Как активировать Microsoft Defender Credential Guard и Exploit Guard

Защита учетных данных в Windows и повышение устойчивости системы к эксплойтам. В современной бизнес-среде это стало практически обязательным. Такие атаки, как Pass-the-Hash, Pass-the-Ticket или использование уязвимостей нулевого дня, эксплуатируют любые недочеты в конфигурации для распространения по сети и захвата контроля над серверами и рабочими станциями за считанные минуты.

В этом контексте Технологии Microsoft Defender Credential Guard и Exploit Guard (наряду с антивирусным движком Microsoft Defender) являются ключевыми компонентами стратегии безопасности в Windows 10, Windows 11 и Windows Server. В следующих строках вы шаг за шагом и подробно узнаете, как они работают, какие для них требуются, а также как правильно активировать или деактивировать их с помощью Intune, групповой политики, реестра, PowerShell и других инструментов, избегая при этом ненужного нарушения совместимости.

Что такое Microsoft Defender Credential Guard и почему он так важен?

Функция защиты учетных данных Windows Defender — это функция безопасности. Эта функция, представленная Microsoft в Windows 10 Enterprise и Windows Server 2016, использует безопасность на основе виртуализации (VBS) для изоляции секретных данных аутентификации. Вместо того чтобы локальный центр безопасности (LSA) напрямую управлял учетными данными в памяти, используется изолированный процесс LSA.LSAIso.exe) выполняется в защищенной среде.

Благодаря этой изоляции, Доступ к хэшам NTLM и билетам Kerberos (TGT) имеет только системное программное обеспечение с соответствующими правами.Учетные данные, используемые диспетчером учетных данных, локальными учетными записями и учетными данными, используемыми в таких подключениях, как удаленный рабочий стол, больше недоступны. Любой вредоносный код, пытающийся напрямую прочитать память обычного процесса LSA, обнаружит, что эти секретные данные исчезли.

Такой подход значительно снижает эффективность классических инструментов постэксплуатации, таких как Mimikatz для атак Pass-the-Hash или Pass-the-TicketЭто происходит потому, что хеши и билеты, которые ранее было легко извлечь, теперь находятся в изолированном контейнере в памяти, к которому вредоносное ПО не может так легко получить доступ, даже если у него есть права администратора в скомпрометированной системе.

Стоит уточнить, что Credential Guard — это не то же самое, что Device Guard.В то время как Credential Guard защищает учетные данные и секреты, Device Guard (и связанные с ним технологии контроля приложений) сосредоточены на предотвращении запуска несанкционированного кода на компьютере. Они дополняют друг друга, но решают разные задачи.

Тем не менее, Credential Guard не является панацеей против Мимикаца или против внутренних атакующих.Злоумышленник, уже контролирующий конечную точку, может перехватить учетные данные в момент их ввода пользователем (например, с помощью кейлоггера или путем внедрения кода в процесс аутентификации). Это также не предотвращает копирование или утечку данных сотрудником, имеющим законный доступ к ним; Credential Guard защищает учетные данные в памяти, а не действия пользователя.

Функция Credential Guard включена по умолчанию в Windows 11 и Windows Server.

В современных версиях Windows функция Credential Guard во многих случаях активируется автоматически.Начиная с Windows 11 22H2 и Windows Server 2025, устройства, отвечающие определенным требованиям к оборудованию, микропрограммам и конфигурации, получают включенные по умолчанию функции VBS и Credential Guard без каких-либо действий со стороны администратора.

В этих системах Включение по умолчанию выполняется без блокировки UEFI.Это означает, что, хотя функция Credential Guard включена по умолчанию, администратор может впоследствии отключить её удалённо с помощью групповой политики, Intune или другими способами, поскольку опция блокировки не активирована в микропрограмме.

Cuando Функция Credential Guard активирована, а также включена безопасность на основе виртуализации (VBS).VBS — это компонент, который создает защищенную среду, где LSA-ы изолированы и где хранятся секреты, поэтому в этих версиях обе функции работают в тандеме.

