Konfigurasi Pengawal Kredensial dalam Windows langkah demi langkah

Pengawal Tauliah telah menjadi bahagian penting untuk mengukuhkan keselamatan kelayakan dalam persekitaran Windows Sistem moden amat penting dalam organisasi di mana serangan kecurian kelayakan boleh menimbulkan masalah yang serius. Daripada membiarkan rahsia pengesahan terdedah dalam memori sistem, ciri ini mengasingkannya menggunakan keselamatan berasaskan virtualisasi, mengurangkan permukaan serangan dengan ketara.

Dalam baris berikut anda akan melihat cara mengkonfigurasi Pengawal Kredensial Menggunakan kaedah yang berbeza (Intune/MDM, Dasar Kumpulan dan Pendaftaran), kami akan merangkumi keperluan yang mesti dipenuhi oleh peranti anda, pengehadan yang diperkenalkan, cara mengesahkan bahawa ia benar-benar aktif dan cara melumpuhkannya dalam senario yang diperlukan, termasuk mesin maya dan peranti berkunci UEFI. Segala-galanya dijelaskan secara terperinci, tetapi dalam bahasa yang jelas dan mesra pengguna supaya anda boleh menggunakannya dengan mudah.

Apakah itu Pengawal Tauliah dan bagaimana ia melindungi kelayakan?

Pengawal Kredensial ialah ciri keselamatan Windows yang menggunakan keselamatan berasaskan maya (VBS) untuk mengasingkan bukti kelayakan dan rahsia berkaitan pengesahan lain. Daripada segala-galanya disimpan secara langsung dalam proses pihak berkuasa keselamatan tempatan (lsass.exe), data sensitif disimpan dalam komponen terpencil dipanggil LSA diasingkan o LSA terpencil.

LSA terpencil ini berjalan dalam persekitaran yang dilindungi, dipisahkan daripada sistem pengendalian utama melalui hypervisor (mod selamat maya atau VSM). Hanya satu set binari yang sangat kecil, yang ditandatangani dengan sijil yang dipercayai, boleh dimuatkan ke dalam persekitaran itu. Komunikasi dengan seluruh sistem dilakukan melalui RPC, yang menghalang malware yang berjalan pada sistem, walau apa pun keistimewaannya, boleh membaca terus rahsia yang dilindungi.

Pengawal Tauliah secara khusus melindungi tiga jenis bukti kelayakanCincang kata laluan NTLM, rekod Pemberian Tiket Kerberos (TGT) dan bukti kelayakan yang disimpan oleh aplikasi sebagai bukti kelayakan domain semuanya terjejas. Ini mengurangkan serangan klasik seperti pass-the-hash o pas-tiket, sangat biasa dalam pergerakan sisi dalam rangkaian korporat.

Adalah penting untuk memahami bahawa Pengawal Kredensial tidak melindungi segala-galanya.Ia tidak meliputi, sebagai contoh, bukti kelayakan yang dikendalikan oleh perisian pihak ketiga di luar mekanisme Windows standard, akaun tempatan dan Microsoft, dan juga tidak melindungi daripada serangan fizikal atau keylogger. Walaupun begitu, ia sangat mengurangkan risiko yang berkaitan dengan kelayakan domain.

Pengawal Kredensial didayakan secara lalai

daripada Windows 11 22H2 dan Windows Server 2025Keselamatan berasaskan maya (VBS) dan Pengawal Kredensial didayakan secara lalai pada peranti yang memenuhi keperluan perkakasan, perisian tegar dan perisian yang ditetapkan Microsoft. Ini bermakna bahawa pada banyak komputer moden, ia dikonfigurasikan dan aktif tanpa sebarang campur tangan pentadbir.

Mod pembolehan lalai ialah "UEFI dibuka kunci"Dalam erti kata lain, tanpa kunci yang menghalang penyahaktifan jauh. Pendekatan ini memudahkan pentadbir untuk melumpuhkan Pengawal Kredensial melalui dasar atau konfigurasi jauh jika aplikasi kritikal tidak serasi atau isu prestasi dikesan.

