Cara mengaktifkan Microsoft Defender Credential Guard dan Exploit Guard

Melindungi kelayakan dalam Windows dan menguatkan sistem daripada eksploitasi Ia telah menjadi hampir wajib dalam mana-mana persekitaran perniagaan moden. Serangan seperti Pass-the-Hash, Pass-the-Ticket atau penyalahgunaan kerentanan zero-day mengeksploitasi sebarang pengawasan dalam konfigurasi untuk bergerak secara lateral melalui rangkaian dan mengambil alih pelayan dan stesen kerja dalam beberapa minit.

Dalam konteks ini, Teknologi Microsoft Defender Credential Guard dan Exploit Guard (bersama-sama dengan enjin antivirus Microsoft Defender) merupakan komponen utama strategi keselamatan dalam Windows 10, Windows 11 dan Windows Server. Dalam baris berikut, anda akan melihat, langkah demi langkah dan secara terperinci, cara ia berfungsi, keperluannya dan cara mengaktifkan atau menyahaktifkannya dengan betul menggunakan Intune, Dasar Kumpulan, Pendaftaran, PowerShell dan alatan lain, sambil mengelakkan gangguan keserasian yang tidak perlu.

Apakah itu Microsoft Defender Credential Guard dan mengapa ia begitu penting?

Pengawal Kredensial Windows Defender ialah ciri keselamatan Diperkenalkan oleh Microsoft dalam Windows 10 Enterprise dan Windows Server 2016, ciri ini bergantung pada keselamatan berasaskan virtualisasi (VBS) untuk mengasingkan rahsia pengesahan. Proses LSA terpencil digunakan daripada Pihak Berkuasa Keselamatan Tempatan (LSA) yang mengurus kelayakan dalam memori secara langsung.LSAIso.exe) dilaksanakan dalam persekitaran yang dilindungi.

Berkat pengasingan ini, Hanya perisian sistem dengan keistimewaan yang sesuai boleh mengakses hash NTLM dan tiket Kerberos (TGT).Kredensial yang digunakan oleh Pengurus Kredensial, log masuk setempat dan kredensial yang digunakan dalam sambungan seperti Desktop Jauh tidak lagi tersedia. Sebarang kod berniat jahat yang cuba membaca memori proses LSA konvensional secara langsung akan mendapati rahsia tersebut telah hilang.

Pendekatan ini secara drastik mengurangkan keberkesanan alat pasca eksploitasi klasik seperti Mimikatz untuk serangan Pass-the-Hash atau Pass-the-TicketIni kerana hash dan tiket yang sebelum ini mudah diekstrak kini berada dalam bekas terpencil dalam memori yang tidak dapat diakses dengan mudah oleh perisian hasad, walaupun ia mempunyai keistimewaan pentadbir pada sistem yang dikompromi.

Perlu dijelaskan bahawa Pengawal Kredensial tidak sama dengan Pengawal PerantiWalaupun Credential Guard melindungi kelayakan dan rahsia, Device Guard (dan teknologi kawalan aplikasi berkaitan) memberi tumpuan kepada mencegah kod tanpa kebenaran daripada berjalan pada komputer. Ia saling melengkapi, tetapi ia menyelesaikan masalah yang berbeza.

Walaupun demikian, Pengawal Kelayakan bukanlah peluru perak terhadap Mimikatz atau terhadap penyerang dalamanPenyerang yang sudah mengawal titik akhir boleh menangkap kelayakan semasa pengguna memasukkannya (contohnya, dengan keylogger atau dengan menyuntik kod ke dalam proses pengesahan). Ia juga tidak menghalang pekerja yang mempunyai akses sah kepada data tertentu daripada menyalin atau mengeluarkannya daripada fail; Credential Guard melindungi kelayakan dalam memori, bukan tingkah laku pengguna.

Pengawal Kredensial diaktifkan secara lalai dalam Windows 11 dan Windows Server

Dalam versi Windows moden, Pengawal Kredensial diaktifkan secara automatik dalam banyak kes.Bermula dengan Windows 11 22H2 dan Windows Server 2025, peranti yang memenuhi keperluan perkakasan, firmware dan konfigurasi tertentu akan diaktifkan secara lalai oleh VBS dan Credential Guard, tanpa perlu melakukan apa-apa oleh pentadbir.

