Cum se activează Microsoft Defender Credential Guard și Exploit Guard

Protejarea acreditărilor în Windows și consolidarea sistemului împotriva exploit-urilor A devenit aproape obligatoriu în orice mediu de afaceri modern. Atacuri precum Pass-the-Hash, Pass-the-Ticket sau abuzul de vulnerabilități zero-day exploatează orice omisiune din configurație pentru a se deplasa lateral prin rețea și a prelua controlul serverelor și stațiilor de lucru în câteva minute.

În acest context, Tehnologiile Microsoft Defender Credential Guard și Exploit Guard (împreună cu motorul antivirus Microsoft Defender) sunt componente cheie ale strategiei de securitate din Windows 10, Windows 11 și Windows Server. În rândurile următoare, veți vedea, pas cu pas și în detaliu, cum funcționează acestea, cerințele lor și cum să le activați sau să le dezactivați corect folosind Intune, Politica de grup, Registrul, PowerShell și alte instrumente, evitând în același timp întreruperea inutilă a compatibilității.

Ce este Microsoft Defender Credential Guard și de ce este atât de important?

Windows Defender Credential Guard este o caracteristică de securitate Introdusă de Microsoft în Windows 10 Enterprise și Windows Server 2016, această caracteristică se bazează pe securitatea bazată pe virtualizare (VBS) pentru a izola secretele de autentificare. În loc ca autoritatea de securitate locală (LSA) să gestioneze direct acreditările în memorie, se utilizează un proces LSA izolat.LSAIso.exe) executată într-un mediu protejat.

Datorită acestei izolări, Numai software-ul de sistem cu privilegiile corespunzătoare poate accesa hash-urile NTLM și tichetele Kerberos (TGT).Acreditările utilizate de Credential Manager, autentificările locale și acreditările utilizate în conexiuni precum Desktop la distanță nu mai sunt disponibile. Orice cod rău intenționat care încearcă să citească direct memoria unui proces LSA convențional va constata că aceste secrete au dispărut.

Această abordare reduce drastic eficacitatea instrumentelor clasice de post-exploatare, cum ar fi Mimikatz pentru atacuri Pass-the-Hash sau Pass-the-TicketAcest lucru se datorează faptului că hash-urile și tichetele care anterior erau ușor de extras se află acum într-un container izolat în memorie, pe care malware-ul nu îl poate consulta atât de ușor, chiar dacă are privilegii de administrator pe sistemul compromis.

Merită să clarificăm asta Credential Guard nu este același lucru cu Device GuardÎn timp ce Credential Guard protejează acreditările și secretele, Device Guard (și tehnologiile de control al aplicațiilor aferente) se concentrează pe prevenirea rulării codului neautorizat pe computer. Sunt complementare, dar rezolvă probleme diferite.

Chiar și așa, Credential Guard nu este o soluție miraculoasă împotriva Mimikatz sau împotriva atacatorilor interni.Un atacator care controlează deja un endpoint ar putea captura acreditările pe măsură ce utilizatorul le introduce (de exemplu, cu un keylogger sau prin injectarea de cod în procesul de autentificare). De asemenea, nu împiedică un angajat cu acces legitim la anumite date să le copieze sau să le exfiltreze; Credential Guard protejează acreditările din memorie, nu comportamentul utilizatorului.

Credential Guard activat în mod implicit în Windows 11 și Windows Server

În versiunile moderne de Windows, Credential Guard este activat automat în multe cazuri.Începând cu Windows 11 22H2 și Windows Server 2025, dispozitivele care îndeplinesc anumite cerințe de hardware, firmware și configurare primesc VBS și Credential Guard activate în mod implicit, fără ca administratorul să fie nevoit să facă nimic.

În aceste sisteme, Activarea implicită se face fără blocarea UEFIAceasta înseamnă că, deși Credential Guard este activat în mod implicit, administratorul îl poate dezactiva ulterior de la distanță prin intermediul politicii de grup, Intune sau al altor metode, deoarece opțiunea de blocare nu a fost activată în firmware.

Când Credential Guard este activat, iar securitatea bazată pe virtualizare (VBS) este, de asemenea, activată.VBS este componenta care creează mediul protejat în care sunt izolate LSA-urile și unde sunt stocate secretele, astfel încât ambele caracteristici merg mână în mână în aceste versiuni.

