Slik aktiverer du Microsoft Defender Credential Guard og Exploit Guard

Beskyttelse av legitimasjon i Windows og herding av systemet mot utnyttelser Det har blitt nesten obligatorisk i ethvert moderne forretningsmiljø. Angrep som Pass-the-Hash, Pass-the-Ticket eller misbruk av nulldagssårbarheter utnytter enhver oversikt i konfigurasjonen til å bevege seg sidelengs gjennom nettverket og ta kontroll over servere og arbeidsstasjoner i løpet av minutter.

I denne sammenhengen, Microsoft Defender Credential Guard og Exploit Guard-teknologier (sammen med Microsoft Defender-antivirusmotoren) er viktige komponenter i sikkerhetsstrategien i Windows 10, Windows 11 og Windows Server. I de følgende linjene vil du se, trinn for trinn og i detalj, hvordan de fungerer, kravene deres og hvordan du aktiverer eller deaktiverer dem riktig ved hjelp av Intune, gruppepolicy, registeret, PowerShell og andre verktøy, samtidig som du unngår unødvendig kompatibilitet.

Hva er Microsoft Defender Credential Guard, og hvorfor er det så viktig?

Windows Defender Credential Guard er en sikkerhetsfunksjon Denne funksjonen, som ble introdusert av Microsoft i Windows 10 Enterprise og Windows Server 2016, er avhengig av virtualiseringsbasert sikkerhet (VBS) for å isolere autentiseringshemmeligheter. I stedet for at den lokale sikkerhetsmyndigheten (LSA) direkte administrerer minnelegitimasjon, brukes en isolert LSA-prosess.LSAIso.exe) utført i et beskyttet miljø.

Takket være denne isolasjonen, Bare systemprogramvare med nødvendige rettigheter har tilgang til NTLM-hasher og Kerberos-billetter (TGT).Legitimasjon brukt av Credential Manager, lokale pålogginger og legitimasjon brukt i tilkoblinger som Eksternt skrivebord er ikke lenger tilgjengelig. All ondsinnet kode som prøver å lese minnet til en konvensjonell LSA-prosess direkte, vil oppdage at disse hemmelighetene er borte.

Denne tilnærmingen reduserer drastisk effektiviteten til klassiske verktøy etter utnyttelse, som f.eks. Mimikatz for Pass-the-Hash- eller Pass-the-Ticket-angrepDette er fordi hashene og billettene som tidligere var enkle å trekke ut, nå ligger i en isolert beholder i minnet som skadelig programvare ikke kan konsultere så lett, selv om den har administratorrettigheter på det kompromitterte systemet.

Det er verdt å presisere det Credential Guard er ikke det samme som Device GuardMens Credential Guard beskytter legitimasjon og hemmeligheter, fokuserer Device Guard (og relaterte applikasjonskontrollteknologier) på å forhindre at uautorisert kode kjører på datamaskinen. De er komplementære, men de løser forskjellige problemer.

Likevel, Credential Guard er ikke en mirror cure mot Mimikatz eller mot interne angripere.En angriper som allerede kontrollerer et endepunkt, kan fange opp legitimasjon når brukeren skriver den inn (for eksempel med en keylogger eller ved å injisere kode i autentiseringsprosessen). Det hindrer heller ikke en ansatt med legitim tilgang til visse data i å kopiere eller eksfiltrere den; Credential Guard beskytter legitimasjon i minnet, ikke brukeratferd.

Credential Guard er aktivert som standard i Windows 11 og Windows Server

I moderne versjoner av Windows aktiveres Credential Guard automatisk i mange tilfeller.Fra og med Windows 11 22H2 og Windows Server 2025 vil enheter som oppfyller visse krav til maskinvare, fastvare og konfigurasjon, motta VBS og Credential Guard aktivert som standard, uten at administratoren trenger å gjøre noe.

I disse systemene, Standardaktiveringen utføres uten UEFI-låsingDette betyr at selv om Credential Guard er aktivert som standard, kan administratoren senere deaktivere den eksternt via gruppepolicy, Intune eller andre metoder, fordi låsealternativet ikke er aktivert i fastvaren.

Når Credential Guard er aktivert, og virtualiseringsbasert sikkerhet (VBS) er også aktivert.VBS er komponenten som skaper det beskyttede miljøet der LSA-er er isolert og der hemmeligheter lagres, så begge funksjonene går hånd i hånd i disse versjonene.

