Kaip suaktyvinti „Microsoft Defender Credential Guard“ ir „Exploit Guard“

Kredencialų apsauga sistemoje „Windows“ ir sistemos stiprinimas nuo spragų išnaudojimo Tai tapo beveik privaloma bet kurioje šiuolaikinėje verslo aplinkoje. Tokios atakos kaip „Pass-the-Hash“, „Pass-the-Ticket“ arba piktnaudžiavimas nulinės dienos pažeidžiamumais išnaudoja bet kokią konfigūracijos priežiūrą, kad per kelias minutes judėtų horizontaliai tinkle ir perimtų serverių bei darbo stočių kontrolę.

Šiame kontekste, „Microsoft Defender Credential Guard“ ir „Exploit Guard“ technologijos (kartu su „Microsoft Defender“ antivirusine programa) yra pagrindiniai „Windows 10“, „Windows 11“ ir „Windows Server“ saugumo strategijos komponentai. Toliau pateiktose eilutėse žingsnis po žingsnio ir išsamiai pamatysite, kaip jie veikia, kokie jų reikalavimai ir kaip teisingai juos įjungti arba išjungti naudojant „Intune“, grupės politiką, registrą, „PowerShell“ ir kitus įrankius, kartu išvengiant nereikalingo suderinamumo pažeidimo.

Kas yra „Microsoft Defender Credential Guard“ ir kodėl ji tokia svarbi?

„Windows Defender“ kredencialų apsauga yra saugos funkcija Šią funkciją, kurią „Microsoft“ pristatė „Windows 10 Enterprise“ ir „Windows Server 2016“, autentifikavimo paslaptims izoliuoti naudoja virtualizacija pagrįstą saugumą (VBS). Vietoj vietinės saugos tarnybos (LSA) tiesiogiai tvarkančios atmintyje esančius kredencialus, naudojamas izoliuotas LSA procesas.LSAIso.exe) vykdomas saugomoje aplinkoje.

Dėl šios izoliacijos, Tik sistemos programinė įranga su atitinkamomis teisėmis gali pasiekti NTLM maišos kodus ir „Kerberos“ bilietus (TGT).Kredencialų tvarkyklės naudojami prisijungimo duomenys, vietiniai prisijungimai ir prisijungimo duomenys, naudojami tokiuose ryšiuose kaip nuotolinis darbalaukis, nebepasiekiami. Bet koks kenkėjiškas kodas, bandantis tiesiogiai nuskaityti įprasto LSA proceso atmintį, pastebės, kad šie slapti duomenys prarasti.

Toks metodas smarkiai sumažina klasikinių po išnaudojimo priemonių, tokių kaip Mimikatz, skirtas „Pass-the-Hash“ arba „Pass-the-Ticket“ atakomsTaip yra todėl, kad anksčiau lengvai išgaunami maišos kodai ir bilietai dabar yra izoliuotame atminties konteineryje, kurio kenkėjiška programa negali taip lengvai pasiekti, net jei ji turi administratoriaus teises pažeistoje sistemoje.

Reikėtų patikslinti, kad „Credential Guard“ nėra tas pats, kas „Device Guard“.Nors „Credential Guard“ apsaugo kredencialus ir slaptus duomenis, „Device Guard“ (ir susijusios programų kontrolės technologijos) yra skirtos užkirsti kelią neteisėtam kodui veikti kompiuteryje. Jos viena kitą papildo, tačiau sprendžia skirtingas problemas.

Net ir taip „Credential Guard“ nėra stebuklinga kulka prieš „Mimikatz“ ar prieš vidinius užpuolikusUžpuolikas, kuris jau kontroliuoja galinį tašką, gali užfiksuoti prisijungimo duomenis, kai vartotojas juos įveda (pavyzdžiui, naudodamas klavišų paspaudimų registratorių arba įterpdamas kodą į autentifikavimo procesą). Tai taip pat netrukdo darbuotojui, turinčiam teisėtą prieigą prie tam tikrų duomenų, jų kopijuoti ar išgauti; „Credential Guard“ apsaugo atmintyje esančius prisijungimo duomenis, o ne vartotojo elgesį.