O nuanță importantă este că Valorile configurate explicit de administrator prevalează întotdeauna. peste setările implicite. Dacă Credential Guard este activat sau dezactivat prin Intune, GPO sau Registry, starea manuală respectivă suprascrie activarea implicită după repornirea computerului.

Mai mult, dacă Un dispozitiv avea Credential Guard dezactivat explicit înainte de actualizarea la o versiune de Windows care îl activează în mod implicit.Dispozitivul va respecta această dezactivare după actualizare și nu se va porni automat, decât dacă configurația sa este modificată din nou folosind unul dintre instrumentele de gestionare.

Cerințe de sistem, hardware, firmware și licențiere

Pentru ca Credential Guard să poată oferi o protecție realăEchipamentul trebuie să îndeplinească anumite cerințe hardware, firmware și software. Cu cât platformele au capacități mai bune, cu atât nivelul de securitate care poate fi atins este mai ridicat.

În primul rând, Un procesor pe 64 de biți este obligatoriu și compatibilitate cu securitatea bazată pe virtualizare. Aceasta înseamnă că procesorul și placa de bază trebuie să suporte extensiile de virtualizare corespunzătoare, precum și activarea acestor funcții în UEFI/BIOS.

Un alt element critic este pornire securizată (pornire securizată)Secure Boot asigură pornirea sistemului prin încărcarea doar a firmware-ului și software-ului semnat și de încredere. Secure Boot este utilizat de VBS și Credential Guard pentru a împiedica un atacator să modifice componentele de boot pentru a dezactiva sau manipula protecția.

Deși nu este strict obligatoriu, a avea unul este insistent recomandat. Modulul Trusted Platform (TPM) versiunea 1.2 sau 2.0Indiferent dacă este discret sau bazat pe firmware, TPM permite ca secretele și cheile de criptare să fie conectate la hardware, adăugând un nivel suplimentar care complică serios lucrurile pentru oricine încearcă să transporte sau să reutilizeze aceste secrete pe un alt dispozitiv.

De asemenea, este foarte recomandabil să activați Blocare UEFI pentru Credential GuardAcest lucru împiedică pe oricine are acces la sistem să dezactiveze protecția prin simpla modificare a unei chei de registry sau a unei politici. Cu blocarea activă, dezactivarea Credential Guard necesită o procedură mult mai controlată și explicită.

În domeniul licențierii, Credential Guard nu este disponibil în toate edițiile de WindowsÎn general, este acceptat în edițiile Enterprise și Education: Windows Enterprise și Windows Education au suport, în timp ce Windows Pro sau Pro Education/SE nu îl includ în mod implicit.

L Drepturile de utilizare a Credential Guard sunt legate de anumite licențe de abonament, cum ar fi Windows Enterprise E3 și E5, precum și Windows Education A3 și A5. Edițiile Pro, din punct de vedere al licențierii, nu au dreptul la această funcționalitate avansată, chiar dacă rulează aceeași versiune binară a sistemului de operare.

Compatibilitatea aplicațiilor și funcțiile blocate

Înainte de implementarea Credential Guard în masăEste recomandabil să examinați cu atenție aplicațiile și serviciile care se bazează pe mecanisme de autentificare specifice. Nu toate programele software vechi funcționează bine cu aceste protecții, iar unele protocoale sunt blocate direct.

Când este activată Credential Guard, funcțiile considerate riscante sunt dezactivate, astfel încât Aplicațiile care depind de ele nu mai funcționează corectAcestea sunt cunoscute sub numele de cerințe ale aplicației: condiții care trebuie evitate dacă doriți să continuați să utilizați Credential Guard fără incidente.

Printre caracteristicile care Sunt blocate direct iesi in evidenta:

• Compatibilitate cu criptarea Kerberos DES.
• Delegarea Kerberos fără restricții.
• Extragerea TGT din Kerberos din LSA.
• Protocolul NTLMv1.

În plus, Există caracteristici care, deși nu sunt complet interzise, ​​implică riscuri suplimentare dacă este utilizat în combinație cu Credential Guard. Aplicațiile care se bazează pe autentificare implicită, delegarea acreditărilor, MS-CHAPv2 sau CredSSP sunt deosebit de sensibile, deoarece pot expune în mod nesigur acreditările dacă nu sunt configurate cu atenție.