En viktig nyanse er at Verdiene som eksplisitt er konfigurert av administratoren, gjelder alltid. over standardinnstillingene. Hvis Credential Guard er aktivert eller deaktivert via Intune, GPO eller registeret, overskriver den manuelle tilstanden standardaktiveringen etter at datamaskinen starter på nytt.

Videre, hvis Én enhet hadde Credential Guard eksplisitt deaktivert før oppgradering til en versjon av Windows som aktiverer det som standard.Enheten vil respektere denne deaktiveringen etter oppdateringen og vil ikke slå seg på automatisk, med mindre konfigurasjonen endres på nytt ved hjelp av et av administrasjonsverktøyene.

Krav til system, maskinvare, fastvare og lisenser

Slik at Credential Guard kan tilby reell beskyttelseUtstyret må oppfylle visse krav til maskinvare, fastvare og programvare. Jo bedre plattformens muligheter er, desto høyere er det oppnåelige sikkerhetsnivået.

Først, En 64-bit CPU er obligatorisk og kompatibilitet med virtualiseringsbasert sikkerhet. Dette betyr at prosessoren og hovedkortet må støtte de aktuelle virtualiseringsutvidelsene, samt aktivering av disse funksjonene i UEFI/BIOS.

Et annet kritisk element er sikker oppstart (Secure Boot)Sikker oppstart sikrer at systemet starter ved å laste inn kun klarert, signert fastvare og programvare. Sikker oppstart brukes av VBS og Credential Guard for å forhindre at en angriper endrer oppstartskomponenter for å deaktivere eller manipulere beskyttelsen.

Selv om det ikke er strengt tatt obligatorisk, anbefales det på det sterkeste å ha en. TPM-versjon 1.2 eller 2.0 av Trusted Platform Module (TPM)Enten det er diskret eller fastvarebasert, tillater TPM at krypteringshemmeligheter og -nøkler kobles til maskinvaren, noe som legger til et ekstra lag som kompliserer saken alvorlig for alle som prøver å bære eller gjenbruke disse hemmelighetene på en annen enhet.

Det er også sterkt anbefalt å aktivere UEFI-lås for Credential GuardDette hindrer alle med systemtilgang i å deaktivere beskyttelsen ganske enkelt ved å endre en registernøkkel eller policy. Med låsen aktiv krever deaktivering av Credential Guard en mye mer kontrollert og eksplisitt prosedyre.

Innen lisensområdet, Credential Guard er ikke tilgjengelig i alle utgaver av WindowsVanligvis støttes det i bedrifts- og utdanningsutgaver: Windows Enterprise og Windows Education har støtte, mens Windows Pro eller Pro Education/SE ikke inkluderer det som standard.

den Bruksrettigheter for Credential Guard er knyttet til visse abonnementslisenser., som for eksempel Windows Enterprise E3 og E5, samt Windows Education A3 og A5. Pro-utgavene har, når det gjelder lisensiering, ikke rett til denne avanserte funksjonaliteten, selv om de kjører den samme binærfilen for operativsystemet.

Applikasjonskompatibilitet og låste funksjoner

Før du distribuerer Credential Guard i massevisDet anbefales å grundig gjennomgå applikasjoner og tjenester som er avhengige av spesifikke autentiseringsmekanismer. Ikke all eldre programvare fungerer bra med disse beskyttelsene, og noen protokoller er direkte blokkert.

Når Credential Guard er aktivert, deaktiveres funksjoner som anses som risikable, slik at Applikasjoner som er avhengige av dem, slutter å fungere som de skalDisse er kjent som applikasjonskrav: forhold som må unngås hvis du vil fortsette å bruke Credential Guard uten problemer.

Blant funksjonene som De er blokkert direkte inkluderer:

• Kompatibilitet med Kerberos DES-kryptering.
• Delegering av Kerberos uten begrensninger.
• Utvinning av TGT fra Kerberos fra LSA.
• NTLMv1-protokollen.

Videre Det finnes funksjoner som, selv om de ikke er helt forbudte, innebærer ytterligere risikoer hvis brukt i kombinasjon med Credential Guard. Applikasjoner som er avhengige av implisitt autentisering, legitimasjonsdelegering, MS-CHAPv2 eller CredSSP er spesielt sensitive, ettersom de kan eksponere legitimasjon på en usikker måte hvis de ikke er nøye konfigurert.