„Centrenal Guard“ įjungta pagal numatytuosius nustatymus „Windows 11“ ir „Windows Server“

Šiuolaikinėse „Windows“ versijose „Credential Guard“ daugeliu atvejų įjungiama automatiškai.Nuo „Windows 11 22H2“ ir „Windows Server 2025“ įrenginiams, kurie atitinka tam tikrus aparatinės įrangos, programinės-aparatinės įrangos ir konfigūracijos reikalavimus, pagal numatytuosius nustatymus suteikiamos VBS ir kredencialų apsauga, administratoriui nieko nereikia daryti.

Šiose sistemose Numatytasis įjungimas atliekamas be UEFI užrakinimoTai reiškia, kad nors „Credential Guard“ yra įjungta pagal numatytuosius nustatymus, administratorius vėliau gali ją nuotoliniu būdu išjungti naudodamas grupės politiką, „Intune“ ar kitus metodus, nes užrakinimo parinktis nebuvo įjungta programinėje įrangoje.

Kai Įjungta „Credential Guard“ ir įjungta virtualizacija pagrįsta sauga (VBS).VBS yra komponentas, kuris sukuria apsaugotą aplinką, kurioje izoliuojami LSA ir saugomi slapti raktai, todėl abi funkcijos šiose versijose yra neatsiejamos.

Svarbus niuansas yra tas, kad Visada galioja administratoriaus aiškiai sukonfigūruotos vertės. virš numatytųjų nustatymų. Jei kredencialų apsauga įjungta arba išjungta naudojant „Intune“, GPO arba registro tvarkyklę, ši rankinė būsena perrašo numatytąjį įgalinimą, kai kompiuteris paleistas iš naujo.

Be to, jei Viename įrenginyje „Credential Guard“ buvo aiškiai išjungta prieš atnaujinant į „Windows“ versiją, kuri ją įgalina pagal numatytuosius nustatymus.Įrenginys atsižvelgs į šį deaktyvavimą po atnaujinimo ir automatiškai neįsijungs, nebent jo konfigūracija bus pakeista dar kartą naudojant vieną iš valdymo įrankių.

Sistemos, aparatinės įrangos, programinės įrangos ir licencijavimo reikalavimai

Kad „Cendential Guard“ galėtų pasiūlyti realią apsaugąĮranga turi atitikti tam tikrus aparatinės, programinės ir programinės įrangos reikalavimus. Kuo geresnės platformos galimybės, tuo aukštesnis saugumo lygis pasiekiamas.

Pirma, 64 bitų procesorius yra privalomas ir suderinamumą su virtualizacija pagrįstu saugumu. Tai reiškia, kad procesorius ir pagrindinė plokštė turi palaikyti atitinkamus virtualizacijos plėtinius, taip pat šių funkcijų aktyvavimą UEFI/BIOS.

Kitas svarbus elementas yra saugus įkrovimas (saugus įkrovimas)Saugus įkrovimas užtikrina, kad sistema paleidžiama įkeliant tik patikimą, pasirašytą programinę įrangą ir programinę įrangą. Saugų įkrovimą naudoja VBS ir „Credential Guard“, kad užpuolikas negalėtų modifikuoti įkrovos komponentų, kad išjungtų arba manipuliuotų apsauga.

Nors tai nėra griežtai privaloma, turėti vieną labai rekomenduojama. Patikimos platformos modulio (TPM) 1.2 arba 2.0 versijaNesvarbu, ar tai atskira, ar pagrįsta programine įranga, TPM leidžia susieti šifravimo paslaptis ir raktus su aparatine įranga, pridėdamas papildomą sluoksnį, kuris labai apsunkina reikalus visiems, bandantiems nešiotis ar pakartotinai naudoti šias paslaptis kitame įrenginyje.

Taip pat labai patartina įjungti UEFI užraktas kredencialų apsaugaiTai neleidžia jokiam sistemos prieigos turinčiam asmeniui išjungti apsaugos tiesiog modifikuojant registro raktą arba politiką. Kai užraktas aktyvus, norint išjungti kredencialų apsaugą, reikia daug labiau kontroliuojamos ir aiškios procedūros.

Licencijavimo srityje „Credential Guard“ negalima naudoti visuose „Windows“ leidimuosePaprastai jis palaikomas įmonių ir švietimo įstaigų leidimuose: „Windows Enterprise“ ir „Windows Education“ versijose jis palaikomas, o „Windows Pro“ arba „Pro Education/SE“ versijose jo nėra pagal numatytuosius nustatymus.