De asemenea, au fost observate probleme de performanță în aplicațiile care încearcă să se lege sau să interacționeze direct cu procesul izolat LSAIso.exeDeoarece acest proces este protejat și izolat, orice încercări repetate de acces pot adăuga costuri suplimentare sau pot cauza încetiniri în anumite scenarii.

Lucrul bun este că servicii și protocoale moderne care utilizează Kerberos ca standardFuncții precum accesul la resurse partajate SMB sau un Desktop la distanță configurat corect continuă să funcționeze normal și nu sunt afectate de activarea Credential Guard, atâta timp cât nu depind de funcțiile vechi menționate mai sus.

Cum se activează Credential Guard: Intune, GPO și Registry

Modul ideal de a activa Credential Guard depinde de dimensiunea și modul de gestionare a mediului dumneavoastră.Pentru organizațiile cu sisteme de management moderne, Microsoft Intune (MDM) este foarte convenabil, în timp ce în domeniile tradiționale Active Directory, Group Policy este încă utilizată în mod obișnuit. Pentru ajustări mai precise sau automatizări specifice, Registry rămâne o opțiune.

În primul rând, este esențial să înțelegem că Credential Guard trebuie activat înainte de a adăuga computerul la domeniu. sau înainte ca un utilizator de domeniu să se conecteze pentru prima dată. Dacă sunt activate ulterior, secretele utilizatorului și ale mașinii pot fi deja compromise, reducând beneficiul real al protecției.

În termeni generali, puteți activa Credential Guard prin:

• Management Microsoft Intune / MDM.
• Politica de grup (GPO) în Active Directory sau în editorul de politici locale.
• Modificare directă a Registrului Windows.

Când aplicați oricare dintre aceste setări, Nu uitați că repornirea dispozitivului este obligatorie. Pentru ca modificările să aibă efect, Credential Guard, VBS și toate componentele de izolare sunt inițializate la pornire, așadar simpla modificare a politicii nu este suficientă.

Activarea Credential Guard cu Microsoft Intune

Dacă vă gestionați dispozitivele cu Intune, aveți două abordări Opțiuni principale: Utilizați șabloane Endpoint Security sau utilizați o politică personalizată care configurează DeviceGuard CSP prin OMA-URI.

Pe portalul Intune, poți accesa „Securitate terminal > Protecție cont” și creați o nouă politică de protecție a contului. Selectați platforma „Windows 10 și versiuni ulterioare” și tipul de profil „Protecție cont” (în diferitele sale variante, în funcție de versiunea disponibilă).

La configurarea setărilor, Setați opțiunea „Activați protecția acreditărilor” la „Activați cu blocarea UEFI” Dacă doriți să preveniți dezactivarea ușoară a protecției de la distanță, Credential Guard este „ancorat” în firmware, ridicând nivelul de securitate fizică și logică al dispozitivului.

Odată definiți parametrii, Atribuiți politica unui grup care conține dispozitivele sau obiectele utilizator pe care doriți să le protejați.Politica va fi aplicată atunci când dispozitivul se sincronizează cu Intune și, după repornirea corespunzătoare, se va activa Credential Guard.

Dacă preferi să controlezi detaliile fine, Puteți utiliza o politică personalizată bazată pe CSP-ul DeviceGuardPentru a face acest lucru, este necesar să creați intrări OMA-URI cu numele și valorile corespunzătoare, de exemplu:

configurație
numeActivați securitatea bazată pe virtualizare OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Tip de date:int bravură: 1
numeConfigurarea Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Tip de date:int bravură: Activat cu blocarea UEFI: 1 Activat fără blocare: 2

După aplicarea acestei politici personalizate și repornirea, Dispozitivul va porni cu VBS și Credential Guard active., iar acreditările sistemului vor fi protejate în containerul izolat.

Configurați Credential Guard folosind politica de grup

În medii cu Active Directory tradiționalCea mai naturală modalitate de a activa Credential Guard în bloc este prin intermediul obiectelor de politică de grup (GPO). Puteți face acest lucru fie din editorul de politici locale de pe un singur computer, fie din Managerul de politici de grup la nivel de domeniu.

