Konfigurasikan Credential Guard di Windows langkah demi langkah

Credential Guard telah menjadi bagian penting untuk memperkuat keamanan kredensial di lingkungan Windows Sistem modern sangat penting dalam organisasi di mana serangan pencurian kredensial dapat menimbulkan masalah serius. Alih-alih membiarkan rahasia autentikasi terekspos dalam memori sistem, fitur ini mengisolasinya menggunakan keamanan berbasis virtualisasi, sehingga secara signifikan mengurangi permukaan serangan.

Pada baris berikut Anda akan melihat cara mengonfigurasi Credential Guard Dengan menggunakan berbagai metode (Intune/MDM, Kebijakan Grup, dan Registri), kami akan membahas persyaratan yang harus dipenuhi perangkat Anda, batasan yang ditimbulkannya, cara memverifikasi bahwa perangkat benar-benar aktif, dan cara menonaktifkannya dalam skenario yang diperlukan, termasuk mesin virtual dan perangkat yang terkunci UEFI. Semuanya dijelaskan secara detail, namun dengan bahasa yang mudah dipahami dan mudah digunakan sehingga Anda dapat dengan mudah menerapkannya.

Apa itu Credential Guard dan bagaimana cara melindungi kredensial?

Credential Guard adalah fitur keamanan Windows yang menggunakan keamanan berbasis virtualisasi (VBS) untuk mengisolasi kredensial dan rahasia terkait autentikasi lainnya. Alih-alih menyimpan semuanya langsung dalam proses otoritas keamanan lokal (lsass.exe), data sensitif disimpan dalam komponen terisolasi yang disebut LSA terisolasi o LSA terisolasi.

LSA terisolasi ini berjalan dalam lingkungan yang dilindungi, dipisahkan dari sistem operasi utama melalui hypervisor (mode aman virtual atau VSM). Hanya sekumpulan biner yang sangat kecil, yang ditandatangani dengan sertifikat tepercaya, yang dapat dimuat ke dalam lingkungan tersebut. Komunikasi dengan seluruh sistem dilakukan melalui RPC, yang mencegah malware yang berjalan pada sistem, betapapun istimewanya, dapat langsung membaca rahasia yang dilindungi.

Credential Guard secara khusus melindungi tiga jenis kredensialHash kata sandi NTLM, rekaman Kerberos Ticket Granting (TGT), dan kredensial yang disimpan oleh aplikasi sebagai kredensial domain semuanya telah disusupi. Hal ini memitigasi serangan klasik seperti berikan hash o tiket lewat, sangat umum dalam pergerakan lateral dalam jaringan perusahaan.

Penting untuk dipahami bahwa Credential Guard tidak melindungi segalanya.Ini tidak mencakup, misalnya, kredensial yang ditangani oleh perangkat lunak pihak ketiga di luar mekanisme Windows standar, akun lokal dan Microsoft, juga tidak melindungi dari serangan fisik atau keylogger. Meskipun demikian, ini sangat mengurangi risiko yang terkait dengan kredensial domain.

Credential Guard diaktifkan secara default

dari Windows 11 22H2 dan Windows Server 2025Keamanan berbasis virtualisasi (VBS) dan Credential Guard diaktifkan secara default pada perangkat yang memenuhi persyaratan perangkat keras, firmware, dan perangkat lunak yang ditetapkan Microsoft. Artinya, pada banyak komputer modern, fitur ini sudah dikonfigurasikan sebelumnya dan aktif tanpa intervensi administrator.

Mode pengaktifan default adalah “UEFI tidak terkunci”Dengan kata lain, tanpa kunci yang mencegah penonaktifan jarak jauh. Pendekatan ini memudahkan administrator untuk menonaktifkan Credential Guard melalui kebijakan atau konfigurasi jarak jauh jika aplikasi penting tidak kompatibel atau terdeteksi masalah kinerja.

Saat Credential Guard diaktifkan secara defaultVBS itu sendiri juga diaktifkan secara otomatis. Tidak diperlukan konfigurasi VBS terpisah agar Credential Guard berfungsi, meskipun ada parameter tambahan untuk memperkuat tingkat perlindungan platform (misalnya, mewajibkan perlindungan DMA selain standar). boot Tentu).

