Ako aktivovať funkcie Microsoft Defender Credential Guard a Exploit Guard

Ochrana poverení v systéme Windows a zabezpečenie systému proti zneužitiu Stalo sa to takmer povinným v každom modernom obchodnom prostredí. Útoky ako Pass-the-Hash, Pass-the-Ticket alebo zneužívanie zraniteľností typu zero-day využívajú akýkoľvek prehliad v konfigurácii na laterálny pohyb cez sieť a prevzatie kontroly nad servermi a pracovnými stanicami v priebehu niekoľkých minút.

V tomto kontexte, Technológie Microsoft Defender Credential Guard a Exploit Guard (spolu s antivírusovým nástrojom Microsoft Defender) sú kľúčovými súčasťami bezpečnostnej stratégie v systémoch Windows 10, Windows 11 a Windows Server. V nasledujúcich riadkoch krok za krokom a podrobne uvidíte, ako fungujú, aké sú ich požiadavky a ako ich správne aktivovať alebo deaktivovať pomocou Intune, skupinovej politiky, databázy Registry, PowerShellu a ďalších nástrojov, pričom sa zabráni zbytočnému narušeniu kompatibility.

Čo je Microsoft Defender Credential Guard a prečo je taký dôležitý?

Ochrana poverení v programe Windows Defender je bezpečnostná funkcia Túto funkciu, ktorú spoločnosť Microsoft zaviedla v systémoch Windows 10 Enterprise a Windows Server 2016, využíva zabezpečenie založené na virtualizácii (VBS) na izoláciu tajných overovacích údajov. Namiesto priamej správy poverení v pamäti lokálnou bezpečnostnou autoritou (LSA) sa používa izolovaný proces LSA.LSAIso.exe) vykonané v chránenom prostredí.

Vďaka tejto izolácii, K hašom NTLM a lístkom Kerberos (TGT) má prístup iba systémový softvér s príslušnými oprávneniami.Prihlasovacie údaje používané nástrojom Credential Manager, lokálne prihlásenia a prihlasovacie údaje používané v pripojeniach, ako je napríklad Vzdialená pracovná plocha, už nie sú k dispozícii. Akýkoľvek škodlivý kód, ktorý sa pokúša priamo čítať pamäť konvenčného procesu LSA, zistí, že tieto tajné údaje sú preč.

Tento prístup drasticky znižuje účinnosť klasických nástrojov po vykorisťovaní, ako sú napr. Mimikatz pre útoky typu Pass-the-Hash alebo Pass-the-TicketJe to preto, že haše a tikety, ktoré sa predtým dali ľahko extrahovať, sa teraz nachádzajú v izolovanom kontajneri v pamäti, ku ktorému sa malvér tak ľahko nedostane, a to ani v prípade, že má v napadnutom systéme administrátorské práva.

Malo by sa objasniť, že Ochrana poverení nie je to isté ako Ochrana zariadeniaZatiaľ čo Credential Guard chráni poverenia a tajné údaje, Device Guard (a súvisiace technológie riadenia aplikácií) sa zameriava na zabránenie spusteniu neoprávneného kódu v počítači. Sú doplnkové, ale riešia odlišné problémy.

Aj tak, Credential Guard nie je zázračným riešením proti Mimikatzovi ani proti útočníkom zvnútra.Útočník, ktorý už ovláda koncový bod, by mohol zachytiť prihlasovacie údaje, keď ich používateľ zadáva (napríklad pomocou keyloggeru alebo vložením kódu do procesu autentifikácie). Taktiež to nebráni zamestnancovi s legitímnym prístupom k určitým údajom v ich kopírovaní alebo odcudzení; Credential Guard chráni prihlasovacie údaje v pamäti, nie správanie používateľa.

Ochrana poverení je v systémoch Windows 11 a Windows Server predvolene povolená

V moderných verziách systému Windows sa Credential Guard v mnohých prípadoch aktivuje automaticky.Počnúc systémom Windows 11 22H2 a Windows Server 2025 majú zariadenia, ktoré spĺňajú určité požiadavky na hardvér, firmvér a konfiguráciu, štandardne povolené funkcie VBS a Credential Guard bez toho, aby správca musel čokoľvek robiť.