Pentru a configura politica, deschideți editorul GPO corespunzător și navigați la calea Configurare computer > Șabloane administrative > Sistem > Protecție dispozitivÎn acea secțiune veți găsi politica „Activați securitatea bazată pe virtualizare”.

Această directivă stabilește în Selectați „Activat” și alegeți setările dorite pentru Credential Guard din lista derulantă.Puteți alege între „Activat cu blocare UEFI” sau „Activat fără blocare”, în funcție de nivelul de protecție fizică pe care doriți să îl aplicați.

Odată ce GPO-ul este configurat, conectați-l la unitatea organizațională sau domeniul în care se află computerele țintăPuteți ajusta fin aplicarea sa utilizând filtrarea grupurilor de securitate sau filtrele WMI, astfel încât să se aplice doar anumitor tipuri de dispozitive (de exemplu, doar laptopurilor corporative cu hardware compatibil).

Când mașinile primesc directiva și repornesc, Credential Guard va fi activat conform configurației GPO., utilizând infrastructura domeniului pentru a o implementa într-un mod standardizat.

Activați Credential Guard prin modificarea Registrului Windows

Dacă aveți nevoie de un control foarte granular sau de a automatiza implementarea cu scripturiPuteți configura Credential Guard direct folosind cheile de registry. Această metodă necesită precizie, deoarece o valoare incorectă poate lăsa sistemul într-o stare neașteptată.

Pentru ca securitatea bazată pe virtualizare și Credential Guard să devină active, Trebuie să creați sau să modificați mai multe intrări sub anumite căiPunctele cheie sunt:

configurație
traseu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nume: EnableVirtualizationBasedSecurity Tip: REG_DWORD bravură: 1 (permite securitatea bazată pe virtualizare)
traseu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard nume: RequirePlatformSecurityFeatures Tip: REG_DWORD bravură: 1 (folosind bootarea securizată) 3 (bootare securizată + protecție DMA)
traseu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nume: LsaCfgFlags Tip: REG_DWORD bravură: 1 (activează Credential Guard cu blocare UEFI) 2 (activează Credential Guard fără blocare)

După aplicarea acestor valori, Reporniți computerul astfel încât hypervisorul Windows și procesul LSA izolat să intre în acțiuneFără acea resetare, modificările din Registry nu vor activa de fapt protecția memoriei.

Cum se verifică dacă Credential Guard este activat și funcționează

Vezi dacă procesul LsaIso.exe Apare în Managerul de activități. Ar putea oferi un indiciu, dar Microsoft nu o consideră o metodă fiabilă pentru a confirma că Credential Guard este operațional. Există proceduri mai robuste, bazate pe instrumente de sistem încorporate.

Printre opțiunile recomandate pentru Verificați starea Credential Guard Acestea includ Informații despre sistem, PowerShell și Vizualizatorul de evenimente. Fiecare metodă oferă o perspectivă diferită, așa că merită să vă familiarizați cu toate.

Cea mai vizuală metodă este cea care Informații despre sistem (msinfo32.exe)Din meniul Start, pur și simplu rulați acest instrument, selectați „Rezumat sistem” și verificați secțiunea „Executare servicii de securitate bazate pe virtualizare” pentru a confirma că „Credential Guard” apare ca serviciu activ.

Dacă preferi ceva scriptabil, PowerShell este aliatul tăuDintr-o consolă cu privilegii sporite, puteți executa următoarea comandă:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Rezultatul acestei comenzi indică, folosind coduri numerice, dacă Credential Guard este activat sau nu pe acea mașinăO valoare 0 înseamnă că funcția Credential Guard este dezactivată.În timp ce 1 indică faptul că este activat și funcționează. ca parte a serviciilor de securitate bazate pe virtualizare.

În sfârșit, Vizualizatorul de evenimente vă permite să revizuiți comportamentul istoric al Credential Guard.Deschidere eventvwr.exe Navigând la „Jurnale Windows > Sistem”, puteți filtra după sursa evenimentului „WinInit” și puteți localiza mesaje legate de inițializarea serviciilor Device Guard și Credential Guard, utile pentru auditurile periodice.