Los „Credential Guard“ naudojimo teisės yra susietos su tam tikromis prenumeratos licencijomis, pvz., „Windows Enterprise E3“ ir „E5“, taip pat „Windows Education A3“ ir „A5“. „Pro“ leidimai, kalbant apie licencijas, neturi teisės į šią išplėstinę funkciją, net jei juose veikia ta pati operacinės sistemos dvejetainė versija.

Programų suderinamumas ir užrakintos funkcijos

Prieš masiškai diegiant „Cendential Guard“Patartina atidžiai peržiūrėti programas ir paslaugas, kurios remiasi konkrečiais autentifikavimo mechanizmais. Ne visa senoji programinė įranga gerai veikia su šiomis apsaugomis, o kai kurie protokolai yra tiesiogiai blokuojami.

Kai įjungta „Central Guard“, rizikingomis laikomos funkcijos yra išjungiamos, kad Nuo jų priklausančios programos nustoja veikti tinkamaiTai vadinama taikymo reikalavimais: sąlygomis, kurių reikia vengti, jei norite toliau naudoti „Credential Guard“ be incidentų.

Tarp savybių, kurios Jie yra tiesiogiai užblokuoti apima:

• Suderinamumas su „Kerberos DES“ šifravimu.
• Kerberos delegavimas be apribojimų.
• TGT išgavimas iš Kerberos iš LSA.
• NTLMv1 protokolas.

Be to, Yra funkcijų, kurios, nors ir nėra visiškai draudžiamos, kelia papildomą riziką jei naudojama kartu su „Credential Guard“. Programos, kurios naudoja netiesioginį autentifikavimą, kredencialų delegavimą, MS-CHAPv2 arba „CredSSP“, yra ypač jautrios, nes jos gali nesaugiai atskleisti kredencialus, jei jie nėra kruopščiai sukonfigūruoti.

Jie taip pat buvo pastebėti našumo problemos programose, kurios bando prisijungti prie izoliuoto proceso arba tiesiogiai su juo sąveikauti LSAIso.exeKadangi šis procesas yra apsaugotas ir izoliuotas, bet kokie pakartotiniai bandymai pasiekti gali padidinti sąnaudas arba tam tikrais atvejais sulėtinti darbą.

Geras dalykas yra tai modernios paslaugos ir protokolai, kurie naudoja „Kerberos“ kaip standartąTokios funkcijos kaip prieiga prie SMB bendrinamų išteklių arba tinkamai sukonfigūruotas nuotolinis darbalaukis toliau veikia įprastai ir joms įtakos neturi „Credential Guard“ aktyvinimas, jei jos nepriklauso nuo aukščiau paminėtų senesnių funkcijų.

Kaip įjungti kredencialų apsaugą: „Intune“, GPO ir registro tvarkyklę

Idealus būdas aktyvuoti „Credential Guard“ priklauso nuo jūsų aplinkos dydžio ir valdymo.Organizacijoms, turinčioms modernias valdymo sistemas, labai patogu naudoti „Microsoft Intune“ (MDM), o tradicinėse „Active Directory“ srityse vis dar dažnai naudojama grupės politika. Tikslesniems koregavimui ar konkretiems automatizavimo veiksmams išlieka registro parinktis.

Visų pirma, labai svarbu suprasti, kad Prieš prijungiant kompiuterį prie domeno, turi būti įjungta kredencialų apsauga. arba prieš domeno vartotojui pirmą kartą prisijungiant. Jei aktyvuojama vėliau, vartotojo ir kompiuterio paslaptys jau gali būti pažeistos, todėl sumažėja faktinė apsaugos nauda.

Apskritai, galite įjungti „Credential Guard“:

• „Microsoft Intune“ / MDM valdymas.
• Grupės politika (GPO) „Active Directory“ arba vietiniame politikos redaktoriuje.
• Tiesioginis „Windows“ registro modifikavimas.

Taikant bet kurį iš šių nustatymų, Nepamirškite, kad įrenginio paleidimas iš naujo yra privalomas. Kad pakeitimai įsigaliotų, „Credential Guard“, VBS ir visi izoliacijos komponentai inicijuojami paleidžiant sistemą, todėl vien pakeisti politiką nepakanka.

Įjunkite kredencialų apsaugą naudodami „Microsoft Intune“

Jei tvarkote savo įrenginius naudodami „Intune“, turite du būdus Pagrindinės parinktys: naudoti „Endpoint Security“ šablonus arba naudoti pasirinktinę politiką, kuri konfigūruoja „DeviceGuard“ CSP per OMA-URI.