V týchto systémoch, Predvolené povolenie sa vykoná bez uzamknutia UEFI.To znamená, že hoci je funkcia Credential Guard predvolene povolená, správca ju môže neskôr vzdialene zakázať prostredníctvom skupinovej politiky, služby Intune alebo iných metód, pretože možnosť uzamknutia nebola vo firmvéri aktivovaná.

Kedy Je aktivovaná ochrana poverení a je povolené aj zabezpečenie založené na virtualizácii (VBS).VBS je komponent, ktorý vytvára chránené prostredie, kde sú izolované LSA a kde sú uložené tajné údaje, takže obe funkcie idú v týchto verziách ruka v ruke.

Dôležitou nuansou je, že Hodnoty explicitne nakonfigurované správcom majú vždy prednosť. cez predvolené nastavenia. Ak je funkcia Credential Guard povolená alebo zakázaná prostredníctvom služby Intune, objektu GPO alebo databázy Registry, tento manuálny stav prepíše predvolené povolenie po reštartovaní počítača.

Ďalej, ak Na jednom zariadení bola funkcia Credential Guard explicitne vypnutá pred aktualizáciou na verziu systému Windows, ktorá ju predvolene povoľuje.Zariadenie bude túto deaktiváciu po aktualizácii rešpektovať a automaticky sa nezapne, pokiaľ sa jeho konfigurácia znova nezmení pomocou niektorého z nástrojov na správu.

Systémové, hardvérové, firmvérové ​​a licenčné požiadavky

Aby Credential Guard mohol ponúknuť skutočnú ochranuZariadenie musí spĺňať určité požiadavky na hardvér, firmvér a softvér. Čím lepšie sú možnosti platformy, tým vyššia je dosiahnuteľná úroveň zabezpečenia.

Po prvé, 64-bitový procesor je povinný a kompatibilitu so zabezpečením založeným na virtualizácii. To znamená, že procesor a základná doska musia podporovať príslušné rozšírenia virtualizácie, ako aj aktiváciu týchto funkcií v rozhraniach UEFI/BIOS.

Ďalším kritickým prvkom je bezpečné spustenie (Secure Boot)Funkcia Secure Boot zabezpečuje, že sa systém spustí zavedením iba dôveryhodného a podpísaného firmvéru a softvéru. Funkcia Secure Boot sa používa systémom VBS a Credential Guard, aby sa zabránilo útočníkovi v úprave komponentov zavádzania s cieľom deaktivovať alebo manipulovať s ochranou.

Hoci to nie je úplne povinné, jeho mať sa dôrazne odporúča. Modul dôveryhodnej platformy (TPM) verzie 1.2 alebo 2.0Či už ide o diskrétne alebo firmvérové ​​riešenia, TPM umožňuje prepojenie šifrovacích tajomstiev a kľúčov s hardvérom, čím pridáva ďalšiu vrstvu, ktorá vážne komplikuje veci každému, kto sa snaží tieto tajomstvá preniesť alebo znovu použiť na inom zariadení.

Taktiež je veľmi vhodné povoliť Zámok UEFI pre funkciu Credential GuardToto zabraňuje komukoľvek s prístupom k systému vypnúť ochranu jednoduchou úpravou kľúča registra alebo politiky. Pri aktívnom zámku si vypnutie funkcie Credential Guard vyžaduje oveľa kontrolovanejší a explicitnejší postup.

V oblasti udeľovania licencií, Ochrana poverení nie je dostupná vo všetkých vydaniach systému Windows.Vo všeobecnosti je podporovaná v podnikových a vzdelávacích edíciách: Windows Enterprise a Windows Education ju majú podporovanú, zatiaľ čo Windows Pro alebo Pro Education/SE ju štandardne neobsahujú.

undefined Práva na používanie služby Credential Guard sú viazané na určité licencie na predplatné., ako napríklad Windows Enterprise E3 a E5, ako aj Windows Education A3 a A5. Edície Pro nemajú z hľadiska licencie nárok na túto pokročilú funkcionalitu, aj keď používajú rovnaký binárny súbor operačného systému.