Apabila Pengawal Kredensial didayakan secara lalaiVBS itu sendiri juga didayakan secara automatik. Tiada konfigurasi VBS berasingan diperlukan untuk Pengawal Kredensial berfungsi, walaupun terdapat parameter tambahan untuk mengukuhkan tahap perlindungan platform (contohnya, memerlukan perlindungan DMA sebagai tambahan kepada standard). boot pasti).

Terdapat nuansa penting dalam peralatan yang dikemas kiniJika peranti mempunyai Pengawal Kredensial dilumpuhkan secara jelas sebelum menaik taraf kepada versi Windows yang didayakan secara lalai, peranti itu akan kekal dilumpuhkan selepas naik taraf. Dalam erti kata lain, tetapan eksplisit pentadbir lebih diutamakan daripada tingkah laku lalai.

Keperluan sistem, perkakasan, perisian tegar dan pelesenan

Untuk Pengawal Tauliah memberikan perlindungan sebenarPeranti mesti memenuhi satu siri keperluan perkakasan, perisian tegar dan perisian minimum. Peranti yang melebihi tahap minimum ini dan mempunyai ciri tambahan, seperti IOMMU atau TPM 2.0, boleh mendapat manfaat daripada tahap keselamatan yang lebih tinggi terhadap serangan DMA dan ancaman lanjutan.

Keperluan perkakasan dan perisian tegar

Keperluan perkakasan utama untuk Pengawal Kredensial Ia termasuk CPU 64-bit dengan sambungan virtualisasi (Intel VT-x atau AMD-V) dan sokongan untuk terjemahan alamat peringkat kedua (SLAT, juga dikenali sebagai Jadual Halaman Lanjutan). Tanpa keupayaan virtualisasi ini, VBS dan mod selamat maya tidak akan dapat mengasingkan memori dengan betul.

Pada peringkat perisian tegar, ia adalah wajib untuk dimiliki UEFI Versi 2.3.1 atau lebih tinggi dengan sokongan Secure Boot dan proses kemas kini perisian tegar yang selamat. Selain itu, ciri seperti Permintaan Ganti Memori (MOR) yang dilaksanakan dengan selamat, perlindungan konfigurasi but dan keupayaan naik taraf perisian tegar melalui [tidak jelas - mungkin "naik taraf perisian" atau "naik taraf perisian"] disyorkan. Windows Update.

Penggunaan unit pengurusan memori input/output (IOMMU)Menggunakan VM seperti Intel VT-d atau AMD-Vi sangat disyorkan, kerana ia membolehkan anda mendayakan perlindungan DMA bersama-sama dengan VBS. Perlindungan ini menghalang peranti berniat jahat yang disambungkan ke bas daripada mengakses terus memori dan mengekstrak rahsia.

Modul Platform Dipercayai (TPM) ialah satu lagi komponen utamasebaiknya dalam versi TPM 2.0walaupun TPM 1.2 juga disokong. TPM menyediakan sauh keselamatan perkakasan untuk melindungi kunci induk VSM dan memastikan data yang dilindungi oleh Pengawal Kredensial hanya boleh diakses dalam persekitaran yang dipercayai.

Perlindungan VSM dan peranan TPM

Rahsia yang dilindungi oleh Pengawal Tauliah diasingkan dalam ingatan melalui mod selamat maya (VSM). Pada perkakasan terkini dengan TPM 2.0, data berterusan dalam persekitaran VSM disulitkan dengan a kunci induk VSM dilindungi oleh TPM itu sendiri dan oleh mekanisme but selamat peranti.

Walaupun NTLM dan Kerberos TGT dijana semula pada setiap log masuk dan kerana ia biasanya tidak dikekalkan antara but semula, kewujudan kunci induk VSM membolehkan perlindungan data yang boleh disimpan di tempatnya. el tiempoTPM memastikan bahawa kunci tidak boleh diekstrak daripada peranti dan rahsia yang dilindungi tidak boleh diakses di luar persekitaran yang disahkan.