„Intune“ portale galite eiti į „Galinių įrenginių saugumas > Paskyros apsauga“ ir sukurkite naują paskyros apsaugos politiką. Pasirinkite platformą „Windows 10 ir naujesnės versijos“ ir profilio tipą „Paskyros apsauga“ (skirtinguose variantuose, priklausomai nuo turimos versijos).

Konfigūruojant nustatymus, Nustatykite parinktį „Įjungti kredencialų apsaugą“ į „Įjungti su UEFI užraktu“. Jei norite, kad apsaugos nebūtų lengva išjungti nuotoliniu būdu, „Credential Guard“ yra „įtvirtinta“ programinėje įrangoje, taip padidinant fizinio ir loginio įrenginio saugumo lygį.

Kai parametrai yra apibrėžti, Priskirkite politiką grupei, kurioje yra įrenginiai arba vartotojo objektai, kuriuos norite apsaugoti.Politika bus taikoma, kai įrenginys sinchronizuosis su „Intune“, o po atitinkamo paleidimo iš naujo bus suaktyvinta kredencialų apsauga.

Jei norite kontroliuoti smulkias detales, Galite naudoti pasirinktinę politiką, pagrįstą „DeviceGuard“ CSPNorint tai padaryti, būtina sukurti OMA-URI įrašus su atitinkamais pavadinimais ir reikšmėmis, pavyzdžiui:

konfigūracija
VardasĮgalinti virtualizacija pagrįstą saugumą OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Duomenų tipas:int drąsa: 1
VardasKredencialų apsaugos konfigūracija OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Duomenų tipas:int drąsa: Įjungta su UEFI užraktu: 1 Įjungta be blokavimo: 2

Pritaikius šią pasirinktinę politiką ir paleidus iš naujo, Įrenginys bus paleistas su aktyvia VBS ir kredencialų apsauga., o sistemos prisijungimo duomenys bus apsaugoti izoliuotame konteineryje.

Konfigūruokite kredencialų apsaugą naudodami grupės politiką

Aplinkose su tradiciniu „Active Directory“Natūraliausias būdas įjungti „Credential Guard“ masiškai yra per grupės politikos objektus (GPO). Tai galite padaryti vietiniame politikos redaktoriuje viename kompiuteryje arba grupės politikos tvarkytuvėje domeno lygmeniu.

Norėdami konfigūruoti politiką, atidarykite atitinkamą GPO redaktorių ir eikite į kelią Kompiuterio konfigūracija > Administravimo šablonai > Sistema > Įrenginių apsaugaTame skyriuje rasite politiką „Įgalinti virtualizacijos pagrindu veikiančią apsaugą“.

Ši direktyva nustato Pasirinkite „Įjungta“ ir išskleidžiamajame sąraše pasirinkite norimus kredencialų apsaugos nustatymus.Galite pasirinkti „Įjungta su UEFI užraktu“ arba „Įjungta be užrakto“, atsižvelgdami į norimą taikyti fizinės apsaugos lygį.

Kai GPO bus sukonfigūruotas, susieti jį su organizaciniu vienetu arba domenu, kuriame yra tiksliniai kompiuteriaiGalite tiksliai suderinti jo taikymą naudodami saugos grupių filtravimą arba WMI filtrus, kad jis būtų taikomas tik tam tikrų tipų įrenginiams (pavyzdžiui, tik įmonės nešiojamiesiems kompiuteriams su suderinama aparatine įranga).

Kai mašinos gauna nurodymą ir persikrauna, Kredencialų apsauga bus aktyvuota pagal GPO konfigūraciją., pasitelkiant domeno infrastruktūrą, kad ji būtų diegiama standartizuotu būdu.

Įjunkite kredencialų apsaugą modifikuodami „Windows“ registrą

Jei jums reikia labai detalios kontrolės arba automatizuoti diegimą naudojant scenarijus„Credential Guard“ galite konfigūruoti tiesiogiai naudodami registro raktus. Šis metodas reikalauja tikslumo, nes neteisinga reikšmė gali palikti sistemą netikėtoje būsenoje.