Kompatibilita aplikácií a uzamknuté funkcie

Pred hromadným nasadením Credential GuardOdporúča sa dôkladne skontrolovať aplikácie a služby, ktoré sa spoliehajú na špecifické mechanizmy autentifikácie. Nie všetok starší softvér s týmito ochranami funguje dobre a niektoré protokoly sú priamo blokované.

Keď je zapnutá funkcia Credential Guard, funkcie považované za rizikové sú vypnuté, takže Aplikácie, ktoré sú od nich závislé, prestanú správne fungovaťTieto sú známe ako požiadavky aplikácie: podmienky, ktorým sa treba vyhnúť, ak chcete naďalej používať Credential Guard bez problémov.

Medzi vlastnosti, ktoré Sú priamo blokovaní vyniknúť:

• Kompatibilita šifrovania Kerberos DES.
• Delegovanie Kerberosu bez obmedzení.
• Extrakcia TGT z Kerberosu z LSA.
• Protokol NTLMv1.

Okrem toho, Existujú funkcie, ktoré síce nie sú úplne zakázané, ale predstavujú dodatočné riziká ak sa používa v kombinácii s Credential Guard. Aplikácie, ktoré sa spoliehajú na implicitné overovanie, delegovanie poverení, MS-CHAPv2 alebo CredSSP, sú obzvlášť citlivé, pretože ak nie sú starostlivo nakonfigurované, môžu nebezpečne odhaliť poverenia.

Boli tiež pozorované problémy s výkonom v aplikáciách, ktoré sa pokúšajú o priamu väzbu alebo interakciu s izolovaným procesom LSAIso.exeKeďže tento proces je chránený a izolovaný, akékoľvek opakované pokusy o prístup môžu v určitých scenároch zvýšiť režijné náklady alebo spôsobiť spomalenie.

Dobré je, že moderné služby a protokoly, ktoré používajú Kerberos ako štandardFunkcie, ako je prístup k zdieľaným zdrojom SMB alebo správne nakonfigurovaná vzdialená pracovná plocha, naďalej fungujú normálne a nie sú ovplyvnené aktiváciou funkcie Credential Guard, pokiaľ nezávisia od vyššie uvedených starších funkcií.

Ako povoliť funkciu Credential Guard: Intune, GPO a register

Ideálny spôsob aktivácie funkcie Credential Guard závisí od veľkosti a správy vášho prostredia.Pre organizácie s modernými systémami riadenia je veľmi pohodlný Microsoft Intune (MDM), zatiaľ čo v tradičných doménach Active Directory sa stále bežne používa skupinová politika. Pre presnejšie úpravy alebo špecifické automatizácie zostáva možnosťou register.

V prvom rade je dôležité pochopiť, že Pred pripojením počítača k doméne musí byť povolená ochrana poverení. alebo predtým, ako sa používateľ domény prvýkrát prihlási. Ak sa aktivuje neskôr, tajné údaje používateľa a počítača už môžu byť ohrozené, čím sa znižuje skutočný prínos ochrany.

Vo všeobecnosti môžete funkciu Credential Guard povoliť takto:

• Správa Microsoft Intune / MDM.
• Skupinová politika (GPO) v službe Active Directory alebo v editore lokálnych politík.
• Priama úprava registra systému Windows.

Pri použití ktoréhokoľvek z týchto nastavení, Nezabudnite, že reštartovanie zariadenia je povinné. Aby sa zmeny prejavili, Credential Guard, VBS a všetky komponenty izolácie sa inicializujú pri spustení, takže len zmena politiky nestačí.

Aktivácia funkcie Credential Guard pomocou služby Microsoft Intune

Ak spravujete svoje zariadenia pomocou Intune, máte dva prístupy Hlavné možnosti: Použite šablóny Endpoint Security alebo použite vlastnú politiku, ktorá konfiguruje CSP DeviceGuard prostredníctvom OMA-URI.