Keperluan dan lesen edisi Windows

Pengawal Kredensial tidak tersedia dalam semua edisi WindowsDalam sistem pelanggan, ia disokong dalam Windows Enterprise dan dalam Windows Education, tetapi bukan dalam Windows Pro atau Windows Pro Education/SE. Dalam erti kata lain, komputer dengan Windows Pro memerlukan peningkatan kepada Perusahaan untuk menggunakan fungsi ini.

Hak penggunaan Pengawal Tauliah diberikan melalui lesen seperti Windows Enterprise E3 dan E5 atau lesen pendidikan A3 dan A5. Dalam persekitaran perniagaan, ini biasanya diperoleh melalui perjanjian pelesenan volum, manakala OEM biasanya menghantar Windows Pro dan pelanggan kemudian meningkatkan kepada Perusahaan.

Pengawal Kredensial pada mesin maya Hyper-V

Pengawal Kredensial juga boleh melindungi rahsia dalam mesin maya dilaksanakan dalam Hyper-V, sama seperti cara ia berfungsi pada mesin fizikal. Keperluan utama ialah hos Hyper-V mempunyai IOMMU dan mesin maya adalah Generasi 2.

Adalah penting untuk memahami sempadan perlindungan dalam senario iniPengawal Kredensial melindungi daripada serangan yang berasal dari mesin maya itu sendiri, tetapi bukan terhadap ancaman daripada hos dengan keistimewaan yang tinggi. Jika hos terjejas, ia masih boleh mengakses mesin tetamu.

Keperluan permohonan dan keserasian

Mengaktifkan Pengawal Kredensial menyekat ciri pengesahan tertentuOleh itu, sesetengah aplikasi mungkin berhenti berfungsi jika ia bergantung pada kaedah lapuk atau tidak selamat. Sebelum penggunaan besar-besaran, adalah dinasihatkan untuk menguji aplikasi kritikal untuk memastikan ia kekal beroperasi.

Aplikasi yang memerlukan penyulitan DES untuk KerberosDelegasi Kerberos tanpa had, pengekstrakan TGT dan penggunaan NTLMv1 akan terganggu kerana pilihan ini dilumpuhkan secara langsung apabila Pengawal Kredensial aktif. Ini adalah langkah keselamatan yang ketat, tetapi perlu untuk mengelakkan kelemahan yang serius.

Ciri lain, seperti pengesahan tersiratDelegasi kelayakan, MS-CHAPv2 atau CredSSP mendedahkan kelayakan kepada risiko tambahan walaupun semasa Pengawal Kredensial aktif. Aplikasi yang berkeras untuk menggunakannya mungkin terus berfungsi, tetapi ia meninggalkan bukti kelayakan yang lebih terdedah, jadi menyemaknya juga disyorkan.

Mungkin juga terdapat kesan prestasi jika aplikasi tertentu cuba berinteraksi secara langsung dengan proses terpencil LsaIso.exeSecara umum, perkhidmatan yang menggunakan Kerberos secara standard (contohnya, perkongsian fail atau Desktop jauh) terus berfungsi seperti biasa tanpa menyedari sebarang perubahan.

Bagaimana untuk mendayakan Pengawal Kredensial dengan betul

Cadangan umum Microsoft adalah untuk mendayakan Pengawal Kredensial Ini mesti dilakukan sebelum peranti menyertai domain atau sebelum pengguna domain log masuk buat kali pertama. Jika diaktifkan kemudian, rahsia pengguna atau komputer mungkin sudah terdedah dalam memori yang tidak dilindungi.

Terdapat tiga kaedah utama untuk menyediakan ciri ini.Ini boleh dilakukan melalui Microsoft Intune/MDM, menggunakan Dasar Kumpulan, atau melalui Windows Registry. Pilihan bergantung pada jenis persekitaran, alat pengurusan yang tersedia, dan tahap automasi yang dikehendaki.