Kad virtualizacijos pagrindu veikianti apsauga ir „Cendential Guard“ taptų aktyvūs, Turite sukurti arba modifikuoti kelis įrašus tam tikruose keliuoseSvarbiausi punktai yra šie:

konfigūracija
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Vardas: EnableVirtualizationBasedSecurity tipo: REG_DWORD drąsa: 1 (įgalina virtualizacija pagrįstą saugumą)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Vardas: RequirePlatformSecurityFeatures tipo: REG_DWORD drąsa: 1 (naudojant saugų paleidimą) 3 (saugus įkrovimas + DMA apsauga)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Vardas: LsaCfgFlags tipo: REG_DWORD drąsa: 1 (įgalina kredencialų apsaugą su UEFI užraktu) 2 (įgalina kredencialų apsaugą be užrakinimo)

Pritaikius šias vertes, Paleiskite kompiuterį iš naujo, kad pradėtų veikti „Windows“ hipervizorius ir izoliuotas LSA procesasBe šio nustatymo iš naujo, registro pakeitimai iš tikrųjų neįjungs atminties apsaugos.

Kaip patikrinti, ar „Credential Guard“ įjungta ir veikia

Pažiūrėkite, ar procesas LsaIso.exe Tai rodoma užduočių tvarkytuvėje. Tai gali suteikti užuominą, tačiau „Microsoft“ nelaiko to patikimu metodu patvirtinti, kad „Credential Guard“ veikia. Yra patikimesnių procedūrų, pagrįstų integruotais sistemos įrankiais.

Tarp rekomenduojamų variantų, skirtų Patikrinkite kredencialų apsaugos būseną Tai apima sistemos informaciją, „PowerShell“ ir įvykių peržiūros priemonę. Kiekvienas metodas siūlo skirtingą perspektyvą, todėl verta susipažinti su jais visais.

Vizualiausias metodas yra tas, kuris Sistemos informacija (msinfo32.exe)Meniu „Pradėti“ tiesiog paleiskite šį įrankį, pasirinkite „Sistemos suvestinė“ ir pažymėkite skyrių „Virtualizacijos pagrindu veikiančių saugos paslaugų vykdymas“, kad patvirtintumėte, jog „Kredentų apsauga“ rodoma kaip aktyvi paslauga.

Jei pageidaujate kažko, kas kuriama pagal scenarijus, „PowerShell“ yra jūsų sąjungininkasIš konsolės su padidintomis teisėmis galite paleisti šią komandą:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Šios komandos išvestis, naudojant skaitmeninius kodus, nurodo, ar Ar tame kompiuteryje įjungta kredencialų apsauga?Vertė 0 reiškia, kad kredencialų apsauga yra išjungta.O 1 rodo, kad jis įjungtas ir veikia. kaip virtualizacijos pagrindu teikiamų saugumo paslaugų dalis.

Galiausiai, Įvykių peržiūros priemonė leidžia peržiūrėti istorinį „Credential Guard“ veikimą.Atidarymas eventvwr.exe Eidami į „Windows žurnalai > Sistema“, galite filtruoti pagal įvykių šaltinį „WinInit“ ir rasti pranešimus, susijusius su „Device Guard“ ir „Credential Guard“ paslaugų inicijavimu, kurie naudingi periodiniams auditams.

Išjunkite kredencialų apsaugą ir valdykite UEFI blokavimą

Nors bendra rekomendacija yra palaikyti įjungtą „Credential Guard“ Visose sistemose, kurios jį palaiko, kai kuriais labai specifiniais atvejais gali tekti jį išjungti, norint išspręsti nesuderinamumą su senesnėmis programomis arba atlikti tam tikras diagnostikos užduotis.

Tiksli procedūra „Credential Guard“ išjungimas priklauso nuo to, kaip jis buvo iš pradžių sukonfigūruotas.Jei jis buvo įjungtas be UEFI užrakinimo, tiesiog atšaukite „Intune“, GPO arba registro strategijas ir paleiskite kompiuterį iš naujo. Tačiau jei jis buvo įjungtas su UEFI užrakinimu, reikia atlikti papildomus veiksmus, nes dalis konfigūracijos saugoma programinės įrangos EFI kintamuosiuose.

Konkrečiu atveju Įjungta kredencialų apsauga su UEFI užraktuPirmiausia turite atlikti standartinį išjungimo procesą (atkurti direktyvas arba registro reikšmes) ir tada pašalinti susijusius EFI kintamuosius naudodami bcdedit ir naudingumas SecConfig.efi su išplėstiniu scenarijumi.