Важный нюанс заключается в том, что Приоритет всегда отдается значениям, явно заданным администратором. по сравнению с настройками по умолчанию. Если функция Credential Guard включена или отключена через Intune, групповые политики или реестр, это ручное состояние переопределяет настройки по умолчанию после перезагрузки компьютера.

Кроме того, если На одном из устройств функция Credential Guard была явно отключена до обновления до версии Windows, в которой она включена по умолчанию.После обновления устройство будет учитывать это отключение и не будет автоматически включаться, если его конфигурация не будет изменена повторно с помощью одного из инструментов управления.

Требования к системе, оборудованию, прошивке и лицензированию

Таким образом, Credential Guard сможет обеспечить реальную защиту.Оборудование должно соответствовать определенным требованиям к аппаратному, встроенному и программному обеспечению. Чем лучше возможности платформы, тем выше достижимый уровень безопасности.

Во-первых, Для работы требуется 64-битный процессор. а также совместимость с системами безопасности на основе виртуализации. Это означает, что процессор и материнская плата должны поддерживать соответствующие расширения виртуализации, а также активацию этих функций в UEFI/BIOS.

Ещё одним важным элементом является безопасная загрузка (Secure Boot)Функция Secure Boot гарантирует, что система запускается с загрузкой только доверенных, подписанных микропрограмм и программного обеспечения. Secure Boot используется VBS и Credential Guard для предотвращения модификации компонентов загрузки злоумышленником с целью отключения или манипулирования защитой.

Хотя это и не является строго обязательным, настоятельно рекомендуется иметь такой сертификат. Модуль доверенной платформы (TPM) версии 1.2 или 2.0Независимо от того, является ли модуль TPM дискретным или встроенным, он позволяет привязывать секреты и ключи шифрования к аппаратному обеспечению, добавляя дополнительный уровень, который серьезно усложняет задачу для любого, кто пытается перенести или повторно использовать эти секреты на другом устройстве.

Также настоятельно рекомендуется включить Блокировка UEFI для Credential GuardЭто предотвращает отключение защиты любым пользователем с доступом к системе путем простого изменения ключа реестра или политики. При активной блокировке отключение Credential Guard требует гораздо более контролируемой и четкой процедуры.

В сфере лицензирования, Credential Guard доступен не во всех версиях Windows.Как правило, эта функция поддерживается в корпоративных и образовательных версиях: Windows Enterprise и Windows Education поддерживают её, в то время как Windows Pro или Pro Education/SE не включают её по умолчанию.

Права на использование Credential Guard привязаны к определенным лицензиям по подписке.например, Windows Enterprise E3 и E5, а также Windows Education A3 и A5. В соответствии с условиями лицензирования, версии Pro не имеют права на использование этой расширенной функциональности, несмотря на то, что они используют один и тот же исполняемый файл операционной системы.

Совместимость приложений и заблокированные функции

Перед массовым развертыванием Credential GuardРекомендуется тщательно проверять приложения и сервисы, использующие определенные механизмы аутентификации. Не все устаревшие программы хорошо работают с такими средствами защиты, а некоторые протоколы блокируются напрямую.

При включении функции Credential Guard отключаются функции, считающиеся рискованными, чтобы Приложения, которые от них зависят, перестают корректно работать.Это так называемые требования к приложению: условия, которых следует избегать, если вы хотите продолжать использовать Credential Guard без сбоев.

Среди особенностей, которые Они заблокированы напрямую. включают в себя:

• Совместимость с шифрованием Kerberos DES.
• Делегирование Kerberos без ограничений.
• Извлечение TGT из Kerberos из LSA.
• Протокол NTLMv1.

Кроме того, Существуют функции, которые, хотя и не полностью запрещены, сопряжены с дополнительными рисками. При использовании в сочетании с Credential Guard. Приложения, использующие неявную аутентификацию, делегирование учетных данных, MS-CHAPv2 или CredSSP, особенно чувствительны, поскольку при неправильной настройке они могут небезопасно раскрывать учетные данные.