Na portáli Intune môžete prejsť na „Zabezpečenie koncových bodov > Ochrana účtu“ a vytvorte novú politiku ochrany účtu. Vyberte platformu „Windows 10 a novší“ a typ profilu „Ochrana účtu“ (v rôznych variantoch v závislosti od dostupnej verzie).

Pri konfigurácii nastavení, Nastavte možnosť „Zapnúť ochranu poverení“ na možnosť „Povoliť s uzamknutím UEFI“. Ak chcete zabrániť jednoduchému vzdialenému vypnutiu ochrany, Credential Guard je „ukotvený“ vo firmvéri, čím sa zvyšuje úroveň fyzického a logického zabezpečenia zariadenia.

Keď sú parametre definované, Priraďte politiku skupine, ktorá obsahuje zariadenia alebo používateľské objekty, ktoré chcete chrániť.Politika sa použije pri synchronizácii zariadenia s Intune a po príslušnom reštarte sa aktivuje funkcia Credential Guard.

Ak uprednostňujete kontrolu nad jemnými detailmi, Môžete použiť vlastnú politiku založenú na poskytovateľovi kryptografických služieb DeviceGuard.Na to je potrebné vytvoriť položky OMA-URI s príslušnými názvami a hodnotami, napríklad:

konfigurácia
názovPovoliť zabezpečenie založené na virtualizácii OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Typ údajovcelé číslo chrabrosť: 1
názovKonfigurácia ochrany poverení OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Typ údajovcelé číslo chrabrosť: Povolené so zámkom UEFI: 1 Povolené bez blokovania: 2

Po použití tejto vlastnej politiky a reštartovaní, Zariadenie sa spustí s aktívnymi funkciami VBS a Credential Guard.a systémové poverenia budú chránené v izolovanom kontajneri.

Konfigurácia funkcie Credential Guard pomocou skupinovej politiky

V prostrediach s tradičnou službou Active DirectoryNajprirodzenejším spôsobom hromadného povolenia funkcie Credential Guard je použitie objektov skupinovej politiky (GPO). Môžete to urobiť buď z lokálneho editora politík na jednom počítači, alebo zo Správcu skupinovej politiky na úrovni domény.

Ak chcete nakonfigurovať politiku, otvorte príslušný editor GPO a prejdite na cestu Konfigurácia počítača > Šablóny pre správu > Systém > Ochrana zariadeniaV tejto časti nájdete zásadu „Povoliť zabezpečenie založené na virtualizácii“.

Táto smernica stanovuje v Vyberte možnosť „Povolené“ a z rozbaľovacieho zoznamu vyberte požadované nastavenia funkcie Credential Guard.Môžete si vybrať medzi možnosťou „Povolené s uzamknutím UEFI“ alebo „Povolené bez uzamknutia“ v závislosti od úrovne fyzickej ochrany, ktorú chcete použiť.

Po nakonfigurovaní GPO, prepojiť ho s organizačnou jednotkou alebo doménou, kde sa nachádzajú cieľové počítačeJeho aplikáciu môžete doladiť pomocou filtrovania bezpečnostných skupín alebo filtrov WMI tak, aby sa vzťahovala iba na určité typy zariadení (napríklad iba na firemné notebooky s kompatibilným hardvérom).

Keď stroje dostanú pokyn a reštartujú sa, Ochrana poverení sa aktivuje podľa konfigurácie GPO., s využitím infraštruktúry domény na jej nasadenie štandardizovaným spôsobom.

Povolenie ochrany poverení úpravou registra systému Windows

Ak potrebujete veľmi detailnú kontrolu alebo automatizovať nasadenie pomocou skriptovFunkciu Credential Guard môžete nakonfigurovať priamo pomocou kľúčov databázy Registry. Táto metóda vyžaduje presnosť, pretože nesprávna hodnota môže spôsobiť, že systém bude v neočakávanom stave.