Dayakan Pengawal Kredensial menggunakan Microsoft Intune / MDM

Dalam persekitaran yang diurus dengan Intune atau penyelesaian MDM lainPengawal Kredensial boleh didayakan dengan mencipta dasar konfigurasi peranti yang mula-mula mengaktifkan keselamatan berasaskan maya dan kemudian mentakrifkan gelagat khusus Pengawal Kredensial.

Dasar tersuai boleh dibuat menggunakan DeviceGuard CSP. dengan parameter OMA-URI utama berikut:

• Aktifkan VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityjenis data int, nilai 1 untuk membolehkan keselamatan berasaskan maya.
• Konfigurasikan Pengawal Tauliah: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsjenis int, nilai 1 untuk membolehkan dengan kunci UEFI atau 2 untuk membolehkan tanpa menyekat.

Setelah dasar dibuat, dasar itu diberikan kepada peranti atau kumpulan pengguna. yang anda ingin lindungi. Selepas menggunakan dasar, anda perlu memulakan semula peranti untuk Pengawal Kredensial berkuat kuasa.

Konfigurasikan Pengawal Kredensial menggunakan Dasar Kumpulan (GPO)

Dalam domain Active Directory, kaedah yang paling mudah ialah GPO.Anda boleh menggunakan Editor Dasar Kumpulan Tempatan untuk satu komputer atau mencipta Objek Dasar Kumpulan yang dipautkan kepada domain atau unit organisasi untuk meliputi banyak peranti.

Laluan khusus dasar kumpulan ialahKonfigurasi Peranti → Templat Pentadbiran → Sistem → Pengawal Peranti. Dalam bahagian itu, terdapat tetapan yang dipanggil "Dayakan keselamatan berasaskan maya."

Apabila mendayakan dasar ini, anda mesti memilih pilihan Pengawal Kredensial. dalam senarai juntai bawah "Tetapan Pengawal Kredensial":

• Didayakan dengan kunci UEFI: menghalang dari jauh melumpuhkan Pengawal Tauliah; ia hanya boleh diubah melalui akses fizikal kepada perisian tegar/BIOS.
• Didayakan tanpa menyekat: membolehkan anda melumpuhkan Pengawal Kredensial kemudian melalui GPO atau konfigurasi jauh.

GPO boleh ditapis menggunakan kumpulan keselamatan atau penapis WMIIni membolehkan anda menggunakan perlindungan ini hanya pada jenis peranti atau profil pengguna tertentu. Selepas menggunakan dasar, mulakan semula juga diperlukan untuk perubahan berkuat kuasa.

Konfigurasikan Pengawal Kredensial menggunakan Windows Registry

Apabila kawalan yang lebih berbutir diperlukan atau skrip adatPengawal Tauliah boleh didayakan terus melalui Pejabat Pendaftaran. Kaedah ini biasanya digunakan dalam senario atau automasi lanjutan di mana GPO atau MDM tidak tersedia.

Untuk mengaktifkan keselamatan berasaskan maya (VBS)Kekunci berikut mesti dikonfigurasikan:

• Laluan utama: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Bilangan: EnableVirtualizationBasedSecurityjenis REG_DWORD, nilai 1.
• Laluan utama: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Bilangan: RequirePlatformSecurityFeaturesjenis REG_DWORD, nilai 1 untuk permulaan yang selamat atau 3 untuk but selamat dengan perlindungan DMA.

Untuk konfigurasi Pengawal Tauliah tertentu Kunci digunakan:

• Laluan utama: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Bilangan: LsaCfgFlagsjenis REG_DWORDNilai yang mungkin:
  0 untuk melumpuhkan Pengawal Tauliah,
  1 untuk mendayakannya dengan kunci UEFI,
  2 untuk membolehkannya tanpa menyekat.