Они также были замечены Проблемы с производительностью в приложениях, которые пытаются напрямую взаимодействовать с изолированным процессом. LSAIso.exeПоскольку этот процесс защищен и изолирован, любые повторные попытки доступа могут привести к дополнительным накладным расходам или замедлению работы в определенных сценариях.

Хорошо, что современные сервисы и протоколы, использующие Kerberos в качестве стандартаТакие функции, как доступ к общим ресурсам SMB или правильно настроенный удаленный рабочий стол, продолжают нормально функционировать и не затрагиваются активацией Credential Guard, если они не зависят от упомянутых выше устаревших функций.

Как включить Credential Guard: Intune, групповые политики и реестр.

Оптимальный способ активации Credential Guard зависит от размера и уровня управления вашей ИТ-средой.Для организаций с современными системами управления Microsoft Intune (MDM) очень удобен, в то время как в традиционных доменах Active Directory по-прежнему широко используется групповая политика. Для более точных настроек или автоматизации конкретных задач реестр остается доступным вариантом.

Прежде всего, крайне важно понимать, что Перед подключением компьютера к домену необходимо включить функцию Credential Guard. или до первого входа пользователя в домен. Если активация произойдет позже, секретные данные пользователя и машины могут быть уже скомпрометированы, что снизит реальную эффективность защиты.

В общих чертах, включить Credential Guard можно следующим образом:

• Управление Microsoft Intune / MDM.
• Групповая политика (GPO) в Active Directory или локальный редактор политик.
• Непосредственное изменение реестра Windows.

При применении любой из этих настроек, Не забудьте, что перезагрузка устройства обязательна. Для того чтобы изменения вступили в силу, Credential Guard, VBS и все компоненты изоляции инициализируются при загрузке, поэтому простого изменения политики недостаточно.

Активируйте Credential Guard с помощью Microsoft Intune.

Если вы управляете своими устройствами с помощью Intune, у вас есть два подхода. Основные варианты: использовать шаблоны Endpoint Security или пользовательскую политику, которая настраивает DeviceGuard CSP через OMA-URI.

На портале Intune, Вы можете перейти в раздел «Безопасность конечных точек > Защита учетных записей». и создайте новую политику защиты учетной записи. Выберите платформу «Windows 10 и более поздние версии» и тип профиля «Защита учетной записи» (в различных вариантах, в зависимости от доступной версии).

При настройке параметров, Установите параметр "Включить защиту учетных данных" в значение "Включить с блокировкой UEFI". Если вы хотите предотвратить легкое удаленное отключение защиты, функция Credential Guard «закреплена» в прошивке, повышая уровень физической и логической безопасности устройства.

Как только параметры определены, Назначьте политику группе, содержащей устройства или объекты пользователей, которые вы хотите защитить.Данная политика будет применена при синхронизации устройства с Intune, и после соответствующей перезагрузки будет активирована функция Credential Guard.

Если вы предпочитаете контролировать мельчайшие детали, Вы можете использовать пользовательскую политику на основе DeviceGuard CSP.Для этого необходимо создать записи OMA-URI с соответствующими именами и значениями, например:

конфигурация
ИмяВключите безопасность на основе виртуализации. ОМА-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип данных: интервал значение: 1
ИмяНастройка Creential Guard ОМА-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип данных: интервал значение: Включено с блокировкой UEFI: 1 Включено без блокировки: 2

После применения этой пользовательской политики и перезапуска, Устройство запустится с активированными функциями VBS и Credential Guard., а учетные данные системы будут защищены в изолированном контейнере.

Настройте Credential Guard с помощью групповой политики.

В средах с традиционной Active DirectoryНаиболее простой способ включить Credential Guard для массового использования — это использование объектов групповой политики (GPO). Это можно сделать либо из локального редактора политик на отдельном компьютере, либо из диспетчера групповых политик на уровне домена.