Dezactivați Credential Guard și gestionați blocarea UEFI

Deși recomandarea generală este să mențineți Credential Guard activat Pe toate sistemele care îl acceptă, în anumite scenarii foarte specifice poate fi necesară dezactivarea acestuia, fie pentru a rezolva incompatibilitățile cu aplicațiile vechi, fie pentru a efectua anumite sarcini de diagnosticare.

Procedura exactă pentru Dezactivarea Credential Guard depinde de modul în care a fost configurată inițial.Dacă a fost activat fără blocarea UEFI, pur și simplu reveniți la politicile Intune, GPO sau Registry și reporniți sistemul. Totuși, dacă a fost activat cu blocarea UEFI, sunt necesari pași suplimentari, deoarece o parte din configurație este stocată în variabilele EFI ale firmware-ului.

În cazul specific al Credential Guard activat cu blocare UEFIMai întâi, trebuie să urmați procesul standard de dezactivare (revenirea la directive sau la valorile din Registry) și apoi să eliminați variabilele EFI aferente folosind bcdedit și utilitatea SecConfig.efi cu un script avansat.

Fluxul tipic implică montați o unitate EFI temporară, copiați SecConfig.efi, creați o nouă intrare pentru încărcător cu bcdeditConfigurați opțiunile pentru a dezactiva LSA izolat și a seta o secvență de boot temporară prin managerul de boot Windows, precum și pentru a demonta unitatea la sfârșitul procesului.

După repornirea computerului cu această configurație, Înainte de pornirea Windows, va apărea un mesaj care avertizează asupra unei modificări a UEFI.Confirmarea acestui mesaj este obligatorie pentru ca modificările să fie persistente și pentru ca blocarea Credential Guard EFI să fie complet dezactivată în firmware.

Dacă ai nevoie Dezactivarea Credential Guard pe o anumită mașină virtuală Hyper-VPuteți face asta de pe gazdă, fără a atinge serverul invitat, folosind PowerShell. O comandă tipică ar fi:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Cu această ajustare, mașina virtuală Se oprește din utilizarea VBS și, prin urmare, se oprește din a rula Credential Guard chiar dacă sistemul de operare guest acceptă această funcție, ceea ce poate fi util în medii de laborator sau de testare foarte specifice.

Credential Guard pe mașinile virtuale Hyper-V

Credential Guard nu se limitează la echipamente fiziceDe asemenea, poate proteja acreditările în cadrul mașinilor virtuale care rulează Windows în medii Hyper-V, oferind un nivel de izolare similar cu cel disponibil în hardware-ul bare-metal.

În aceste situații, Credential Guard protejează secretele împotriva atacurilor provenite din interiorul mașinii virtuale.Cu alte cuvinte, dacă un atacator compromite procesele sistemului din cadrul mașinii virtuale, protecția VBS va continua să izoleze LSA-urile și să reducă expunerea hash-urilor și a tichetelor.

Totuși, este important să fie clară limita: Credential Guard nu poate apăra mașina virtuală de atacurile provenite de la gazdă cu privilegii ridicate. Hipervizorul și sistemul gazdă au efectiv control total asupra mașinilor virtuale, astfel încât un administrator gazdă rău intenționat ar putea ocoli aceste bariere.

Pentru ca Credential Guard să funcționeze corect în aceste tipuri de implementări, Gazda Hyper-V trebuie să aibă un IOMMU (unitate de gestionare a memoriei de intrare/ieșire) care permite izolarea accesului la memorie și dispozitive, iar mașinile virtuale trebuie să fie de Generația a 2-a, cu firmware UEFI, care activează Secure Boot și alte funcționalități necesare.

Având în vedere aceste cerințe, Experiența utilizării Credential Guard pe mașini virtuale este foarte similară cu cea a unei mașini fizice.incluzând aceleași metode de activare (Intune, GPO, Registry) și metode de verificare (msinfo32, PowerShell, Event Viewer).

Exploit Guard și Microsoft Defender: Activarea și gestionarea protecției generale

Alături de Credential Guard, ecosistemul de securitate Windows se bazează pe Microsoft Defender Antivirus și în tehnologii precum Exploit Guard, care includ reguli de reducere a suprafeței de atac, protecție a rețelei, control al accesului la foldere și alte funcții menite să încetinească programele malware și să atenueze exploit-urile.

