Kako aktivirati Microsoft Defender Credential Guard in Exploit Guard

Zaščita poverilnic v sistemu Windows in utrjevanje sistema pred izkoriščanjem Postalo je skoraj obvezno v vsakem sodobnem poslovnem okolju. Napadi, kot so Pass-the-Hash, Pass-the-Ticket ali zloraba ranljivosti ničelnega dne, izkoristijo vsakršen nadzor v konfiguraciji za lateralno premikanje po omrežju in prevzem nadzora nad strežniki in delovnimi postajami v nekaj minutah.

V tem kontekstu Tehnologiji Microsoft Defender Credential Guard in Exploit Guard (skupaj z protivirusnim mehanizmom Microsoft Defender) so ključne komponente varnostne strategije v sistemih Windows 10, Windows 11 in Windows Server. V naslednjih vrsticah boste korak za korakom in podrobno videli, kako delujejo, kakšne so njihove zahteve in kako jih pravilno aktivirati ali deaktivirati z uporabo Intune, skupinskega pravilnika, registra, PowerShell-a in drugih orodij, pri čemer se izognete nepotrebnemu kršenju združljivosti.

Kaj je Microsoft Defender Credential Guard in zakaj je tako pomemben?

Windows Defender Credential Guard je varnostna funkcija To funkcijo, ki jo je Microsoft uvedel v sistemih Windows 10 Enterprise in Windows Server 2016, za izolacijo skrivnosti preverjanja pristnosti uporablja varnost, ki temelji na virtualizaciji (VBS). Namesto lokalnega varnostnega organa (LSA), ki neposredno upravlja poverilnice v pomnilniku, se uporablja izoliran postopek LSA.LSAIso.exe) izvedeno v zaščitenem okolju.

Zahvaljujoč tej izolaciji, Do zgoščevalnih vrednosti NTLM in vstopnic Kerberos (TGT) lahko dostopa samo sistemska programska oprema z ustreznimi privilegiji.Poverilnice, ki jih uporablja Credential Manager, lokalne prijave in poverilnice, ki se uporabljajo v povezavah, kot je oddaljeno namizje, niso več na voljo. Vsaka zlonamerna koda, ki poskuša neposredno prebrati pomnilnik običajnega procesa LSA, bo ugotovila, da so te skrivnosti izginile.

Ta pristop drastično zmanjša učinkovitost klasičnih orodij za postopno izkoriščanje, kot so Mimikatz za napade Pass-the-Hash ali Pass-the-TicketTo je zato, ker se zgoščene vrednosti in vstopnice, ki jih je bilo prej enostavno izvleči, zdaj nahajajo v izoliranem vsebniku v pomnilniku, do katerega zlonamerna programska oprema ne more tako enostavno dostopati, tudi če ima skrbniške pravice v ogroženem sistemu.

Treba je pojasniti, da Credential Guard ni isto kot Device Guard.Medtem ko Credential Guard ščiti poverilnice in skrivnosti, se Device Guard (in sorodne tehnologije za nadzor aplikacij) osredotoča na preprečevanje izvajanja nepooblaščene kode v računalniku. Dopolnjujeta se, vendar rešujeta različne težave.

Kljub temu, Credential Guard ni čarobna rešitev proti Mimikatzu ali notranjim napadalcem.Napadalec, ki že nadzoruje končno točko, bi lahko zajel poverilnice, ko jih uporabnik vnaša (na primer z zapisovalnikom tipk ali z vstavljanjem kode v postopek preverjanja pristnosti). Prav tako ne preprečuje zaposlenemu z legitimnim dostopom do določenih podatkov, da bi jih kopiral ali ukradel; Credential Guard ščiti poverilnice v pomnilniku, ne pa vedenja uporabnika.