Dalam sistem ini, Pengaktifan lalai dilakukan tanpa penguncian UEFIIni bermakna, walaupun Pengawal Kredensial diaktifkan secara lalai, pentadbir kemudiannya boleh melumpuhkannya dari jauh melalui dasar kumpulan, Intune atau kaedah lain, kerana pilihan kunci belum diaktifkan dalam firmware.

Apabila Pengawal Kredensial diaktifkan dan keselamatan berasaskan virtualisasi (VBS) juga diaktifkan.VBS ialah komponen yang mewujudkan persekitaran terlindung di mana LSA diasingkan dan rahsia disimpan, jadi kedua-dua ciri ini saling berkaitan dalam versi ini.

Satu nuansa penting ialah Nilai-nilai yang dikonfigurasikan secara eksplisit oleh pentadbir sentiasa diutamakan. mengatasi tetapan lalai. Jika Pengawal Kredensial diaktifkan atau dinyahdayakan melalui Intune, GPO atau Registry, keadaan manual tersebut akan menulis ganti pendayaan lalai selepas komputer dimulakan semula.

Tambahan pula, sekiranya Satu peranti telah dinyahdayakan secara eksplisit oleh Credential Guard sebelum menaik taraf kepada versi Windows yang mendayakannya secara lalai.Peranti akan mematuhi penyahaktifan ini selepas kemas kini dan tidak akan dihidupkan secara automatik, melainkan konfigurasinya diubah sekali lagi menggunakan salah satu alat pengurusan.

Keperluan sistem, perkakasan, perisian tegar dan pelesenan

Supaya Pengawal Kredensial dapat menawarkan perlindungan sebenarPeralatan tersebut mesti memenuhi keperluan perkakasan, perisian tegar dan perisian tertentu. Semakin baik keupayaan platform, semakin tinggi tahap keselamatan yang boleh dicapai.

Pertama, CPU 64-bit adalah wajib dan keserasian dengan keselamatan berasaskan virtualisasi. Ini bermakna pemproses dan papan induk mesti menyokong sambungan virtualisasi yang sesuai, serta pengaktifan ciri-ciri ini dalam UEFI/BIOS.

Satu lagi elemen kritikal ialah but selamat (But Selamat)But Selamat memastikan sistem bermula dengan hanya memuatkan firmware dan perisian yang dipercayai dan ditandatangani. But Selamat digunakan oleh VBS dan Credential Guard untuk menghalang penyerang daripada mengubah suai komponen but untuk melumpuhkan atau memanipulasi perlindungan.

Walaupun tidak wajib sepenuhnya, memilikinya sangat disyorkan. Modul Platform Dipercayai (TPM) versi 1.2 atau 2.0Sama ada diskret atau berasaskan firmware, TPM membolehkan rahsia dan kunci penyulitan dikaitkan dengan perkakasan, menambah lapisan tambahan yang merumitkan keadaan dengan serius bagi sesiapa sahaja yang cuba membawa atau menggunakan semula rahsia tersebut pada peranti lain.

Ia juga sangat dinasihatkan untuk membolehkan Kunci UEFI untuk Pengawal KredensialIni menghalang sesiapa sahaja yang mempunyai akses sistem daripada melumpuhkan perlindungan hanya dengan mengubah suai kunci atau dasar pendaftaran. Dengan kunci aktif, melumpuhkan Pengawal Kredensial memerlukan prosedur yang lebih terkawal dan eksplisit.

Dalam bidang pelesenan, Pengawal Kredensial tidak tersedia dalam semua edisi WindowsSecara amnya, ia disokong dalam edisi perusahaan dan pendidikan: Windows Enterprise dan Windows Education mempunyai sokongan, manakala Windows Pro atau Pro Education/SE tidak menyertakannya secara lalai.

The Hak penggunaan Pengawal Kredensial terikat pada lesen langganan tertentu, seperti Windows Enterprise E3 dan E5, serta Windows Education A3 dan A5. Edisi Pro, dari segi pelesenan, tidak berhak mendapat fungsi lanjutan ini, walaupun ia menjalankan sistem pengendalian binari yang sama.

