan boot sementara melalui pengelola boot Windows, serta lepaskan drive di akhir proses.

Setelah memulai ulang komputer dengan konfigurasi ini, Sebelum Windows dimulai, akan muncul pesan yang memperingatkan tentang perubahan pada UEFI.Konfirmasi pesan ini wajib dilakukan agar perubahan bersifat permanen dan agar penguncian Credential Guard EFI benar-benar dinonaktifkan di firmware.

Jika yang Anda butuhkan adalah Nonaktifkan Credential Guard pada mesin virtual Hyper-V tertentu.Anda dapat melakukan ini dari host, tanpa menyentuh guest, menggunakan PowerShell. Perintah tipikalnya adalah:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Dengan penyesuaian tersebut, mesin virtual Aplikasi ini berhenti menggunakan VBS dan karenanya berhenti menjalankan Credential Guard. meskipun sistem operasi tamu mendukung fitur tersebut, yang dapat berguna dalam lingkungan laboratorium atau pengujian yang sangat spesifik.

Credential Guard pada mesin virtual Hyper-V

Perlindungan Kredensial tidak terbatas pada peralatan fisik.Selain itu, fitur ini juga dapat melindungi kredensial di dalam mesin virtual yang menjalankan Windows di lingkungan Hyper-V, memberikan tingkat isolasi yang serupa dengan yang tersedia pada perangkat keras fisik.

Dalam situasi ini, Credential Guard melindungi rahasia dari serangan yang berasal dari dalam mesin virtual itu sendiri.Dengan kata lain, jika penyerang membahayakan proses sistem di dalam VM, perlindungan VBS akan terus mengisolasi LSA dan mengurangi paparan hash dan tiket.

Namun, penting untuk memperjelas batasannya: Credential Guard tidak dapat melindungi VM dari serangan yang berasal dari host. dengan hak akses yang lebih tinggi. Hypervisor dan sistem host secara efektif memiliki kendali penuh atas mesin virtual, sehingga administrator host yang jahat dapat melewati penghalang ini.

Agar Credential Guard berfungsi dengan benar dalam jenis penerapan ini, Host Hyper-V harus memiliki IOMMU. (unit manajemen memori input/output) yang memungkinkan isolasi akses ke memori dan perangkat, dan mesin virtual haruslah Generasi ke-2, dengan firmware UEFI, yang memungkinkan Secure Boot dan kemampuan penting lainnya.

Dengan persyaratan-persyaratan tersebut, Pengalaman menggunakan Credential Guard pada VM sangat mirip dengan pengalaman pada mesin fisik.termasuk metode aktivasi yang sama (Intune, GPO, Registry) dan metode verifikasi (msinfo32, PowerShell, Event Viewer).

Exploit Guard dan Microsoft Defender: Mengaktifkan dan mengelola perlindungan umum

Selain Credential Guard, ekosistem keamanan Windows mengandalkan Microsoft Defender Antivirus. dan dalam teknologi seperti Exploit Guard, yang mencakup aturan pengurangan permukaan serangan, perlindungan jaringan, kontrol akses folder, dan fitur lain yang bertujuan untuk memperlambat malware dan mengurangi eksploitasi.

Di banyak tim, Antivirus Microsoft Defender sudah terpasang dan diaktifkan secara default. Di Windows 8, Windows 10, dan Windows 11, fitur ini tersedia, tetapi cukup umum ditemukan dinonaktifkan karena kebijakan sebelumnya, instalasi solusi pihak ketiga, atau perubahan manual pada Registry.

untuk Aktifkan Microsoft Defender Antivirus menggunakan kebijakan grup lokal.Anda dapat membuka menu Mulai, cari "Kebijakan Grup," dan pilih "Edit Kebijakan Grup." Di dalam "Konfigurasi Komputer > Templat Administratif > Komponen Windows > Antivirus Windows Defender," Anda akan melihat opsi "Nonaktifkan Antivirus Windows Defender."