Selepas melaraskan kekunci ini dalam Pejabat PendaftaranAnda perlu memulakan semula komputer supaya VBS dan Pengawal Kredensial memulakan dengan betul dan mula melindungi kelayakan.

Semak sama ada Pengawal Kredensial didayakan

Walaupun ia mungkin kelihatan menggoda untuk melihat sama ada proses itu LsaIso.exe Ia sedang berjalan dari Pengurus TugasMicrosoft tidak mengesyorkan kaedah ini sebagai semakan yang boleh dipercayai. Sebaliknya, tiga mekanisme utama dicadangkan: Maklumat Sistem, PowerShell dan Pemapar Acara.

Pengesahan dengan Maklumat Sistem (msinfo32)

Cara paling mudah untuk ramai pentadbir Ia melibatkan penggunaan alat "Maklumat Sistem" Windows:

1. Pilih Mula dan taip msinfo32.exeKemudian buka aplikasi "Maklumat Sistem".
2. Di panel kiri, pergi ke Gambaran keseluruhan sistem.
3. Di panel kanan, cari bahagian "Perkhidmatan keselamatan berasaskan virtualisasi sedang beroperasi" dan semak bahawa "Pengawal Tauliah" muncul di antara perkhidmatan yang disenaraikan.

Jika Pengawal Kredensial disenaraikan sebagai perkhidmatan yang sedang berjalan Dalam bahagian ini, ini bermakna ia didayakan dengan betul dan aktif pada komputer.

Pengesahan menggunakan PowerShell

Dalam persekitaran terurus, menggunakan PowerShell adalah sangat praktikal. Untuk melakukan semakan pukal status Pengawal Kredensial, anda boleh menjalankan perintah berikut daripada konsol PowerShell yang dinaikkan:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Perintah ini mengembalikan satu set nilai berangka yang menunjukkan perkhidmatan keselamatan berasaskan virtualisasi yang aktif. Dalam kes khusus Pengawal Tauliah, mereka ditafsirkan seperti berikut:

• 0: Pengawal Tauliah dilumpuhkan (tidak berjalan).
• 1: Pengawal Tauliah didayakan (berjalan).

Sebagai tambahan kepada pertanyaan umum iniMicrosoft menawarkan skrip DG_Readiness_Tool (contohnya, DG_Readiness_Tool_v2.0.ps1), yang membolehkan anda menyemak sama ada sistem itu mampu menjalankan Pengawal Kredensial, mendayakannya, melumpuhkannya dan mengesahkan statusnya menggunakan pilihan seperti -Capable, -Enable, -Disable y -Ready.

Menggunakan Pemapar Acara

Kaedah pengesahan lain yang lebih berorientasikan pengauditan Ia adalah untuk menggunakan Pemapar Acara. daripada eventvwr.exe Anda boleh mengakses "Log Windows" → "Sistem" dan menapis peristiwa yang asalnya ialah "WinInit".

Antara acara tersebut adalah penyertaan yang berkaitan dengan permulaan perkhidmatan keselamatan berasaskan virtualisasi, termasuk yang menunjukkan sama ada Pengawal Kredensial telah berjaya dimulakan semasa proses permulaan.

Lumpuhkan Pengawal Kredensial dan pengurusan kunci UEFI

Walaupun biasanya anda ingin memastikan Pengawal Kredensial didayakanTerdapat senario yang mungkin perlu untuk melumpuhkannya: ketidakserasian aplikasi, ujian makmal, perubahan seni bina keselamatan, dsb. Prosedur untuk melumpuhkannya bergantung pada cara ia didayakan dan sama ada penguncian UEFI telah digunakan.

Secara umum, melumpuhkan Pengawal Kredensial Ini melibatkan mengembalikan tetapan yang digunakan melalui Intune/MDM, Dasar Kumpulan atau Pendaftaran, dan kemudian memulakan semula komputer. Walau bagaimanapun, apabila didayakan dengan penguncian UEFI, terdapat langkah tambahan kerana beberapa tetapan disimpan dalam pembolehubah EFI perisian tegar.