Keserasian aplikasi dan ciri terkunci

Sebelum menggunakan Pengawal Kelayakan secara beramai-ramaiAdalah dinasihatkan untuk menyemak semula aplikasi dan perkhidmatan yang bergantung pada mekanisme pengesahan tertentu dengan teliti. Tidak semua perisian legasi berfungsi dengan baik dengan perlindungan ini, dan sesetengah protokol disekat secara langsung.

Apabila Pengawal Kredensial diaktifkan, ciri yang dianggap berisiko dinyahdayakan, supaya Aplikasi yang bergantung padanya berhenti berfungsi dengan betulIni dikenali sebagai keperluan aplikasi: syarat yang mesti dielakkan jika anda ingin terus menggunakan Credential Guard tanpa insiden.

Antara ciri-ciri yang Mereka disekat secara langsung menonjol:

• Keserasian penyulitan Kerberos DES.
• Delegasi Kerberos tanpa sekatan.
• Pengekstrakan TGT daripada Kerberos daripada LSA.
• Protokol NTLMv1.

Selain itu, Terdapat ciri-ciri yang, walaupun tidak dilarang sepenuhnya, melibatkan risiko tambahan jika digunakan bersama dengan Credential Guard. Aplikasi yang bergantung pada pengesahan tersirat, pendelegasian kelayakan, MS-CHAPv2 atau CredSSP amat sensitif, kerana ia boleh mendedahkan kelayakan secara tidak selamat jika tidak dikonfigurasikan dengan teliti.

Ia juga telah diperhatikan masalah prestasi dalam aplikasi yang cuba mengikat atau berinteraksi secara langsung dengan proses terpencil LSAIso.exeOleh kerana proses ini dilindungi dan diasingkan, sebarang percubaan akses berulang boleh menambah overhed atau menyebabkan kelembapan dalam senario tertentu.

Perkara yang baik ialah perkhidmatan dan protokol moden yang menggunakan Kerberos sebagai standardFungsi seperti akses kepada sumber kongsi SMB atau Desktop Jauh yang dikonfigurasikan dengan betul terus berfungsi seperti biasa dan tidak terjejas oleh pengaktifan Pengawal Kredensial, selagi ia tidak bergantung pada fungsi legasi yang dinyatakan di atas.

Cara mendayakan Pengawal Kredensial: Intune, GPO dan Pendaftaran

Cara ideal untuk mengaktifkan Pengawal Kredensial bergantung pada saiz dan pengurusan persekitaran anda.Bagi organisasi yang mempunyai sistem pengurusan moden, Microsoft Intune (MDM) sangat mudah, manakala dalam domain Active Directory tradisional, Dasar Kumpulan masih biasa digunakan. Untuk pelarasan yang lebih tepat atau automasi khusus, Pendaftaran kekal sebagai pilihan.

Pertama sekali, adalah penting untuk memahami bahawa Pengawal Kredensial mesti diaktifkan sebelum menyambungkan komputer ke domain. atau sebelum pengguna domain log masuk buat kali pertama. Jika diaktifkan kemudian, rahsia pengguna dan mesin mungkin telah dikompromi, sekali gus mengurangkan manfaat sebenar perlindungan tersebut.

Secara umum, anda boleh mendayakan Pengawal Kredensial dengan:

• Pengurusan Microsoft Intune/MDM.
• Dasar Kumpulan (GPO) dalam Active Directory atau editor dasar setempat.
• Pengubahsuaian langsung pada Pendaftaran Windows.

Apabila menggunakan mana-mana tetapan ini, Jangan lupa bahawa memulakan semula peranti adalah wajib. Agar perubahan berkuat kuasa, Pengawal Kredensial, VBS dan semua komponen pengasingan diinisialisasikan semasa but, jadi hanya mengubah dasar tidak mencukupi.

Aktifkan Pengawal Kredensial dengan Microsoft Intune

Jika anda mengurus peranti anda dengan Intune, anda mempunyai dua pendekatan Pilihan utama: Gunakan templat Keselamatan Endpoint atau gunakan dasar tersuai yang mengkonfigurasi CSP DeviceGuard melalui OMA-URI.