Jika kebijakan ini diatur ke "Diaktifkan", itu berarti antivirus dinonaktifkan secara paksa. Untuk mengembalikan fungsinya, atur opsi ke "Dinonaktifkan" atau "Tidak Dikonfigurasi".Terapkan perubahan dan tutup editor. Layanan akan dapat dimulai kembali setelah pembaruan kebijakan berikutnya.

Jika pada saat Defender dinonaktifkan secara eksplisit dari Registry.Anda harus memeriksa rutenya. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender dan temukan nilainya DisableAntiSpywareDengan menggunakan Registry Editor, Anda dapat membukanya dan mengatur "Data nilai"-nya menjadi 0Menerima perubahan tersebut agar antivirus dapat berfungsi kembali.

Setelah melakukan penyesuaian ini, buka "Mulai > Pengaturan > Pembaruan & Keamanan > Windows Defender" (pada versi yang lebih baru, "Keamanan Windows") dan Pastikan sakelar "Perlindungan waktu nyata" diaktifkan.Jika masih mati, aktifkan secara manual untuk memastikan bahwa perlindungan antivirus dimulai bersama sistem.

Untuk perlindungan maksimal, disarankan Aktifkan perlindungan waktu nyata dan perlindungan berbasis cloud.Dari aplikasi "Keamanan Windows", buka "Perlindungan virus & ancaman > Pengaturan perlindungan virus & ancaman > Kelola pengaturan" dan aktifkan sakelar yang sesuai.

Jika opsi-opsi ini tidak terlihat, kemungkinan besar Kebijakan grup menyembunyikan bagian perlindungan antivirus. Di Keamanan Windows, periksa "Konfigurasi Komputer > Templat Administratif > Komponen Windows > Keamanan Windows > Perlindungan virus & ancaman" dan pastikan kebijakan "Sembunyikan area perlindungan virus dan ancaman" diatur ke "Dinonaktifkan," lalu terapkan perubahannya.

Itu sama pentingnya selalu perbarui definisi virus Ini memungkinkan Microsoft Defender untuk mendeteksi ancaman terbaru. Dari Keamanan Windows, di bawah "Perlindungan virus & ancaman," dalam "Pembaruan perlindungan ancaman," klik "Periksa pembaruan" dan izinkan tanda tangan terbaru untuk diunduh.

Jika Anda lebih menyukai baris perintah, itu juga merupakan pilihan. Anda dapat memulai layanan Microsoft Defender dari CMD.Tekan Windows + R, ketik cmd Kemudian, pada command prompt (sebaiknya dengan hak akses administrator), jalankan perintah berikut:

sc start WinDefend

Dengan perintah ini, Layanan antivirus utama mulai berjalan. asalkan tidak ada kebijakan atau blokir tambahan yang mencegahnya, sehingga Anda dapat dengan cepat memverifikasi apakah mesin menyala tanpa kesalahan.

Untuk mengetahui apakah komputer Anda menggunakan Microsoft Defender, cukup buka "Mulai > Pengaturan > Sistem" lalu buka "Panel Kontrol". Di bagian "Keamanan dan Pemeliharaan", Anda akan menemukan bagian "Keamanan dan Perlindungan Sistem", di mana Anda akan melihat ringkasan status perlindungan antivirus dan tindakan aktif lainnya. dalam tim.

dengan menggabungkan Credential Guard untuk melindungi kredensial di memori. Dengan Microsoft Defender, Exploit Guard, dan aturan pengerasan yang tepat yang dikonfigurasi dengan benar, tingkat keamanan yang jauh lebih tinggi dapat dicapai terhadap pencurian kredensial, malware canggih, dan pergerakan lateral di dalam domain. Meskipun selalu ada biaya yang terkait dengan kompatibilitas dengan protokol dan aplikasi lama, peningkatan keamanan secara keseluruhan lebih dari cukup untuk mengimbangi hal ini di sebagian besar organisasi.