Aby sa aktivovalo zabezpečenie založené na virtualizácii a funkcia Credential Guard, Musíte vytvoriť alebo upraviť niekoľko položiek pod konkrétnymi cestamiKľúčové body sú:

konfigurácia
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard názov: EnableVirtualizationBasedSecurity Typ: REG_DWORD chrabrosť: 1 (umožňuje zabezpečenie založené na virtualizácii)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard názov: RequirePlatformSecurityFeatures Typ: REG_DWORD chrabrosť: 1 (pomocou zabezpečeného spustenia) 3 (zabezpečené spustenie + ochrana DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa názov: LsaCfgFlags Typ: REG_DWORD chrabrosť: 1 (povoľuje funkciu Credential Guard s uzamknutím UEFI) 2 (umožňuje ochranu prihlasovacích údajov bez uzamknutia)

Po aplikácii týchto hodnôt, Reštartujte počítač, aby sa spustil hypervízor systému Windows a izolovaný proces LSA.Bez tohto resetovania zmeny v registri v skutočnosti neaktivujú ochranu pamäte.

Ako skontrolovať, či je funkcia Credential Guard povolená a funguje

Pozrite sa, či proces LsaIso.exe Zobrazuje sa v Správcovi úloh. Možno by to poskytlo indíciu, ale spoločnosť Microsoft to nepovažuje za spoľahlivú metódu na overenie funkčnosti funkcie Credential Guard. Existujú robustnejšie postupy založené na vstavaných systémových nástrojoch.

Medzi odporúčané možnosti pre Skontrolujte stav ochrany poverení Patria sem Systémové informácie, PowerShell a Prehliadač udalostí. Každá metóda ponúka iný pohľad, preto sa oplatí oboznámiť sa so všetkými.

Najvizuálnejšia metóda je tá, ktorá Informácie o systéme (msinfo32.exe)V ponuke Štart jednoducho spustite tento nástroj, vyberte možnosť „Súhrn systému“ a začiarknite časť „Spustenie bezpečnostných služieb založených na virtualizácii“, aby ste potvrdili, že sa služba „Credential Guard“ zobrazuje ako aktívna.

Ak uprednostňujete niečo, čo sa dá skriptovať, PowerShell je váš spojenecZ konzoly so zvýšenými oprávneniami môžete spustiť nasledujúci príkaz:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Výstup tohto príkazu pomocou číselných kódov indikuje, či Je na danom počítači povolená ochrana poverení alebo nie?Hodnota 0 znamená, že ochrana poverení je vypnutá.Kým 1 znamená, že je aktivovaný a beží. ako súčasť bezpečnostných služieb založených na virtualizácii.

Nakoniec, Prehliadač udalostí vám umožňuje skontrolovať historické správanie funkcie Credential Guard.Otvorenie eventvwr.exe Prejdením do časti „Denníky systému Windows > Systém“ môžete filtrovať podľa zdroja udalosti „WinInit“ a vyhľadať správy súvisiace s inicializáciou služieb Device Guard a Credential Guard, čo je užitočné pri pravidelných auditoch.

Zakázať ochranu poverení a spravovať uzamknutie UEFI

Hoci všeobecné odporúčanie je ponechať funkciu Credential Guard aktivovanú Na všetkých systémoch, ktoré ho podporujú, môže byť v niektorých veľmi špecifických scenároch potrebné ho vypnúť, buď na vyriešenie nekompatibility so staršími aplikáciami, alebo na vykonanie určitých diagnostických úloh.

Presný postup pre Zakázanie funkcie Credential Guard závisí od jej pôvodnej konfigurácie.Ak bolo povolené bez uzamknutia UEFI, jednoducho vráťte späť politiky Intune, GPO alebo registra a reštartujte počítač. Ak však bolo povolené s uzamknutím UEFI, sú potrebné ďalšie kroky, pretože časť konfigurácie je uložená v premenných EFI firmvéru.

V konkrétnom prípade Ochrana prihlasovacích údajov povolená s uzamknutím UEFINajprv musíte postupovať podľa štandardného postupu deaktivácie (vrátenie direktív alebo hodnôt v registri) a potom odstrániť súvisiace premenné EFI pomocou bcdedit a užitočnosť SecConfig.efi s pokročilým skriptom.