Di portal Intune, anda boleh pergi ke “Keselamatan titik akhir > Perlindungan akaun” dan cipta dasar perlindungan akaun baharu. Pilih platform "Windows 10 dan yang lebih baharu" dan jenis profil "Perlindungan akaun" (dalam varian berbeza, bergantung pada versi yang tersedia).

Semasa mengkonfigurasi tetapan, Tetapkan pilihan "Hidupkan Pengawal Kredensial" kepada "Dayakan dengan kunci UEFI" Jika anda ingin mengelakkan perlindungan daripada mudah dilumpuhkan dari jauh, Pengawal Kredensial "dilabuhkan" dalam firmware, meningkatkan tahap keselamatan fizikal dan logik peranti.

Setelah parameter ditentukan, Tetapkan dasar tersebut kepada kumpulan yang mengandungi peranti atau objek pengguna yang ingin anda lindungi.Dasar ini akan digunakan apabila peranti disegerakkan dengan Intune dan, selepas permulaan semula yang sepadan, Pengawal Kredensial akan diaktifkan.

Jika anda lebih suka mengawal butiran halus, Anda boleh menggunakan dasar tersuai berdasarkan CSP DeviceGuardUntuk melakukan ini, perlu membuat entri OMA-URI dengan nama dan nilai yang sesuai, contohnya:

konfigurasi
namaDayakan keselamatan berasaskan virtualisasi OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Jenis data: int Valor: 1
namaKonfigurasi Pengawal Kredensial OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Jenis data: int Valor: Didayakan dengan kunci UEFI: 1 Didayakan tanpa menyekat: 2

Selepas menggunakan dasar tersuai ini dan memulakan semula, Peranti akan bermula dengan VBS dan Credential Guard aktif., dan kelayakan sistem akan dilindungi dalam bekas terpencil.

Konfigurasikan Pengawal Kredensial menggunakan dasar kumpulan

Dalam persekitaran dengan Active Directory tradisionalCara paling semula jadi untuk mendayakan Pengawal Kredensial secara pukal adalah melalui Objek Dasar Kumpulan (GPO). Anda boleh melakukan ini sama ada daripada editor dasar setempat pada satu komputer atau daripada Pengurus Dasar Kumpulan di peringkat domain.

Untuk mengkonfigurasi dasar, buka editor GPO yang sepadan dan navigasi ke laluan Konfigurasi Komputer > Templat Pentadbiran > Sistem > Pengawal PerantiDalam bahagian itu anda akan menemui dasar "Dayakan keselamatan berasaskan virtualisasi".

Arahan ini menetapkan dalam Pilih "Diaktifkan" dan pilih tetapan Pengawal Kredensial yang anda inginkan daripada senarai juntai bawah.Anda boleh memilih antara "Didayakan dengan kunci UEFI" atau "Didayakan tanpa kunci", bergantung pada tahap perlindungan fizikal yang anda ingin gunakan.

Setelah GPO dikonfigurasikan, pautkannya ke unit organisasi atau domain tempat komputer sasaran beradaAnda boleh memperhalusi aplikasinya menggunakan penapisan kumpulan keselamatan atau penapis WMI, supaya ia hanya terpakai pada jenis peranti tertentu (contohnya, hanya pada komputer riba korporat dengan perkakasan yang serasi).

Apabila mesin menerima arahan dan memulakan semula, Pengawal Kredensial akan diaktifkan mengikut konfigurasi GPO., memanfaatkan infrastruktur domain untuk menggunakannya dengan cara yang standard.

Dayakan Pengawal Kredensial dengan mengubah suai Pendaftaran Windows

Jika anda memerlukan kawalan yang sangat terperinci atau untuk mengautomasikan penggunaan dengan skripAnda boleh mengkonfigurasi Pengawal Kredensial secara langsung menggunakan kekunci Pendaftaran. Kaedah ini memerlukan ketepatan, kerana nilai yang salah boleh menyebabkan sistem berada dalam keadaan yang tidak dijangka.