Ada nuansa penting dalam peralatan yang diperbaruiJika Credential Guard dinonaktifkan secara eksplisit pada perangkat sebelum memperbarui ke versi Windows yang mengaktifkannya secara default, fitur tersebut akan tetap dinonaktifkan setelah pembaruan. Dengan kata lain, pengaturan eksplisit administrator lebih diutamakan daripada perilaku default.

Persyaratan sistem, perangkat keras, firmware, dan lisensi

Agar Credential Guard memberikan perlindungan nyataPerangkat harus memenuhi serangkaian persyaratan minimum perangkat keras, firmware, dan perangkat lunak. Perangkat yang melebihi persyaratan minimum ini dan memiliki fitur tambahan, seperti IOMMU atau TPM 2.0, dapat memperoleh manfaat dari tingkat keamanan yang lebih tinggi terhadap serangan DMA dan ancaman tingkat lanjut.

Persyaratan perangkat keras dan firmware

Persyaratan perangkat keras utama untuk Credential Guard Mereka termasuk CPU 64-bit dengan ekstensi virtualisasi (Intel VT-x atau AMD-V) dan dukungan untuk terjemahan alamat tingkat kedua (SLAT, juga dikenal sebagai Extended Page Tables). Tanpa kemampuan virtualisasi ini, VBS dan mode aman virtual tidak akan dapat mengisolasi memori dengan baik.

Pada tingkat firmware, wajib memiliki UEFI Versi 2.3.1 atau lebih tinggi dengan dukungan Secure Boot dan proses pembaruan firmware yang aman. Selain itu, fitur-fitur seperti Memory Overwrite Request (MOR) yang diterapkan dengan aman, perlindungan konfigurasi boot, dan kemampuan pemutakhiran firmware melalui [tidak jelas - mungkin "pemutakhiran perangkat lunak" atau "pemutakhiran perangkat lunak"] direkomendasikan. Windows Update.

Penggunaan unit manajemen memori input/output (IOMMU)Sangat disarankan untuk menggunakan VM seperti Intel VT-d atau AMD-Vi, karena memungkinkan Anda mengaktifkan perlindungan DMA bersamaan dengan VBS. Perlindungan ini mencegah perangkat berbahaya yang terhubung ke bus mengakses memori secara langsung dan mengekstrak rahasia.

Modul Platform Tepercaya (TPM) adalah komponen kunci lainnyasebaiknya dalam versi TPM 2.0Meskipun TPM 1.2 juga didukung, TPM menyediakan jangkar keamanan perangkat keras untuk melindungi kunci utama VSM dan memastikan bahwa data yang dilindungi oleh Credential Guard hanya dapat diakses di lingkungan tepercaya.

Perlindungan VSM dan peran TPM

Rahasia yang dilindungi oleh Credential Guard diisolasi dalam memori melalui mode aman virtual (VSM). Pada perangkat keras terbaru dengan TPM 2.0, data persisten di lingkungan VSM dienkripsi dengan Kunci utama VSM dilindungi oleh TPM itu sendiri dan oleh mekanisme boot aman perangkat.

Meskipun NTLM dan Kerberos TGT dibuat ulang pada setiap login dan karena biasanya tidak disimpan di antara booting ulang, keberadaan kunci utama VSM memungkinkan perlindungan data yang dapat disimpan di tempatnya. el tiempoTPM memastikan bahwa kunci tidak dapat diekstraksi dari perangkat dan bahwa rahasia yang dilindungi tidak dapat diakses di luar lingkungan yang tervalidasi.

Persyaratan dan lisensi edisi Windows

Credential Guard tidak tersedia di semua edisi WindowsPada sistem klien, ini didukung di Perusahaan Windows dan di Windows Education, tetapi tidak di Windows Pro atau Windows Pro Education/SE. Dengan kata lain, komputer dengan Windows Pro perlu di-upgrade ke Enterprise untuk menggunakan fungsi ini.

Hak penggunaan Credential Guard diberikan melalui lisensi seperti Windows Enterprise E3 dan E5 atau lisensi pendidikan A3 dan A5. Dalam lingkungan bisnis, hal ini biasanya diperoleh melalui perjanjian lisensi volume, sementara OEM biasanya menyediakan Windows Pro dan pelanggan kemudian meningkatkan ke Enterprise.

Credential Guard pada mesin virtual Hyper-V

Credential Guard juga dapat melindungi rahasia dalam mesin virtual dijalankan di Hyper-V, serupa dengan cara kerjanya di mesin fisik. Persyaratan utamanya adalah host Hyper-V memiliki IOMMU dan mesin virtualnya adalah Generasi 2.