Для настройки политики откройте соответствующий редактор групповых политик и перейдите по указанному пути. Конфигурация компьютера > Административные шаблоны > Система > Device GuardВ этом разделе вы найдете политику "Включить безопасность на основе виртуализации".

Данная директива устанавливает в Выберите «Включено» и выберите нужные параметры Credential Guard из выпадающего списка.В зависимости от желаемого уровня физической защиты вы можете выбрать один из вариантов: «Включено с блокировкой UEFI» или «Включено без блокировки».

После настройки групповой политики, связать его с организационным подразделением или доменом, где находятся целевые компьютеры.Вы можете точно настроить его применение с помощью фильтрации по группам безопасности или фильтров WMI, чтобы оно применялось только к определенным типам устройств (например, только к корпоративным ноутбукам с совместимым оборудованием).

Когда машины получают директиву и перезапускаются, Функция Credential Guard будет активирована в соответствии с конфигурацией групповой политики (GPO).используя инфраструктуру домена для стандартизированного развертывания.

Включите функцию «Защита учетных данных», изменив реестр Windows.

Если вам необходим очень детальный контроль или автоматизация развертывания с помощью скриптов.Вы можете настроить Credential Guard напрямую с помощью ключей реестра. Этот метод требует точности, поскольку неверное значение может привести систему в неожиданное состояние.

Для активации функций безопасности на основе виртуализации и Credential Guard, Необходимо создать или изменить несколько записей по определенным путям.Основные моменты:

конфигурация
Рута: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя: EnableVirtualizationBasedSecurity Тип: REG_DWORD значение: 1 (обеспечивает безопасность на основе виртуализации)
Рута: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя: RequirePlatformSecurityFeatures Тип: REG_DWORD значение: 1 (с использованием безопасной загрузки) 3 (безопасная загрузка + защита DMA)
Рута: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Имя: LsaCfgFlags Тип: REG_DWORD значение: 1 (включает функцию Credential Guard с блокировкой UEFI) 2 (включает функцию Credential Guard без блокировки)

После применения этих значений, Перезагрузите компьютер, чтобы активировались гипервизор Windows и изолированный процесс LSA.Без сброса настроек изменения в реестре фактически не активируют защиту памяти.

Как проверить, включена ли и работает ли функция Credential Guard?

Проверьте, соответствует ли процесс LsaIso.exe Оно отображается в Диспетчере задач. Это может дать некоторую подсказку, но Microsoft не считает это надежным методом подтверждения работоспособности Credential Guard. Существуют более надежные процедуры, основанные на встроенных системных инструментах.

Среди рекомендуемых вариантов для Проверить статус Credent Guard К ним относятся «Информация о системе», PowerShell и «Просмотр событий». Каждый метод предлагает свой взгляд на проблему, поэтому стоит ознакомиться со всеми ими.

Наиболее наглядный метод — это тот, который Информация о системе (msinfo32.exe)Просто запустите эту программу из меню «Пуск», выберите «Сводка по системе» и проверьте раздел «Запущенные службы безопасности на основе виртуализации», чтобы убедиться, что «Credential Guard» отображается как активная служба.

Если вы предпочитаете что-то, что можно автоматизировать с помощью скриптов, PowerShell — ваш союзникС консоли с повышенными привилегиями вы можете выполнить следующую команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Результат выполнения этой команды, используя числовые коды, указывает, является ли... Включена или выключена функция Crescent Guard на этом компьютере.Ценность 0 означает, что функция Credential Guard отключена.В то время как 1 означает, что он активирован и работает. в рамках сервисов безопасности на основе виртуализации.

И, наконец, Журнал событий позволяет просмотреть историю работы Credential Guard.Открытие eventvwr.exe Перейдя в раздел «Журналы Windows > Система», вы можете отфильтровать сообщения по источнику событий «WinInit» и найти сообщения, связанные с инициализацией служб Device Guard и Credential Guard, что полезно для периодических проверок.