Agar keselamatan berasaskan virtualisasi dan Pengawal Kelayakan menjadi aktif, Anda mesti mencipta atau mengubah suai beberapa entri di bawah laluan tertentuPerkara-perkara pentingnya ialah:

konfigurasi
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nama: EnableVirtualizationBasedSecurity Jenis: REG_DWORD Valor: 1 (membolehkan keselamatan berasaskan virtualisasi)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nama: RequirePlatformSecurityFeatures Jenis: REG_DWORD Valor: 1 (menggunakan but selamat) 3 (but selamat + perlindungan DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nama: LsaCfgFlags Jenis: REG_DWORD Valor: 1 (membolehkan Pengawal Kredensial dengan kunci UEFI) 2 (membolehkan Pengawal Kredensial tanpa mengunci)

Selepas mengaplikasikan nilai-nilai ini, Mulakan semula komputer supaya hipervisor Windows dan proses LSA terpencil memainkan perananTanpa tetapan semula itu, perubahan Pendaftaran sebenarnya tidak akan mengaktifkan perlindungan memori.

Cara menyemak sama ada Pengawal Kredensial diaktifkan dan berfungsi

Lihat sama ada proses itu LsaIso.exe Ia muncul dalam Pengurus Tugas. Ia mungkin memberikan petunjuk, tetapi Microsoft tidak menganggapnya sebagai kaedah yang boleh dipercayai untuk mengesahkan bahawa Credential Guard beroperasi. Prosedur yang lebih mantap wujud, berdasarkan alat sistem terbina dalam.

Antara pilihan yang disyorkan untuk Semak status Pengawal Kelayakan Ini termasuk Maklumat Sistem, PowerShell dan Pemapar Peristiwa. Setiap kaedah menawarkan perspektif yang berbeza, jadi adalah berbaloi untuk membiasakan diri anda dengan kesemuanya.

Kaedah yang paling visual ialah kaedah yang Maklumat sistem (msinfo32.exe)Daripada menu Mula, jalankan alat ini, pilih "Ringkasan Sistem" dan tandakan bahagian "Menjalankan perkhidmatan keselamatan berasaskan virtualisasi" untuk mengesahkan bahawa "Pengawal Kredensial" muncul sebagai perkhidmatan aktif.

Jika anda lebih suka sesuatu yang boleh ditulis, PowerShell ialah sekutu andaDari konsol dengan keistimewaan yang tinggi, anda boleh menjalankan arahan berikut:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Output arahan ini menunjukkan, menggunakan kod berangka, sama ada Pengawal Kredensial diaktifkan atau tidak pada mesin ituNilai 0 bermaksud Pengawal Kredensial dinyahdayakan.Walaupun 1 menunjukkan bahawa ia telah diaktifkan dan berjalan. sebagai sebahagian daripada perkhidmatan keselamatan berasaskan virtualisasi.

Akhir sekali, Pemapar Peristiwa membolehkan anda menyemak semula kelakuan sejarah Pengawal Kredensial.Pembukaan eventvwr.exe Dengan menavigasi ke "Log Windows > Sistem", anda boleh menapis mengikut sumber peristiwa "WinInit" dan mencari mesej yang berkaitan dengan permulaan perkhidmatan Device Guard dan Credential Guard, berguna untuk audit berkala.

Lumpuhkan Pengawal Kredensial dan uruskan penguncian UEFI

Walaupun cadangan umum adalah untuk memastikan Pengawal Kredensial diaktifkan Pada semua sistem yang menyokongnya, dalam beberapa senario yang sangat spesifik, mungkin perlu untuk melumpuhkannya, sama ada untuk menyelesaikan ketidakserasian dengan aplikasi legasi atau untuk melaksanakan tugas diagnostik tertentu.

Prosedur yang tepat untuk Melumpuhkan Pengawal Kredensial bergantung pada cara ia dikonfigurasikan pada mulanya.Jika ia diaktifkan tanpa penguncian UEFI, cuma kembalikan dasar Intune, GPO atau Registry dan but semula. Walau bagaimanapun, jika ia diaktifkan dengan penguncian UEFI, langkah tambahan diperlukan kerana sebahagian konfigurasi disimpan dalam pembolehubah EFI firmware.

Dalam kes tertentu Pengawal Kredensial diaktifkan dengan kunci UEFIPertama, anda mesti mengikuti proses melumpuhkan standard (membalikkan arahan atau nilai Pendaftaran) dan kemudian mengalih keluar pembolehubah EFI yang berkaitan menggunakan bcdedit dan utiliti SecConfig.efi dengan skrip lanjutan.