În multe echipe, Antivirusul Microsoft Defender este preinstalat și activat în mod implicit În Windows 8, Windows 10 și Windows 11, este disponibil, dar este relativ frecvent să fie dezactivat din cauza politicilor anterioare, a instalării unor soluții terțe sau a modificărilor manuale ale Registrului.

la Activarea antivirusului Microsoft Defender utilizând politica de grup localăPuteți deschide meniul Start, căuta „Politică de grup” și selecta „Editare politică de grup”. În „Configurație computer > Șabloane administrative > Componente Windows > Antivirus Windows Defender”, veți vedea opțiunea „Dezactivați Antivirusul Windows Defender”.

Dacă această politică este setată la „Activată”, înseamnă că antivirusul este dezactivat forțat. Pentru a-i restabili funcționalitatea, setați opțiunea la „Dezactivat” sau „Neconfigurat”.Aplicați modificările și închideți editorul. Serviciul va putea reporni după următoarea actualizare a politicii.

Dacă la momentul respectiv Defender a fost dezactivat explicit din RegistruVa trebui să verificați ruta HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender și găsiți valoarea DisableAntiSpywareFolosind Editorul de Registry, îl puteți deschide și seta „Date de valoare” la 0Acceptarea modificării pentru a permite antivirusului să funcționeze din nou.

După aceste ajustări, accesați „Start > Setări > Actualizare și securitate > Windows Defender” (în versiunile mai recente, „Securitate Windows”) și Verificați dacă este activat comutatorul „Protecție în timp real”Dacă este încă dezactivat, activați-l manual pentru a vă asigura că apărarea antivirus pornește odată cu sistemul.

Pentru o protecție maximă, este recomandabil Activați atât protecția în timp real, cât și protecția bazată pe cloudDin aplicația „Securitate Windows”, accesați „Protecție împotriva virușilor și amenințărilor > Setări protecție împotriva virușilor și amenințărilor > Gestionare setări” și activați comutatoarele corespunzătoare.

Dacă aceste opțiuni nu sunt vizibile, este probabil ca O politică de grup ascunde secțiunea de protecție antivirus. În Securitate Windows, verificați „Configurare computer > Șabloane administrative > Componente Windows > Securitate Windows > Protecție împotriva virușilor și amenințărilor” și asigurați-vă că politica „Ascundeți zona de protecție împotriva virușilor și amenințărilor” este setată la „Dezactivat”, aplicându-se modificările.

Este la fel de important mențineți definițiile virusurilor actualizate Acest lucru permite Microsoft Defender să detecteze amenințările recente. Din Securitatea Windows, sub „Protecție împotriva virușilor și amenințărilor”, în „Actualizări ale protecției împotriva amenințărilor”, faceți clic pe „Verificați dacă există actualizări” și permiteți descărcarea celor mai recente semnături.

Dacă preferi linia de comandă, aceasta este, de asemenea, o opțiune. Puteți porni serviciul Microsoft Defender din CMDApăsați Windows + R, tastați cmd Apoi, la promptul de comandă (de preferință cu privilegii sporite), executați:

sc start WinDefend

Cu această comandă, Serviciul antivirus principal pornește cu condiția să nu existe politici sau blocaje suplimentare care să împiedice acest lucru, permițându-vă să verificați rapid dacă motorul pornește fără erori.

Pentru a afla dacă pe computerul dvs. se utilizează Microsoft Defender, accesați pur și simplu „Start > Settings > System” și apoi deschideți „Control Panel”. În secțiunea „Securitate și întreținere”, veți găsi secțiunea „System Security and Protection”, unde Veți vedea un rezumat al stării protecției antivirus și al altor măsuri active. în echipă.

prin combinare Credential Guard pentru protejarea acreditărilor în memorie Cu Microsoft Defender și Exploit Guard configurate corect și reguli de consolidare adecvate, se obține un nivel de securitate semnificativ mai ridicat împotriva furtului de acreditări, a programelor malware avansate și a mișcării laterale în cadrul domeniului. Deși există întotdeauna un cost asociat compatibilității cu protocoalele și aplicațiile vechi, îmbunătățirea generală a securității compensează cu prisosință acest lucru în majoritatea organizațiilor.