Melumpuhkan Pengawal Kredensial dengan Kunci UEFI

Jika Pengawal Kredensial didayakan dengan kunci UEFIIa tidak mencukupi untuk menukar GPO atau Pejabat Pendaftaran. Anda juga perlu mengalih keluar pembolehubah EFI yang dikaitkan dengan konfigurasi LSA terpencil menggunakan bcdedit dan proses permulaan khas yang kecil.

Dari arahan segera dengan keistimewaan yang tinggi satu urutan dilaksanakan arahan untuk:

1. Pasang unit EFI sementara dengan mountvol dan salin SecConfig.efi ke laluan but Microsoft.
2. Buat entri pengecas sistem dengan bcdedit /create menunjuk ke arah itu SecConfig.efi.
3. Konfigurasikan jujukan but pengurus but supaya but sekali dengan pemuat khas itu.
4. Tambahkan pilihan pengecasan DISABLE-LSA-ISO untuk melumpuhkan konfigurasi LSA terpencil yang disimpan dalam UEFI.
5. Keluarkan unit EFI sementara sekali lagi.

Selepas melakukan langkah-langkah ini, peranti dimulakan semula.Sebelum sistem pengendalian bermula, mesej akan muncul yang menunjukkan bahawa tetapan UEFI telah diubah suai dan akan meminta pengesahan. Adalah penting untuk menerima mesej ini agar perubahan penyahaktifan berkuat kuasa.

Lumpuhkan Pengawal Kredensial pada mesin maya

Dalam kes mesin maya yang disambungkan kepada hos Hyper-VAdalah mungkin untuk menghalang VM daripada menggunakan VBS dan Pengawal Kredensial walaupun sistem pengendalian tetamu akan disediakan untuknya.

Daripada hos, menggunakan PowerShell, anda boleh menjalankan Perintah berikut akan mengecualikan mesin maya daripada keselamatan berasaskan virtualisasi:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Dengan mengaktifkan pilihan pengecualian iniVM akan berjalan tanpa perlindungan VBS dan, dengan lanjutan, tanpa Pengawal Kredensial, yang boleh berguna dalam persekitaran ujian atau semasa menjalankan sistem warisan dalam mesin maya.

Mengintegrasikan Pengawal Kredensial ke dalam AWS Nitro dan senario lain

Pengawal Kredensial juga tersedia dalam persekitaran awan seperti Amazon EC2, memanfaatkan seni bina selamat sistem AWS Nitro. Dalam konteks ini, VBS dan Pengawal Kredensial bergantung pada Nitro untuk menghalang kelayakan log masuk Windows daripada diekstrak daripada memori sistem pengendalian tetamu.

Untuk menggunakan Pengawal Kredensial pada tika Windows dalam EC2Untuk melancarkan contoh yang serasi, anda perlu memilih jenis contoh yang disokong dan AMI Windows prakonfigurasi yang termasuk sokongan TPM dan VBS maya. Ini boleh dilakukan daripada konsol Amazon EC2 atau daripada AWS CLI menggunakan run-instances atau dengan menggunakan PowerShell New-EC2Instancemenyatakan, sebagai contoh, imej gaya TPM-Windows_Server-2022-English-Full-Base.

Dalam sesetengah senario adalah perlu untuk melumpuhkan integriti memori (HVCI) sebelum mendayakan Pengawal Kredensial, dengan melaraskan dasar kumpulan yang berkaitan dengan "Perlindungan integriti kod berasaskan penvirtualan". Setelah pelarasan ini dibuat dan contoh dimulakan semula, Pengawal Kredensial boleh didayakan dan disahkan, seperti pada mesin Windows lain, dengan msinfo32.exe.