Aliran tipikal melibatkan pasang pemacu EFI sementara, salin SecConfig.efi, cipta input pengecas baharu dengan bcdeditKonfigurasikan pilihan anda untuk melumpuhkan LSA terpencil dan menetapkan urutan but sementara melalui pengurus but Windows, serta nyahpasang pemacu pada akhir proses.

Selepas memulakan semula komputer dengan konfigurasi ini, Sebelum Windows bermula, mesej akan muncul yang memberi amaran tentang perubahan dalam UEFI.Pengesahan mesej ini adalah wajib agar perubahan berterusan dan kunci EFI Pengawal Kredensial benar-benar dinyahdayakan dalam firmware.

Sekiranya apa yang anda perlukan adalah Lumpuhkan Pengawal Kredensial pada mesin maya Hyper-V tertentuAnda boleh melakukan ini daripada hos, tanpa menyentuh tetamu, menggunakan PowerShell. Perintah biasa ialah:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Dengan pelarasan itu, mesin maya Ia berhenti menggunakan VBS dan oleh itu berhenti menjalankan Credential Guard walaupun sistem pengendalian tetamu menyokong ciri tersebut, yang boleh berguna dalam persekitaran makmal atau ujian yang sangat spesifik.

Pengawal Kredensial pada mesin maya Hyper-V

Pengawal Kredensial tidak terhad kepada peralatan fizikalIa juga boleh melindungi kelayakan dalam mesin maya yang menjalankan Windows dalam persekitaran Hyper-V, memberikan tahap pengasingan yang serupa dengan yang terdapat dalam perkakasan logam terdedah.

Dalam situasi ini, Pengawal Kredensial melindungi rahsia daripada serangan yang berasal dari dalam mesin maya itu sendiri.Dalam erti kata lain, jika penyerang menjejaskan proses sistem dalam VM, perlindungan VBS akan terus mengasingkan LSA dan mengurangkan pendedahan hash dan tiket.

Walau bagaimanapun, adalah penting untuk menjelaskan tentang hadnya: Pengawal Kredensial tidak dapat mempertahankan VM daripada serangan yang berasal dari hos dengan keistimewaan yang lebih tinggi. Hipervisor dan sistem hos secara efektif mempunyai kawalan penuh ke atas mesin maya, jadi pentadbir hos yang berniat jahat boleh memintas halangan ini.

Agar Pengawal Kredensial berfungsi dengan betul dalam jenis penggunaan ini, Hos Hyper-V mesti mempunyai IOMMU (unit pengurusan memori input/output) yang membolehkan pengasingan akses kepada memori dan peranti, dan mesin maya mestilah Generasi 2, dengan firmware UEFI, yang mendayakan But Selamat dan keupayaan lain yang diperlukan.

Dengan adanya keperluan ini, Pengalaman menggunakan Credential Guard pada VM sangat serupa dengan mesin fizikal.termasuk kaedah pengaktifan yang sama (Intune, GPO, Registry) dan kaedah pengesahan (msinfo32, PowerShell, Event Viewer).

Exploit Guard dan Microsoft Defender: Aktifkan dan uruskan perlindungan umum

Bersama Credential Guard, ekosistem keselamatan Windows bergantung pada Microsoft Defender Antivirus dan dalam teknologi seperti Exploit Guard, yang merangkumi peraturan pengurangan permukaan serangan, perlindungan rangkaian, kawalan akses folder dan ciri lain yang bertujuan untuk memperlahankan perisian hasad dan mengurangkan eksploitasi.

Dalam banyak pasukan, Antivirus Microsoft Defender telah dipasang dan diaktifkan secara lalai Dalam Windows 8, Windows 10 dan Windows 11, ia tersedia, tetapi agak biasa untuk mendapati ia dilumpuhkan disebabkan oleh dasar sebelumnya, pemasangan penyelesaian pihak ketiga atau perubahan manual pada Pendaftaran.

kepada Aktifkan Microsoft Defender Antivirus menggunakan dasar kumpulan tempatanAnda boleh membuka menu Mula, cari "Dasar Kumpulan" dan pilih "Edit Dasar Kumpulan." Dalam "Konfigurasi Komputer > Templat Pentadbiran > Komponen Windows > Antivirus Windows Defender," anda akan melihat pilihan "Matikan Antivirus Windows Defender."