Penting untuk memahami batas perlindungan dalam skenario iniCredential Guard melindungi dari serangan yang berasal dari dalam mesin virtual itu sendiri, tetapi tidak dari ancaman dari host dengan hak istimewa yang lebih tinggi. Jika host disusupi, ia masih dapat mengakses mesin tamu.

Persyaratan dan kompatibilitas aplikasi

Mengaktifkan Credential Guard memblokir fitur autentikasi tertentuOleh karena itu, beberapa aplikasi mungkin berhenti berfungsi jika mengandalkan metode yang ketinggalan zaman atau tidak aman. Sebelum penerapan massal, disarankan untuk menguji aplikasi penting guna memastikannya tetap beroperasi.

Aplikasi yang memerlukan enkripsi DES untuk KerberosDelegasi Kerberos tanpa batas, ekstraksi TGT, dan penggunaan NTLMv1 akan terganggu karena opsi-opsi ini dinonaktifkan secara langsung saat Credential Guard aktif. Ini merupakan langkah keamanan yang ketat, tetapi diperlukan untuk mencegah kerentanan serius.

Fitur lainnya, seperti otentikasi implisitDelegasi kredensial, MS-CHAPv2, atau CredSSP memaparkan kredensial pada risiko tambahan bahkan ketika Credential Guard aktif. Aplikasi yang tetap menggunakannya mungkin tetap berfungsi, tetapi kredensial menjadi lebih rentan, sehingga sebaiknya ditinjau kembali.

Mungkin juga ada dampak pada kinerja jika aplikasi tertentu mencoba berinteraksi langsung dengan proses yang terisolasi LsaIso.exeSecara umum, layanan yang menggunakan Kerberos dengan cara standar (misalnya, berbagi file atau Desktop jarak jauh) terus berfungsi normal tanpa menyadari adanya perubahan apa pun.

Cara mengaktifkan Credential Guard dengan benar

Rekomendasi umum Microsoft adalah mengaktifkan Credential Guard Ini harus dilakukan sebelum perangkat bergabung dengan domain atau sebelum pengguna domain masuk untuk pertama kalinya. Jika diaktifkan kemudian, rahasia pengguna atau komputer mungkin sudah terekspos dalam memori yang tidak terlindungi.

Ada tiga metode utama untuk menyiapkan fitur ini.Hal ini dapat dilakukan melalui Microsoft Intune/MDM, menggunakan Kebijakan Grup, atau melalui Registri Windows. Pilihannya bergantung pada jenis lingkungan, alat manajemen yang tersedia, dan tingkat otomatisasi yang diinginkan.

Aktifkan Credential Guard menggunakan Microsoft Intune / MDM

Di lingkungan yang dikelola dengan Intune atau solusi MDM lainnyaCredential Guard dapat diaktifkan dengan membuat kebijakan konfigurasi perangkat yang pertama-tama mengaktifkan keamanan berbasis virtualisasi dan kemudian menentukan perilaku spesifik Credential Guard.

Kebijakan khusus dapat dibuat menggunakan DeviceGuard CSP. dengan parameter OMA-URI utama berikut:

• Aktifkan VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritytipe data int, nilai 1 untuk mengaktifkan keamanan berbasis virtualisasi.
• Konfigurasikan Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, ketik int, nilai 1 untuk mengaktifkan dengan kunci UEFI atau 2 untuk mengaktifkan tanpa memblokir.

Setelah kebijakan dibuat, kebijakan tersebut ditetapkan ke perangkat atau grup pengguna. yang ingin Anda lindungi. Setelah menerapkan kebijakan, Anda perlu memulai ulang perangkat agar Credential Guard berfungsi.

Konfigurasikan Credential Guard menggunakan Kebijakan Grup (GPO)

Di domain Direktori Aktif, metode yang paling mudah biasanya adalah GPO.Anda dapat menggunakan Editor Kebijakan Grup Lokal untuk satu komputer atau membuat Objek Kebijakan Grup yang ditautkan ke domain atau unit organisasi untuk mencakup banyak perangkat.

Jalur khusus kebijakan grup adalahKonfigurasi Perangkat → Templat Administratif → Sistem → Device Guard. Di bagian tersebut, terdapat pengaturan yang disebut "Aktifkan keamanan berbasis virtualisasi".