Tipinis srautas apima Prijunkite laikiną EFI diską, nukopijuokite SecConfig.efi, sukurkite naują įkroviklio įvestį su bcdeditKonfigūruokite parinktis, kad išjungtumėte izoliuotą LSA ir nustatytumėte laikiną paleidimo seką per „Windows“ paleidimo tvarkyklę, taip pat atjunkite diską proceso pabaigoje.

Paleidus kompiuterį iš naujo su šia konfigūracija, Prieš paleidžiant „Windows“, pasirodys pranešimas, įspėjantis apie UEFI pakeitimą.Šio pranešimo patvirtinimas yra būtinas, kad pakeitimai būtų išsaugoti ir kad „Credential Guard EFI“ užraktas būtų tikrai išjungtas programinėje įrangoje.

Jei tai, ko jums reikia Išjunkite kredencialų apsaugą konkrečioje „Hyper-V“ virtualioje mašinojeTai galite padaryti iš pagrindinio kompiuterio, neliesdami svečio, naudodami „PowerShell“. Įprasta komanda būtų:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Atlikus šį koregavimą, virtualioji mašina Jis nustoja naudoti VBS ir todėl nustoja veikti „Credential Guard“. net jei svečio operacinė sistema palaiko šią funkciją, kuri gali būti naudinga labai specifinėse laboratorijų ar testavimo aplinkose.

Kredencialų apsauga „Hyper-V“ virtualiose mašinose

Kredencialų apsauga neapsiriboja fizine įrangaJis taip pat gali apsaugoti kredencialus virtualiose mašinose, kuriose veikia „Windows“ „Hyper-V“ aplinkose, užtikrindamas panašų izoliacijos lygį, kokį galima pasiekti naudojant „plikos metalo“ aparatinę įrangą.

Šiose situacijose „Credential Guard“ apsaugo paslaptis nuo atakų, kylančių iš pačios virtualios mašinos.Kitaip tariant, jei užpuolikas pažeidžia sistemos procesus VM viduje, VBS apsauga ir toliau izoliuos LSA ir sumažins maišos kodų bei bilietų atskleidimą.

Tačiau svarbu aiškiai suprasti ribą: „Cendential Guard“ negali apsaugoti virtualios mašinos nuo atakų, kylančių iš pagrindinio kompiuterio. su padidintomis teisėmis. Hipervizorius ir pagrindinė sistema iš esmės visiškai kontroliuoja virtualias mašinas, todėl kenkėjiškas pagrindinio kompiuterio administratorius galėtų apeiti šias kliūtis.

Kad „Cendential Guard“ tinkamai veiktų tokio tipo diegimuose, „Hyper-V“ pagrindiniame kompiuteryje turi būti IOMMU (įvesties / išvesties atminties valdymo blokas), leidžiantis izoliuoti prieigą prie atminties ir įrenginių, o virtualios mašinos turi būti 2 karta su UEFI programine įranga, kuri įgalina saugų įkrovimą ir kitas būtinas funkcijas.

Atsižvelgiant į šiuos reikalavimus, „Credential Guard“ naudojimo virtualiose mašinose patirtis labai panaši į fizinės mašinos naudojimo patirtį.įskaitant tuos pačius aktyvinimo metodus („Intune“, GPO, registro) ir patvirtinimo metodus („msinfo32“, „PowerShell“, įvykių peržiūros programa).

„Exploit Guard“ ir „Microsoft Defender“: bendrosios apsaugos aktyvinimas ir valdymas

Kartu su „Credential Guard“, „Windows“ saugumo ekosistema remiasi „Microsoft Defender Antivirus“ ir tokiose technologijose kaip „Exploit Guard“, kurios apima atakų paviršiaus mažinimo taisykles, tinklo apsaugą, aplankų prieigos kontrolę ir kitas funkcijas, skirtas sulėtinti kenkėjiškų programų veikimą ir sumažinti atakų spragas.

Daugelyje komandų, „Microsoft Defender“ antivirusinė programa yra iš anksto įdiegta ir aktyvuota pagal numatytuosius nustatymus. „Windows 8“, „Windows 10“ ir „Windows 11“ versijose ji yra prieinama, tačiau gana dažnai ji išjungta dėl ankstesnių taisyklių, trečiųjų šalių sprendimų diegimo arba rankinių registro pakeitimų.