Отключите Credential Guard и управляйте блокировкой UEFI.

Хотя в целом рекомендуется оставлять функцию Credential Guard активированной, это не мешает. На всех системах, поддерживающих эту функцию, в некоторых специфических сценариях может потребоваться ее отключение, либо для устранения несовместимости с устаревшими приложениями, либо для выполнения определенных диагностических задач.

Точная процедура для Отключение Credential Guard зависит от того, как он был изначально настроен.Если функция была включена без блокировки UEFI, просто отмените политики Intune, GPO или реестра и перезагрузите систему. Однако, если функция была включена с блокировкой UEFI, потребуются дополнительные действия, поскольку часть конфигурации хранится в переменных EFI микропрограммы.

В конкретном случае Функция Credential Guard включена с блокировкой UEFI.Сначала необходимо выполнить стандартную процедуру отключения (отменить директивы или значения реестра), а затем удалить соответствующие переменные EFI с помощью... bcdedit и полезность SecConfig.efi с помощью продвинутого скрипта.

Типичный поток включает в себя смонтировать временный EFI-диск, скопировать SecConfig.efi, создайте новый вход для зарядного устройства с bcdeditНастройте параметры, чтобы отключить изолированную LSA и задать временную последовательность загрузки через диспетчер загрузки Windows, а также отмонтировать диск в конце процесса.

После перезагрузки компьютера с этой конфигурацией, Перед запуском Windows появится сообщение, предупреждающее об изменении настроек UEFI.Подтверждение этого сообщения является обязательным для сохранения изменений и для полного отключения блокировки Credential Guard EFI в прошивке.

Если вам нужно Отключите функцию Credential Guard на определенной виртуальной машине Hyper-V.Это можно сделать с хоста, не затрагивая гостевую систему, используя PowerShell. Типичная команда будет выглядеть так:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

После этой корректировки виртуальная машина Он перестаёт использовать VBS и, следовательно, перестаёт работать Credential Guard. даже несмотря на то, что гостевая операционная система поддерживает эту функцию, которая может быть полезна в очень специфических лабораторных или испытательных условиях.

Credential Guard на виртуальных машинах Hyper-V

Система защиты удостоверений не ограничивается только физическим оборудованием.Она также может защищать учетные данные внутри виртуальных машин, работающих под управлением Windows в средах Hyper-V, обеспечивая уровень изоляции, аналогичный тому, который доступен на физическом оборудовании.

В этой ситуации Credential Guard защищает секретные данные от атак, исходящих изнутри самой виртуальной машины.Иными словами, если злоумышленник скомпрометирует системные процессы внутри виртуальной машины, защита VBS продолжит изолировать LSA и уменьшать уязвимость хешей и билетов.

Однако важно четко понимать, что это за ограничение: Credential Guard не может защитить виртуальную машину от атак, исходящих с хоста. с повышенными привилегиями. Гипервизор и хост-система фактически имеют полный контроль над виртуальными машинами, поэтому злонамеренный администратор хоста может обойти эти барьеры.

Для корректной работы Credential Guard в подобных развертываниях, Хост Hyper-V должен иметь интерфейс IOMMU. (Блок управления памятью ввода/вывода), который позволяет изолировать доступ к памяти и устройствам, а виртуальные машины должны быть Второе поколение, с прошивкой UEFI., что обеспечивает безопасную загрузку и другие необходимые возможности.

При соблюдении этих требований, Использование Credential Guard на виртуальных машинах очень похоже на использование на физической машине.включая те же методы активации (Intune, GPO, реестр) и методы проверки (msinfo32, PowerShell, просмотр событий).

Exploit Guard и Microsoft Defender: активация и управление общей защитой.