Saat mengaktifkan kebijakan ini, Anda harus memilih opsi Credential Guard. dalam daftar drop-down "Pengaturan Penjaga Kredensial":

• Diaktifkan dengan kunci UEFI: mencegah penonaktifan Credential Guard dari jarak jauh; hanya dapat diubah melalui akses fisik ke firmware/BIOS.
• Diaktifkan tanpa pemblokiran: memungkinkan Anda menonaktifkan Credential Guard nanti melalui GPO atau konfigurasi jarak jauh.

GPO dapat difilter menggunakan grup keamanan atau filter WMIHal ini memungkinkan Anda untuk menerapkan perlindungan ini hanya pada jenis perangkat atau profil pengguna tertentu. Setelah menerapkan kebijakan, perangkat juga perlu dihidupkan ulang agar perubahan diterapkan.

Konfigurasikan Credential Guard menggunakan Windows Registry

Ketika kontrol yang lebih rinci dibutuhkan atau naskah kebiasaanCredential Guard dapat diaktifkan langsung melalui Registri. Metode ini biasanya digunakan dalam skenario lanjutan atau otomatisasi di mana GPO atau MDM tidak tersedia.

Untuk mengaktifkan keamanan berbasis virtualisasi (VBS)Kunci berikut harus dikonfigurasi:

• Jalur kunci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nombre: EnableVirtualizationBasedSecurity, ketik REG_DWORD, nilai 1.
• Jalur kunci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nombre: RequirePlatformSecurityFeatures, ketik REG_DWORD, nilai 1 untuk memulai dengan aman atau 3 untuk boot aman dengan perlindungan DMA.

Untuk konfigurasi Credential Guard tertentu Kunci yang digunakan:

• Jalur kunci: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Nombre: LsaCfgFlags, ketik REG_DWORDNilai yang mungkin:
  0 untuk menonaktifkan Credential Guard,
  1 untuk mengaktifkannya dengan kunci UEFI,
  2 untuk mengaktifkannya tanpa memblokir.

Setelah menyesuaikan kunci-kunci ini di RegistriAnda perlu me-restart komputer agar VBS dan Credential Guard diinisialisasi dengan benar dan mulai melindungi kredensial.

Periksa apakah Credential Guard diaktifkan

Meskipun mungkin tampak menggoda untuk melihat apakah prosesnya LsaIso.exe Ini sedang dalam proses dari Manajer TugasMicrosoft tidak merekomendasikan metode ini sebagai pemeriksaan yang andal. Sebaliknya, tiga mekanisme utama diusulkan: Informasi Sistem, PowerShell dan Event Viewer.

Verifikasi dengan Informasi Sistem (msinfo32)

Cara paling sederhana bagi banyak administrator Ini melibatkan penggunaan alat "Informasi Sistem" Windows:

1. Pilih Mulai dan ketik msinfo32.exeKemudian buka aplikasi "Informasi Sistem".
2. Di panel kiri, buka Gambaran umum sistem.
3. Di panel kanan, cari bagian Layanan keamanan berbasis virtualisasi dalam operasi dan periksa apakah "Credential Guard" muncul di antara layanan yang terdaftar.

Jika Credential Guard terdaftar sebagai layanan yang berjalan Di bagian ini, artinya sudah diaktifkan dan aktif dengan benar di komputer.

Verifikasi menggunakan PowerShell

Dalam lingkungan yang terkelola, penggunaan PowerShell sangat praktis. Untuk melakukan pemeriksaan massal status Credential Guard, Anda dapat menjalankan perintah berikut dari konsol PowerShell yang ditinggikan:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Perintah ini mengembalikan serangkaian nilai numerik yang menunjukkan layanan keamanan berbasis virtualisasi mana yang aktif. Dalam kasus Credential Guard, layanan-layanan tersebut diinterpretasikan sebagai berikut:

• 0: Credential Guard dinonaktifkan (tidak berjalan).
• 1: Credential Guard diaktifkan (berjalan).

Selain pertanyaan umum iniMicrosoft menawarkan skrip DG_Readiness_Tool (misalnya, DG_Readiness_Tool_v2.0.ps1), yang memungkinkan Anda untuk memeriksa apakah sistem mampu menjalankan Credential Guard, mengaktifkannya, menonaktifkannya, dan memvalidasi statusnya menggunakan opsi seperti -Capable, -Enable, -Disable y -Ready.