De har også blitt observert Ytelsesproblemer i applikasjoner som prøver å binde eller samhandle direkte med den isolerte prosessen LSAIso.exeFordi denne prosessen er beskyttet og isolert, kan gjentatte tilgangsforsøk øke overhead eller forårsake forsinkelser i bestemte scenarier.

Det gode er det moderne tjenester og protokoller som bruker Kerberos som standardFunksjoner som tilgang til delte SMB-ressurser eller et riktig konfigurert eksternt skrivebord fortsetter å fungere normalt og påvirkes ikke av aktivering av Credential Guard, så lenge de ikke er avhengige av de eldre funksjonene som er nevnt ovenfor.

Slik aktiverer du Credential Guard: Intune, GPO og registeret

Den ideelle måten å aktivere Credential Guard på avhenger av størrelsen og administrasjonen av miljøet ditt.For organisasjoner med moderne administrasjonssystemer er Microsoft Intune (MDM) svært praktisk, mens gruppepolicy fortsatt er vanlig i tradisjonelle Active Directory-domener. For mer presise justeringer eller spesifikke automatiseringer er registeret fortsatt et alternativ.

Først og fremst er det viktig å forstå at Credential Guard må aktiveres før datamaskinen kobles til domenet. eller før en domenebruker logger seg på for første gang. Hvis den aktiveres senere, kan bruker- og maskinhemmeligheter allerede være kompromittert, noe som reduserer den faktiske fordelen med beskyttelsen.

Generelt sett kan du aktivere Credential Guard ved å:

• Microsoft Intune / MDM-administrasjon.
• Gruppepolicy (GPO) i Active Directory eller lokal policyredigerer.
• Direkte modifisering av Windows-registeret.

Når du bruker noen av disse innstillingene, Ikke glem at det er obligatorisk å starte enheten på nytt. For at endringene skal tre i kraft, initialiseres Credential Guard, VBS og alle isolasjonskomponenter ved oppstart, så det er ikke nok å bare endre policyen.

Aktiver Credential Guard med Microsoft Intune

Hvis du administrerer enhetene dine med Intune, har du to tilnærminger Hovedalternativer: Bruk Endpoint Security-maler eller bruk en tilpasset policy som konfigurerer DeviceGuard CSP via OMA-URI.

På Intune-portalen, Du kan gå til «Endepunktsikkerhet > Kontobeskyttelse» og opprett en ny kontobeskyttelsespolicy. Velg plattformen «Windows 10 og nyere» og profiltypen «Kontobeskyttelse» (i forskjellige varianter, avhengig av tilgjengelig versjon).

Når du konfigurerer innstillingene, Sett alternativet «Slå på Credential Guard» til «Aktiver med UEFI-lås» Hvis du vil forhindre at beskyttelsen enkelt kan deaktiveres eksternt, er Credential Guard «forankret» i fastvaren, noe som hever nivået av fysisk og logisk sikkerhet for enheten.

Når parameterne er definert, Tilordne policyen til en gruppe som inneholder enhetene eller brukerobjektene du vil beskytte.Policyen vil bli brukt når enheten synkroniseres med Intune, og etter tilsvarende omstart vil Credential Guard bli aktivert.

Hvis du foretrekker å kontrollere de små detaljene, Du kan bruke en tilpasset policy basert på DeviceGuard CSPFor å gjøre dette er det nødvendig å opprette OMA-URI-oppføringer med riktige navn og verdier, for eksempel:

Konfigurasjon
navnAktiver virtualiseringsbasert sikkerhet OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Datatype: int Valor: 1
navnKonfigurasjon av Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Datatype: int Valor: Aktivert med UEFI-lås: 1 Aktivert uten blokkering: 2

Etter at du har brukt denne tilpassede policyen og startet på nytt, Enheten starter med VBS og Credential Guard aktive., og systemlegitimasjonen vil bli beskyttet i den isolerte beholderen.

Konfigurer Credential Guard ved hjelp av gruppepolicy

I miljøer med tradisjonell Active DirectoryDen mest naturlige måten å aktivere Credential Guard i bulk på er gjennom gruppepolicyobjekter (GPO-er). Du kan gjøre dette enten fra den lokale policyredigereren på en enkelt datamaskin eller fra gruppepolicybehandleren på domenenivå.