Typický tok zahŕňa pripojiť dočasný disk EFI, skopírovať SecConfig.efi, vytvorte nový vstup nabíjačky pomocou bcdeditNakonfigurujte si možnosti tak, aby ste zakázali izolované LSA a nastavili dočasnú bootovaciu sekvenciu prostredníctvom správcu bootovania systému Windows, ako aj odpojili disk na konci procesu.

Po reštartovaní počítača s touto konfiguráciou, Pred spustením systému Windows sa zobrazí správa s upozornením na zmenu v rozhranie UEFI.Potvrdenie tejto správy je povinné, aby boli zmeny trvalé a aby bol zámok Credential Guard EFI vo firmvéri skutočne deaktivovaný.

Ak to, čo potrebujete, je Zakázanie funkcie Credential Guard na konkrétnom virtuálnom počítači Hyper-VMôžete to urobiť z hostiteľa, bez toho, aby ste sa dotkli hosťa, pomocou PowerShellu. Typický príkaz by bol:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

S touto úpravou virtuálny stroj Prestane používať VBS, a preto prestane spúšťať Credential Guard. aj keď hosťujúci operačný systém túto funkciu podporuje, čo môže byť užitočné vo veľmi špecifických laboratórnych alebo testovacích prostrediach.

Ochrana prihlasovacích údajov na virtuálnych počítačoch Hyper-V

Credential Guard sa neobmedzuje len na fyzické vybavenieDokáže tiež chrániť poverenia vo virtuálnych počítačoch so systémom Windows v prostrediach Hyper-V, čím poskytuje úroveň izolácie podobnú tej, ktorá je dostupná v holom hardvéri.

V týchto situáciách Credential Guard chráni tajomstvá pred útokmi pochádzajúcimi zvnútra samotného virtuálneho počítača.Inými slovami, ak útočník ohrozí systémové procesy vo virtuálnom počítači, ochrana VBS bude naďalej izolovať LSA a znižovať expozíciu hashov a tiketov.

Je však dôležité mať jasno v súvislosti s limitom: Ochrana poverení nedokáže chrániť virtuálny počítač pred útokmi pochádzajúcimi z hostiteľa. so zvýšenými oprávneniami. Hypervízor a hostiteľský systém majú v podstate úplnú kontrolu nad virtuálnymi počítačmi, takže zlomyseľný správca hostiteľa by mohol tieto bariéry obísť.

Aby služba Credential Guard v týchto typoch nasadení správne fungovala, Hostiteľ Hyper-V musí mať IOMMU. (jednotka správy vstupno-výstupnej pamäte), ktorá umožňuje izoláciu prístupu k pamäti a zariadeniam, a virtuálne počítače musia byť Generácia 2 s firmvérom UEFI, čo umožňuje zabezpečené spustenie a ďalšie potrebné funkcie.

S týmito požiadavkami, Používanie Credential Guard na virtuálnych počítačoch je veľmi podobné ako na fyzickom počítači.vrátane rovnakých metód aktivácie (Intune, GPO, Registry) a metód overovania (msinfo32, PowerShell, Prehliadač udalostí).

Exploit Guard a Microsoft Defender: Aktivácia a správa všeobecnej ochrany

Popri Credential Guard sa ekosystém zabezpečenia systému Windows spolieha na antivírusový program Microsoft Defender. a v technológiách ako Exploit Guard, ktoré zahŕňajú pravidlá redukcie povrchu útoku, ochranu siete, riadenie prístupu k priečinkom a ďalšie funkcie zamerané na spomalenie škodlivého softvéru a zmiernenie zneužitia.

V mnohých tímoch, Antivírusový program Microsoft Defender je predinštalovaný a aktivovaný štandardne V systémoch Windows 8, Windows 10 a Windows 11 je k dispozícii, ale pomerne často sa stáva, že je vypnutý kvôli predchádzajúcim politikám, inštalácii riešení tretích strán alebo manuálnym zmenám v registri.

na Aktivácia antivírusového programu Microsoft Defender pomocou lokálnej skupinovej politikyMôžete otvoriť ponuku Štart, vyhľadať „Skupinové zásady“ a vybrať možnosť „Upraviť skupinové zásady“. V časti „Konfigurácia počítača > Šablóny pre správu > Súčasti systému Windows > Antivírusový program Windows Defender“ sa zobrazí možnosť „Vypnúť antivírusový program Windows Defender“.