Menggunakan Penampil Peristiwa

Metode verifikasi lain yang lebih berorientasi pada audit Ini untuk menggunakan Event Viewer. Dari eventvwr.exe Anda dapat mengakses "Log Windows" → "Sistem" dan menyaring acara yang asalnya adalah "WinInit".

Di antara acara tersebut ada entri yang terkait dengan start-up layanan keamanan berbasis virtualisasi, termasuk yang menunjukkan apakah Credential Guard telah berhasil diinisialisasi selama proses startup.

Nonaktifkan Credential Guard dan manajemen kunci UEFI

Meskipun biasanya Anda ingin tetap mengaktifkan Credential GuardAda beberapa skenario yang mungkin memerlukan penonaktifan: ketidakcocokan aplikasi, pengujian laboratorium, perubahan arsitektur keamanan, dll. Prosedur penonaktifan akan bergantung pada cara pengaktifannya dan apakah penguncian UEFI digunakan.

Secara umum, menonaktifkan Credential Guard Ini melibatkan pengembalian pengaturan yang diterapkan melalui Intune/MDM, Kebijakan Grup, atau Registri, lalu memulai ulang komputer. Namun, ketika diaktifkan dengan penguncian UEFI, ada langkah-langkah tambahan karena beberapa pengaturan disimpan di variabel EFI firmware.

Menonaktifkan Credential Guard dengan UEFI Lock

Jika Credential Guard diaktifkan dengan kunci UEFIMengubah GPO atau Registry saja tidak cukup. Anda juga perlu menghapus variabel EFI yang terkait dengan konfigurasi LSA terisolasi menggunakan bcdedit dan proses permulaan khusus yang kecil.

Dari command prompt dengan hak istimewa yang lebih tinggi suatu urutan dieksekusi perintah untuk:

1. Pasang unit EFI sementara dengan mountvol dan salin SecConfig.efi ke jalur boot Microsoft.
2. Buat entri pengisi daya sistem dengan bcdedit /create menunjuk ke arah itu SecConfig.efi.
3. Konfigurasikan urutan boot dari boot manager sehingga dapat melakukan boot sekali dengan loader khusus tersebut.
4. Tambahkan opsi pengisian daya DISABLE-LSA-ISO untuk menonaktifkan konfigurasi LSA terisolasi yang disimpan di UEFI.
5. Lepaskan kembali unit EFI sementara.

Setelah melakukan langkah-langkah ini, perangkat akan dihidupkan ulang.Sebelum sistem operasi dimulai, sebuah pesan akan muncul yang menunjukkan bahwa pengaturan UEFI telah diubah dan akan meminta konfirmasi. Anda harus menerima pesan ini agar perubahan penonaktifan dapat diterapkan.

Nonaktifkan Credential Guard pada mesin virtual

Dalam kasus mesin virtual yang terhubung ke host Hyper-VDimungkinkan untuk mencegah VM menggunakan VBS dan Credential Guard meskipun sistem operasi tamu telah siap untuk itu.

Dari host, menggunakan PowerShell, Anda dapat menjalankan Perintah berikut akan mengecualikan mesin virtual dari keamanan berbasis virtualisasi:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Dengan mengaktifkan opsi pengecualian iniVM akan berjalan tanpa proteksi VBS dan, sebagai perluasannya, tanpa Credential Guard, yang dapat berguna dalam lingkungan pengujian atau saat menjalankan sistem lama dalam mesin virtual.

Mengintegrasikan Credential Guard ke dalam AWS Nitro dan skenario lainnya

Credential Guard juga tersedia di lingkungan cloud seperti Amazon EC2, yang memanfaatkan arsitektur aman sistem AWS Nitro. Dalam konteks ini, VBS dan Credential Guard mengandalkan Nitro untuk mencegah kredensial login Windows diekstraksi dari memori sistem operasi tamu.

Untuk menggunakan Credential Guard pada instans Windows di EC2Untuk meluncurkan instans yang kompatibel, Anda perlu memilih jenis instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya yang mencakup dukungan TPM virtual dan VBS. Hal ini dapat dilakukan dari konsol Amazon EC2 atau dari AWS CLI menggunakan run-instances atau dengan PowerShell menggunakan New-EC2Instancemenentukan, misalnya, gambar gaya TPM-Windows_Server-2022-English-Full-Base.