For å konfigurere policyen, åpne den tilhørende GPO-editoren og naviger til banen Datamaskinkonfigurasjon > Administrative maler > System > EnhetsbeskyttelseI den delen finner du policyen «Aktiver virtualiseringsbasert sikkerhet».

Dette direktivet fastsetter i Velg «Aktivert» og velg ønskede innstillinger for Credential Guard fra rullegardinlisten.Du kan velge mellom «Aktivert med UEFI-lås» eller «Aktivert uten lås», avhengig av hvilket fysisk beskyttelsesnivå du vil bruke.

Når GPO-en er konfigurert, koble den til organisasjonsenheten eller domenet der måldatamaskinene befinner segDu kan finjustere applikasjonen ved hjelp av sikkerhetsgruppefiltrering eller WMI-filtre, slik at den bare gjelder for bestemte typer enheter (for eksempel bare for bærbare datamaskiner fra bedriften med kompatibel maskinvare).

Når maskinene mottar direktivet og starter på nytt, Credential Guard aktiveres i henhold til GPO-konfigurasjonen., og utnytter domeneinfrastrukturen til å distribuere den på en standardisert måte.

Aktiver Credential Guard ved å endre Windows-registeret

Hvis du trenger svært detaljert kontroll eller for å automatisere distribusjon med skriptDu kan konfigurere Credential Guard direkte ved hjelp av registernøkler. Denne metoden krever presisjon, fordi en feil verdi kan føre til at systemet kommer i en uventet tilstand.

For at virtualiseringsbasert sikkerhet og Credential Guard skal bli aktive, Du må opprette eller endre flere oppføringer under bestemte stierHovedpunktene er:

Konfigurasjon
rute: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard navn: EnableVirtualizationBasedSecurity Tipo: REG_DWORD Valor: 1 (aktiverer virtualiseringsbasert sikkerhet)
rute: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard navn: RequirePlatformSecurityFeatures Tipo: REG_DWORD Valor: 1 (ved bruk av sikker oppstart) 3 (sikker oppstart + DMA-beskyttelse)
rute: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa navn: LsaCfgFlags Tipo: REG_DWORD Valor: 1 (aktiverer Credential Guard med UEFI-lås) 2 (aktiverer Credential Guard uten låsing)

Etter å ha brukt disse verdiene, Start datamaskinen på nytt slik at Windows-hypervisoren og den isolerte LSA-prosessen aktiveresUten den tilbakestillingen vil ikke registerendringene faktisk aktivere minnebeskyttelse.

Slik sjekker du om Credential Guard er aktivert og fungerer

Se om prosessen LsaIso.exe Den vises i Oppgavebehandling. Det kan gi en pekepinn, men Microsoft anser det ikke som en pålitelig metode for å bekrefte at Credential Guard er operativ. Mer robuste prosedyrer finnes, basert på innebygde systemverktøy.

Blant de anbefalte alternativene for Sjekk statusen til Credential Guard Disse inkluderer Systeminformasjon, PowerShell og Hendelsesvisning. Hver metode tilbyr et annet perspektiv, så det er verdt å gjøre seg kjent med dem alle.

Den mest visuelle metoden er den som Systeminformasjon (msinfo32.exe)Fra Start-menyen kjører du ganske enkelt dette verktøyet, velger «Systemsammendrag» og merker av i delen «Kjører virtualiseringsbaserte sikkerhetstjenester» for å bekrefte at «Credential Guard» vises som en aktiv tjeneste.

Hvis du foretrekker noe som kan skrives, PowerShell er din allierteFra en konsoll med forhøyede rettigheter kan du kjøre følgende kommando:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Utdataene fra denne kommandoen indikerer, ved hjelp av numeriske koder, om Er Credential Guard aktivert eller ikke på den maskinenEn verdi 0 betyr at Credential Guard er deaktivert.Mens 1 indikerer at den er aktivert og kjører. som en del av virtualiseringsbaserte sikkerhetstjenester.

Til slutt, den Hendelsesvisningen lar deg se gjennom den historiske oppførselen til Credential Guard.Åpning eventvwr.exe Ved å navigere til «Windows-logger > System» kan du filtrere etter hendelseskilden «WinInit» og finne meldinger relatert til initialiseringen av Device Guard- og Credential Guard-tjenestene, noe som er nyttig for periodiske revisjoner.