Had perlindungan dan aspek yang tidak dilindungi oleh Pengawal Tauliah

Walaupun Pengawal Tauliah mewakili lonjakan besar ke hadapan dalam perlindungan kelayakanIa bukan peluru perak yang menyelesaikan segala-galanya. Terdapat kes tertentu yang berada di luar skopnya, dan penting untuk mengetahui perkara ini untuk mengelakkan rasa selamat yang palsu.

Beberapa contoh perkara yang tidak dilindungi adalah:

• Perisian pihak ketiga yang menguruskan bukti kelayakan di luar mekanisme Windows standard.
• Akaun tempatan dan akaun Microsoft yang dikonfigurasikan pada komputer itu sendiri.
• Pangkalan data Direktori Aktif pada pengawal domain Windows Server.
• Saluran masuk kelayakan seperti pelayan get laluan Desktop Jauh.
• Perakam ketukan kekunci dan serangan fizikal terus ke atas pasukan.

Ia juga tidak menghalang penyerang dengan perisian hasad pada komputer daripada Ia menggunakan keistimewaan yang telah diberikan kepada kelayakan aktif. Iaitu, jika pengguna dengan keizinan tinggi menyambung ke sistem yang terjejas, penyerang boleh mengeksploitasi kebenaran tersebut untuk tempoh sesi, walaupun mereka tidak boleh mencuri cincang daripada memori yang dilindungi.

Dalam persekitaran dengan pengguna atau akaun bernilai tinggi (pentadbir domain, kakitangan IT yang mempunyai akses kepada sumber kritikal, dsb.), masih dinasihatkan untuk menggunakan peralatan khusus dan lapisan keselamatan tambahan lain, seperti pengesahan berbilang faktor, pembahagian rangkaian dan langkah anti-keylogger.

Pengawal Peranti, VBS dan hubungan dengan Pengawal Kredensial

Pengawal Peranti dan Pengawal Kredensial sering disebut bersama kerana kedua-duanya mengambil kesempatan daripada keselamatan berasaskan virtualisasi untuk mengukuhkan perlindungan sistem, walaupun mereka menyelesaikan masalah yang berbeza.

Pengawal Tauliah memberi tumpuan kepada melindungi kelayakan (NTLM, Kerberos, Pengurus Kredensial) mengasingkan mereka dalam LSA yang dilindungi. Ia tidak bergantung pada Device Guard, walaupun kedua-duanya berkongsi penggunaan ciri hipervisor dan perkakasan seperti TPM, but selamat dan IOMMU.

Pengawal Peranti, bagi pihaknya, ialah satu set ciri Penyelesaian perkakasan dan perisian membolehkan anda mengunci peranti supaya ia hanya boleh menjalankan aplikasi yang dipercayai yang ditakrifkan dalam dasar integriti kod. Ini menukar model tradisional (di mana segala-galanya berjalan melainkan disekat oleh perisian antivirus) kepada model di mana hanya aplikasi yang dibenarkan secara eksplisit dilaksanakan.

Kedua-dua ciri adalah sebahagian daripada senjata Windows Enterprise. Untuk melindungi daripada ancaman lanjutan, Device Guard bergantung pada VBS dan memerlukan pemandu untuk mematuhi HVCI, manakala Credential Guard menggunakan VBS untuk mengasingkan rahsia pengesahan. Bersama-sama, mereka menawarkan gabungan yang berkuasa: kod yang lebih dipercayai dan bukti kelayakan yang lebih dilindungi.

Sediakan Pengawal Kredensial dikonfigurasikan dengan betul Ini melibatkan mendapatkan salah satu aspek paling sensitif bagi mana-mana persekitaran Windows: kelayakan pengguna dan komputer. Memahami keperluannya, mengetahui cara mengaktifkannya dengan Intune, GPO, atau Pejabat Pendaftaran, mengetahui batasannya, dan mempunyai prosedur yang jelas untuk mengesahkan statusnya dan melumpuhkannya dalam kes luar biasa membolehkan anda memanfaatkan sepenuhnya teknologi ini tanpa menghadapi kejutan dalam pengeluaran.