Jika dasar ini ditetapkan kepada "Didayakan", ini bermakna antivirus telah dinyahdayakan secara paksa. Untuk memulihkan fungsinya, tetapkan pilihan kepada "Dilumpuhkan" atau "Tidak Dikonfigurasikan".Gunakan perubahan dan tutup editor. Perkhidmatan ini akan dapat dimulakan semula selepas kemas kini dasar seterusnya.

Sekiranya pada masa itu Defender telah dinyahdayakan secara eksplisit daripada PendaftaranAnda perlu menyemak laluan HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender dan cari nilainya DisableAntiSpywareMenggunakan Editor Pendaftaran, anda boleh membukanya dan menetapkan "Data nilai" kepada 0Menerima perubahan untuk membolehkan antivirus berfungsi semula.

Selepas pelarasan ini, pergi ke "Mula > Tetapan > Kemas Kini & Keselamatan > Windows Defender" (dalam versi yang lebih terkini, "Keselamatan Windows") dan Sahkan bahawa suis "Perlindungan masa nyata" diaktifkanJika ia masih dimatikan, hidupkannya secara manual untuk memastikan pertahanan antivirus bermula dengan sistem.

Untuk perlindungan maksimum, adalah dinasihatkan Dayakan perlindungan masa nyata dan perlindungan berasaskan awanDaripada aplikasi "Keselamatan Windows", pergi ke "Perlindungan virus & ancaman > Tetapan perlindungan virus & ancaman > Urus tetapan" dan aktifkan suis yang sepadan.

Jika pilihan ini tidak kelihatan, kemungkinan besar Dasar kumpulan menyembunyikan bahagian perlindungan antivirus. Dalam Keselamatan Windows, tandakan "Konfigurasi Komputer > Templat Pentadbiran > Komponen Windows > Keselamatan Windows > Perlindungan virus & ancaman" dan pastikan dasar "Sembunyikan kawasan perlindungan virus dan ancaman" ditetapkan kepada "Dilumpuhkan," dan gunakan perubahan tersebut.

Ia adalah sama penting pastikan definisi virus dikemas kini Ini membolehkan Microsoft Defender mengesan ancaman terkini. Daripada Windows Security, di bawah "Perlindungan virus & ancaman," dalam "Kemas kini perlindungan ancaman," klik "Semak kemas kini" dan benarkan tandatangan terkini dimuat turun.

Jika anda lebih suka baris arahan, itu juga satu pilihan. Anda boleh memulakan perkhidmatan Microsoft Defender dari CMD. Tekan Windows + R, taip cmd Kemudian, pada command prompt (sebaik-baiknya dengan keistimewaan yang tinggi), jalankan:

sc start WinDefend

Dengan arahan ini, Perkhidmatan antivirus utama bermula dengan syarat tiada dasar atau sekatan tambahan yang menghalangnya, membolehkan anda mengesahkan dengan cepat sama ada enjin dihidupkan tanpa ralat.

Untuk mengetahui sama ada komputer anda menggunakan Microsoft Defender, hanya pergi ke "Mula > Tetapan > Sistem" dan kemudian buka "Panel Kawalan". Dalam bahagian "Keselamatan dan Penyelenggaraan", anda akan menemui bahagian "Keselamatan dan perlindungan sistem", di mana Anda akan melihat ringkasan status perlindungan antivirus dan langkah-langkah aktif yang lain. dalam pasukan.

Dengan menggabungkan Pengawal Kredensial untuk melindungi kelayakan dalam ingatan Dengan Microsoft Defender, Exploit Guard yang dikonfigurasikan dengan betul dan peraturan pengerasan yang sesuai, tahap keselamatan yang jauh lebih tinggi dapat dicapai terhadap kecurian kelayakan, perisian hasad lanjutan dan pergerakan sisi dalam domain. Walaupun sentiasa terdapat kos yang berkaitan dengan keserasian dengan protokol dan aplikasi legasi, penambahbaikan keselamatan keseluruhan lebih daripada mengimbanginya dalam kebanyakan organisasi.