Deaktiver Credential Guard og administrer UEFI-låsing

Selv om den generelle anbefalingen er å holde Credential Guard aktivert På alle systemer som støtter det, kan det i noen svært spesifikke scenarier være nødvendig å deaktivere det, enten for å løse inkompatibiliteter med eldre applikasjoner eller for å utføre visse diagnostiske oppgaver.

Den nøyaktige prosedyren for Deaktivering av Credential Guard avhenger av hvordan den opprinnelig ble konfigurert.Hvis den ble aktivert uten UEFI-låsing, tilbakestill bare Intune-, GPO- eller registerpolicyene og start maskinen på nytt. Hvis den imidlertid ble aktivert med UEFI-låsing, kreves det ytterligere trinn fordi noe av konfigurasjonen er lagret i fastvarens EFI-variabler.

I det spesifikke tilfellet av Credential Guard aktivert med UEFI-låsFørst må du følge standard deaktiveringsprosess (tilbakestille direktiver eller registerverdier) og deretter fjerne de relaterte EFI-variablene ved hjelp av bcdedit og verktøyet SecConfig.efi med et avansert skript.

Den typiske flyten innebærer montere en midlertidig EFI-disk, kopiere SecConfig.efi, opprett en ny laderinngang med bcdeditKonfigurer alternativene dine for å deaktivere isolert LSA og angi en midlertidig oppstartssekvens gjennom Windows oppstartsbehandling, samt avmontere harddisken på slutten av prosessen.

Etter at du har startet datamaskinen på nytt med denne konfigurasjonen, Før Windows starter, vil det vises en melding som advarer om en endring i UEFI.Det er obligatorisk å bekrefte denne meldingen for at endringene skal være vedvarende og for at Credential Guard EFI-låsen skal være fullstendig deaktivert i fastvaren.

Hvis det du trenger er Deaktiver Credential Guard på en bestemt virtuell Hyper-V-maskinDu kan gjøre dette fra verten, uten å berøre gjesten, ved hjelp av PowerShell. En typisk kommando ville være:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Med den justeringen, den virtuelle maskinen Den slutter å bruke VBS og slutter derfor å kjøre Credential Guard selv om gjesteoperativsystemet støtter funksjonen, noe som kan være nyttig i svært spesifikke laboratorie- eller testmiljøer.

Credential Guard på virtuelle Hyper-V-maskiner

Credential Guard er ikke begrenset til fysisk utstyrDen kan også beskytte legitimasjonsinformasjon i virtuelle maskiner som kjører Windows i Hyper-V-miljøer, og gir et isolasjonsnivå som ligner på det som er tilgjengelig i bare-metal-maskinvare.

I disse situasjonene, Credential Guard beskytter hemmeligheter mot angrep som stammer fra selve den virtuelle maskinen.Med andre ord, hvis en angriper kompromitterer systemprosesser i den virtuelle maskinen, vil VBS-beskyttelsen fortsette å isolere LSA-er og redusere eksponeringen av hasher og billetter.

Det er imidlertid viktig å være tydelig på grensen: Credential Guard kan ikke forsvare den virtuelle maskinen mot angrep som stammer fra verten med utvidede rettigheter. Hypervisoren og vertssystemet har effektivt full kontroll over de virtuelle maskinene, slik at en ondsinnet vertsadministrator kan omgå disse barrierene.

For at Credential Guard skal fungere riktig i denne typen distribusjoner, Hyper-V-verten må ha en IOMMU (inndata/utdata-minnehåndteringsenhet) som tillater isolerende tilgang til minne og enheter, og virtuelle maskiner må være av Generasjon 2, med UEFI-fastvare, som aktiverer sikker oppstart og andre nødvendige funksjoner.

Med disse kravene på plass, Opplevelsen av å bruke Credential Guard på virtuelle maskiner er veldig lik den på en fysisk maskin.inkludert de samme aktiveringsmetodene (Intune, GPO, Registry) og verifiseringsmetoder (msinfo32, PowerShell, Event Viewer).

Exploit Guard og Microsoft Defender: Aktiver og administrer generell beskyttelse

Ved siden av Credential Guard er Windows-sikkerhetsøkosystemet avhengig av Microsoft Defender Antivirus. og i teknologier som Exploit Guard, som inkluderer regler for reduksjon av angrepsoverflater, nettverksbeskyttelse, mappetilgangskontroll og andre funksjoner som tar sikte på å bremse skadelig programvare og redusere utnyttelser.