Dalam beberapa skenario, Anda perlu menonaktifkan integritas memori (HVCI) sebelum mengaktifkan Credential Guard, dengan menyesuaikan kebijakan grup terkait "Perlindungan integritas kode berbasis virtualisasi". Setelah penyesuaian ini dilakukan dan instans dimulai ulang, Credential Guard dapat diaktifkan dan divalidasi, seperti pada mesin Windows lainnya, dengan msinfo32.exe.

Batasan perlindungan dan aspek yang tidak dicakup oleh Credential Guard

Meskipun Credential Guard merupakan lompatan besar ke depan dalam perlindungan kredensialIni bukan solusi ajaib yang menyelesaikan segalanya. Ada kasus-kasus tertentu yang berada di luar cakupannya, dan penting untuk mewaspadainya agar tidak menimbulkan rasa aman yang palsu.

Beberapa contoh hal yang tidak dilindungi adalah:

• Perangkat lunak pihak ketiga yang mengelola kredensial di luar mekanisme Windows standar.
• Akun lokal dan akun Microsoft yang dikonfigurasi di komputer itu sendiri.
• Basis data Direktori Aktif pada pengontrol domain Windows Server.
• Saluran masuk kredensial seperti server gateway Desktop Jarak Jauh.
• Perekam penekanan tombol dan serangan fisik langsung terhadap tim.

Ini juga tidak mencegah penyerang dengan malware di komputer dari Serangan ini memanfaatkan hak istimewa yang sudah diberikan kepada kredensial aktif. Artinya, jika pengguna dengan izin yang lebih tinggi terhubung ke sistem yang disusupi, penyerang dapat mengeksploitasi izin tersebut selama sesi berlangsung, meskipun mereka tidak dapat mencuri hash dari memori yang dilindungi.

Di lingkungan dengan pengguna atau akun bernilai tinggi (administrator domain, staf TI dengan akses ke sumber daya penting, dll.), tetap disarankan untuk menggunakan peralatan khusus dan lapisan keamanan tambahan lainnya, seperti autentikasi multi-faktor, segmentasi jaringan, dan tindakan anti-keylogger.

Device Guard, VBS dan hubungan dengan Credential Guard

Device Guard dan Credential Guard sering disebutkan bersamaan karena keduanya memanfaatkan keamanan berbasis virtualisasi untuk memperkuat perlindungan sistem, meskipun keduanya memecahkan masalah yang berbeda.

Credential Guard berfokus pada perlindungan kredensial (NTLM, Kerberos, Credential Manager) mengisolasinya dalam LSA yang dilindungi. Hal ini tidak bergantung pada Device Guard, meskipun keduanya menggunakan hypervisor dan fitur perangkat keras yang sama seperti TPM, boot aman, dan IOMMU.

Device Guard, pada bagiannya, adalah serangkaian fitur Solusi perangkat keras dan perangkat lunak memungkinkan Anda mengunci perangkat sehingga hanya dapat menjalankan aplikasi tepercaya yang ditentukan dalam kebijakan integritas kode. Ini mengubah model tradisional (di mana semuanya berjalan kecuali diblokir oleh perangkat lunak antivirus) menjadi model di mana hanya aplikasi yang diberi otorisasi eksplisit yang dijalankan.

Kedua fitur tersebut merupakan bagian dari persenjataan Windows Enterprise. Untuk melindungi dari ancaman tingkat lanjut, Device Guard mengandalkan VBS dan mewajibkan driver untuk mematuhi HVCI, sementara Credential Guard menggunakan VBS untuk mengisolasi rahasia autentikasi. Bersama-sama, keduanya menawarkan kombinasi yang andal: kode yang lebih andal dan kredensial yang lebih terlindungi.

Konfigurasikan Credential Guard dengan benar Ini melibatkan pengamanan salah satu aspek paling sensitif dari setiap lingkungan Windows: kredensial pengguna dan komputer. Memahami persyaratannya, mengetahui cara mengaktifkannya dengan Intune, GPO, atau Registry, mengetahui batasannya, dan memiliki prosedur yang jelas untuk memverifikasi statusnya dan menonaktifkannya dalam kasus luar biasa memungkinkan Anda memanfaatkan teknologi ini sepenuhnya tanpa mengalami kejutan dalam produksi.