į „Microsoft Defender“ antivirusinės programos aktyvinimas naudojant vietinę grupės politikąGalite atidaryti meniu Pradėti, ieškoti „Grupės politika“ ir pasirinkti „Redaguoti grupės politiką“. Dalyje „Kompiuterio konfigūracija > Administravimo šablonai > „Windows“ komponentai > „Windows Defender Antivirus“ pamatysite parinktį „Išjungti „Windows Defender Antivirus“.

Jei ši politika nustatyta kaip „Įjungta“, tai reiškia, kad antivirusinė programa priverstinai išjungiama. Norėdami atkurti jo funkcionalumą, nustatykite parinktį „Išjungta“ arba „Nesukonfigūruota“.Pritaikykite pakeitimus ir uždarykite redaktorių. Paslauga galės vėl veikti po kito politikos atnaujinimo.

Jei tuo metu „Defender“ buvo aiškiai išjungtas registreReikės patikrinti maršrutą HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender ir suraskite vertę DisableAntiSpywareNaudodami registro rengyklę, galite jį atidaryti ir nustatyti jo „Reikšmės duomenis“ į 0Priimkite pakeitimą, kad antivirusinė programa vėl veiktų.

Atlikę šiuos pakeitimus, eikite į „Pradėti > Nustatymai > Naujinimas ir sauga > „Windows Defender“ (naujesnėse versijose – „Windows sauga“) ir Patikrinkite, ar įjungtas jungiklis „Apsauga realiuoju laiku“Jei jis vis dar išjungtas, įjunkite jį rankiniu būdu, kad antivirusinė apsauga būtų paleista nuo sistemos.

Siekiant maksimalios apsaugos, patartina Įjunkite apsaugą realiuoju laiku ir debesijos pagrindu veikiančią apsaugąProgramoje „Windows Security“ eikite į „Virusų ir grėsmių apsauga > Virusų ir grėsmių apsaugos nustatymai > Tvarkyti nustatymus“ ir įjunkite atitinkamus jungiklius.

Jei šių parinkčių nematyti, tikėtina, kad Grupės politika slepia antivirusinės apsaugos skyrių. „Windows“ saugos skiltyje pažymėkite „Kompiuterio konfigūracija > Administravimo šablonai > „Windows“ komponentai > „Windows“ sauga > Apsauga nuo virusų ir grėsmių“ ir įsitikinkite, kad politika „Slėpti apsaugos nuo virusų ir grėsmių sritį“ nustatyta kaip „Išjungta“, pritaikydami pakeitimus.

Tai vienodai svarbu nuolat atnaujinti virusų apibrėžimus Tai leidžia „Microsoft Defender“ aptikti naujausias grėsmes. „Windows“ saugos skiltyje „Apsauga nuo virusų ir grėsmių“, dalyje „Grėsmių apsaugos naujinimai“, spustelėkite „Patikrinti, ar yra naujinimų“, ir leiskite atsisiųsti naujausius parašus.

Jei pageidaujate komandinės eilutės, tai taip pat yra išeitis. „Microsoft Defender“ paslaugą galite paleisti iš CMDPaspauskite „Windows“ + R, įveskite cmd Tada komandų eilutėje (pageidautina su padidintomis teisėmis) paleiskite:

sc start WinDefend

Su šia komanda, Paleidžiama pagrindinė antivirusinė paslauga jei nėra jokių papildomų politikų ar blokų, kurie to neleistų, tai leis jums greitai patikrinti, ar variklis paleidžiamas be klaidų.

Norėdami sužinoti, ar jūsų kompiuteryje naudojama „Microsoft Defender“, tiesiog eikite į „Pradėti > Nustatymai > Sistema“ ir atidarykite „Valdymo skydą“. Skiltyje „Sauga ir priežiūra“ rasite skyrių „Sistemos saugumas ir apsauga“, kuriame Matysite antivirusinės apsaugos būsenos ir kitų aktyvių priemonių santrauką. komandoje.

derinant „Cendential Guard“, skirta apsaugoti atmintyje esančius kredencialus Tinkamai sukonfigūruota „Microsoft Defender“, „Exploit Guard“ ir atitinkamos apsaugos nuo pažeidimų taisyklės užtikrina žymiai aukštesnį saugumo lygį nuo kredencialų vagysčių, pažangių kenkėjiškų programų ir šoninio judėjimo domene. Nors suderinamumas su senesniais protokolais ir programomis visada kainuoja, bendras saugumo pagerėjimas daugumoje organizacijų jas su kaupu kompensuoja.