I mange lag, Microsoft Defender-antivirusprogrammet er forhåndsinstallert og aktivert som standard I Windows 8, Windows 10 og Windows 11 er den tilgjengelig, men det er relativt vanlig å finne den deaktivert på grunn av tidligere retningslinjer, installasjon av tredjepartsløsninger eller manuelle endringer i registeret.

Til Aktiver Microsoft Defender Antivirus ved hjelp av lokal gruppepolicyDu kan åpne Start-menyen, søke etter «Gruppepolicy» og velge «Rediger gruppepolicy». I «Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > Windows Defender Antivirus» ser du alternativet «Slå av Windows Defender Antivirus».

Hvis denne policyen er satt til «Aktivert», betyr det at antivirusprogrammet er tvangsdeaktivert. For å gjenopprette funksjonaliteten, sett alternativet til «Deaktivert» eller «Ikke konfigurert».Bruk endringene og lukk redigeringsprogrammet. Tjenesten vil kunne starte på nytt etter neste policyoppdatering.

Hvis den gangen Forsvareren ble eksplisitt deaktivert fra registeretDu må sjekke ruten HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender og finn verdien DisableAntiSpywareVed hjelp av Registerredigering kan du åpne den og sette "Verdidata" til 0Godtar endringen slik at antivirusprogrammet kan fungere igjen.

Etter disse justeringene, gå til «Start > Innstillinger > Oppdatering og sikkerhet > Windows Defender» (i nyere versjoner, «Windows-sikkerhet») og Kontroller at bryteren «Sanntidsbeskyttelse» er aktivertHvis den fortsatt er slått av, slå den på manuelt for å sikre at antivirusforsvaret starter med systemet.

For maksimal beskyttelse anbefales det Aktiver både sanntidsbeskyttelse og skybasert beskyttelseFra programmet «Windows-sikkerhet» går du til «Virus- og trusselbeskyttelse > Innstillinger for virus- og trusselbeskyttelse > Administrer innstillinger» og aktiverer de tilsvarende bryterne.

Hvis disse alternativene ikke er synlige, er det sannsynlig at En gruppepolicy skjuler antivirusbeskyttelsesdelen. I Windows-sikkerhet, merk av for «Datamaskinkonfigurasjon > Administrative maler > Windows-komponenter > Windows-sikkerhet > Virus- og trusselbeskyttelse» og sørg for at policyen «Skjul virus- og trusselbeskyttelsesområde» er satt til «Deaktivert», og endringene implementeres.

Det er like viktig Hold virusdefinisjonene oppdatert Dette lar Microsoft Defender oppdage nylige trusler. Fra Windows Sikkerhet, under «Virus- og trusselbeskyttelse», i «Oppdateringer for trusselbeskyttelse», klikker du på «Søk etter oppdateringer» og tillat nedlastingen av de nyeste signaturene.

Hvis du foretrekker kommandolinjen, er det også et alternativ. Du kan starte Microsoft Defender-tjenesten fra CMDTrykk Windows + R, skriv inn cmd Kjør deretter følgende ved ledeteksten (helst med utvidede rettigheter):

sc start WinDefend

Med denne kommandoen, Hovedantivirustjenesten starter opp forutsatt at det ikke finnes noen tilleggspolicyer eller blokkeringer som forhindrer det, slik at du raskt kan bekrefte om motoren starter uten feil.

For å finne ut om datamaskinen din bruker Microsoft Defender, går du bare til «Start > Innstillinger > System» og åpner deretter «Kontrollpanel». I delen «Sikkerhet og vedlikehold» finner du delen «Systemsikkerhet og beskyttelse», der Du vil se et sammendrag av antivirusbeskyttelsesstatusen og andre aktive tiltak. i laget.

ved å kombinere Credential Guard for å beskytte legitimasjonsinformasjon i minnet Med riktig konfigurert Microsoft Defender, Exploit Guard og passende herderegler oppnås et betydelig høyere sikkerhetsnivå mot tyveri av legitimasjon, avansert skadelig programvare og lateral bevegelse innenfor domenet. Selv om det alltid er en kostnad forbundet med kompatibilitet med eldre protokoller og applikasjoner, kompenserer den generelle sikkerhetsforbedringen mer enn for dette i de fleste organisasjoner.