Ak je táto politika nastavená na hodnotu „Povolené“, znamená to, že antivírus je násilne vypnutý. Ak chcete obnoviť jeho funkčnosť, nastavte možnosť na „Zakázané“ alebo „Nenakonfigurované“.Použite zmeny a zatvorte editor. Služba sa bude môcť znova spustiť po ďalšej aktualizácii pravidiel.

Ak v tom čase Defender bol explicitne zakázaný v registriBudeš si musieť skontrolovať trasu HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender a nájdite hodnotu DisableAntiSpywarePomocou editora databázy Registry ho môžete otvoriť a nastaviť jeho „Údaje hodnoty“ na 0Prijatie zmeny, aby antivírus mohol opäť fungovať.

Po týchto úpravách prejdite na „Štart > Nastavenia > Aktualizácia a zabezpečenie > Windows Defender“ (v novších verziách „Zabezpečenie systému Windows“) a Overte, či je prepínač „Ochrana v reálnom čase“ zapnutý.Ak je stále vypnutý, manuálne ho zapnite, aby sa antivírusová ochrana spustil spolu so systémom.

Pre maximálnu ochranu sa odporúča Povoľte ochranu v reálnom čase aj cloudovú ochranuV aplikácii „Zabezpečenie systému Windows“ prejdite na „Ochrana pred vírusmi a hrozbami > Nastavenia ochrany pred vírusmi a hrozbami > Spravovať nastavenia“ a aktivujte príslušné prepínače.

Ak tieto možnosti nie sú viditeľné, je pravdepodobné, že Skupinová politika skrýva sekciu antivírusovej ochrany. V časti Zabezpečenie systému Windows začiarknite políčka „Konfigurácia počítača > Šablóny pre správu > Súčasti systému Windows > Zabezpečenie systému Windows > Ochrana pred vírusmi a hrozbami“ a uistite sa, že politika „Skryť oblasť ochrany pred vírusmi a hrozbami“ je nastavená na možnosť „Zakázané“ a zmeny sa použijú.

Je to rovnako dôležité udržiavať definície vírusov aktuálne Vďaka tomu môže program Microsoft Defender zistiť nedávne hrozby. V časti Zabezpečenie systému Windows v časti „Ochrana pred vírusmi a hrozbami“ v časti „Aktualizácie ochrany pred hrozbami“ kliknite na možnosť „Vyhľadať aktualizácie“ a povoľte stiahnutie najnovších podpisov.

Ak uprednostňujete príkazový riadok, je to tiež možnosť. Službu Microsoft Defender môžete spustiť z príkazového riadka CMDStlačte klávesy Windows + R a napíšte cmd Potom na príkazovom riadku (najlepšie so zvýšenými oprávneniami) spustite:

sc start WinDefend

S týmto príkazom, Spustí sa hlavná antivírusová služba za predpokladu, že tomu nebránia žiadne ďalšie pravidlá alebo bloky, čo vám umožní rýchlo overiť, či sa motor spustí bez chýb.

Ak chcete zistiť, či váš počítač používa program Microsoft Defender, jednoducho prejdite na položku „Štart > Nastavenia > Systém“ a potom otvorte „Ovládací panel“. V časti „Zabezpečenie a údržba“ nájdete časť „Zabezpečenie a ochrana systému“, kde Zobrazí sa súhrn stavu antivírusovej ochrany a ďalších aktívnych opatrení. v tíme.

kombinovaním Credential Guard na ochranu poverení v pamäti So správne nakonfigurovaným programom Microsoft Defender, funkciou Exploit Guard a vhodnými pravidlami sprísnenia sa dosahuje výrazne vyššia úroveň zabezpečenia proti krádeži poverení, pokročilému malvéru a laterálnemu pohybu v rámci domény. Hoci kompatibilita so staršími protokolmi a aplikáciami je vždy spojená s nákladmi, celkové zlepšenie zabezpečenia ich vo väčšine organizácií viac než kompenzuje.