Наряду с Credential Guard, экосистема безопасности Windows опирается на антивирус Microsoft Defender. а также в таких технологиях, как Exploit Guard, которые включают правила уменьшения поверхности атаки, защиту сети, контроль доступа к папкам и другие функции, направленные на замедление работы вредоносного ПО и предотвращение эксплойтов.

Во многих командах, Антивирус Microsoft Defender предустановлен и активирован по умолчанию. В Windows 8, Windows 10 и Windows 11 эта функция доступна, но довольно часто она отключена из-за ранее установленных политик, установки сторонних решений или ручных изменений в реестре.

к Активируйте антивирус Microsoft Defender с помощью локальной групповой политики.Вы можете открыть меню «Пуск», найти «Групповая политика» и выбрать «Изменить групповую политику». В разделе «Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирус Windows Defender» вы увидите параметр «Отключить антивирус Windows Defender».

Если для этой политики установлено значение «Включено», это означает, что антивирус принудительно отключен. Для восстановления работоспособности установите параметр в значение «Отключено» или «Не настроено».Примените изменения и закройте редактор. Сервис сможет возобновить работу после следующего обновления политики.

Если в то время Программа Defender была явно отключена в реестре.Вам придётся проверить маршрут. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender и найдите значение DisableAntiSpywareС помощью редактора реестра вы можете открыть его и установить в качестве значения параметра следующее: 0Принятие изменений для возобновления работы антивируса.

После внесения этих изменений перейдите в меню «Пуск» > «Параметры» > «Обновление и безопасность» > «Защитник Windows» (в более новых версиях — «Безопасность Windows») и Убедитесь, что переключатель «Защита в реальном времени» включен.Если он по-прежнему выключен, включите его вручную, чтобы антивирусная защита запустилась одновременно с системой.

Для максимальной защиты рекомендуется Обеспечьте защиту как в режиме реального времени, так и на основе облачных технологий.В приложении «Безопасность Windows» перейдите в раздел «Защита от вирусов и угроз > Параметры защиты от вирусов и угроз > Управление параметрами» и активируйте соответствующие переключатели.

Если эти параметры не отображаются, вероятно, что Групповая политика скрывает раздел антивирусной защиты. В разделе «Безопасность Windows» установите флажок «Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Безопасность Windows > Защита от вирусов и угроз» и убедитесь, что для параметра «Скрывать область защиты от вирусов и угроз» установлено значение «Отключено», после чего примените изменения.

Не менее важно постоянно обновляйте вирусные базы данных. Это позволяет Microsoft Defender обнаруживать новые угрозы. В разделе «Безопасность Windows», в подразделе «Защита от вирусов и угроз», в разделе «Обновления защиты от угроз» нажмите «Проверить наличие обновлений» и разрешите загрузку последних сигнатур.

Если вы предпочитаете командную строку, это тоже возможно. Службу Microsoft Defender можно запустить из командной строки (CMD).Нажмите Windows + R и введите cmd Затем в командной строке (желательно с повышенными правами) выполните следующую команду:

sc start WinDefend

С помощью этой команды, Запускается основная антивирусная служба. при условии отсутствия дополнительных правил или блокировок, препятствующих этому, что позволит вам быстро проверить, запускается ли двигатель без ошибок.

Чтобы узнать, использует ли ваш компьютер Microsoft Defender, просто перейдите в меню «Пуск» > «Параметры» > «Система», а затем откройте «Панель управления». В разделе «Безопасность и обслуживание» вы найдете раздел «Безопасность и защита системы», где Вы увидите сводку о состоянии антивирусной защиты и других активных мерах. в команде.

Объединив Credential Guard — защита учетных данных в памяти. При правильной настройке Microsoft Defender, Exploit Guard и соответствующих правил усиления защиты достигается значительно более высокий уровень безопасности от кражи учетных данных, сложных вредоносных программ и горизонтального перемещения внутри домена. Хотя совместимость с устаревшими протоколами и приложениями всегда сопряжена с определенными издержками, общее повышение уровня безопасности с лихвой компенсирует это в большинстве организаций.