Credential Guard je privzeto omogočen v sistemih Windows 11 in Windows Server

V sodobnih različicah sistema Windows se Credential Guard v mnogih primerih samodejno aktivira.Od sistema Windows 11 22H2 in Windows Server 2025 naprej imajo naprave, ki izpolnjujejo določene zahteve glede strojne opreme, vdelane programske opreme in konfiguracije, privzeto omogočeno funkcijo VBS in Credential Guard, ne da bi moral skrbnik karkoli storiti.

V teh sistemih, Privzeto omogočanje se izvede brez zaklepanja UEFITo pomeni, da čeprav je Credential Guard privzeto omogočen, ga lahko skrbnik pozneje onemogoči na daljavo prek skupinskega pravilnika, Intune ali drugih metod, ker možnost zaklepanja v vdelani programski opremi ni bila aktivirana.

Pri Aktiviran je Credential Guard, omogočena pa je tudi varnost na osnovi virtualizacije (VBS).VBS je komponenta, ki ustvarja zaščiteno okolje, kjer so LSA izolirani in kjer so shranjene skrivnosti, zato obe funkciji v teh različicah gresta z roko v roki.

Pomemben odtenek je, da Vedno prevladajo vrednosti, ki jih izrecno konfigurira skrbnik. nad privzetimi nastavitvami. Če je funkcija Credential Guard omogočena ali onemogočena prek Intune, GPO ali registra, to ročno stanje po ponovnem zagonu računalnika prepiše privzeto omogočanje.

Poleg tega, če V eni napravi je bila funkcija Credential Guard izrecno onemogočena, preden je bila izvedena nadgradnja na različico sistema Windows, ki jo privzeto omogoča.Naprava bo po posodobitvi spoštovala to deaktivacijo in se ne bo samodejno vklopila, razen če se njena konfiguracija ponovno spremeni z enim od orodij za upravljanje.

Zahteve glede sistema, strojne opreme, vdelane programske opreme in licenciranja

Da lahko Credential Guard nudi resnično zaščitoOprema mora izpolnjevati določene zahteve glede strojne, vdelane in programske opreme. Boljše kot so zmogljivosti platforme, višja je dosegljiva raven varnosti.

prvo, 64-bitni procesor je obvezen in združljivost z varnostjo, ki temelji na virtualizaciji. To pomeni, da morata procesor in matična plošča podpirati ustrezne razširitve virtualizacije, pa tudi aktivacijo teh funkcij v UEFI/BIOS.

Drug kritični element je varen zagon (Secure Boot)Varni zagon zagotavlja, da se sistem zažene z nalaganjem samo zaupanja vredne, podpisane vdelane in programske opreme. Varni zagon uporabljata VBS in Credential Guard, da preprečita napadalcu spreminjanje zagonskih komponent za onemogočanje ali manipulacijo zaščite.

Čeprav ni nujno obvezno, je njegova prisotnost zelo priporočljiva. Modul zaupanja vredne platforme (TPM) različice 1.2 ali 2.0Ne glede na to, ali gre za diskretno ali vdelano programsko opremo, TPM omogoča povezavo šifrirnih skrivnosti in ključev s strojno opremo, kar doda dodatno plast, ki resno zaplete zadeve za vsakogar, ki poskuša te skrivnosti prenesti ali ponovno uporabiti v drugi napravi.

Prav tako je zelo priporočljivo omogočiti UEFI zaklepanje za Credential GuardTo preprečuje, da bi kdo z dostopom do sistema onemogočil zaščito zgolj s spreminjanjem registrskega ključa ali pravilnika. Ko je zaklep aktiven, onemogočanje funkcije Credential Guard zahteva veliko bolj nadzorovan in ekspliciten postopek.

Na področju licenciranja, Credential Guard ni na voljo v vseh izdajah sistema WindowsNa splošno je podprt v izdajah za podjetja in izobraževalne ustanove: Windows Enterprise in Windows Education imata podporo, medtem ko Windows Pro ali Pro Education/SE privzeto ne vključujeta podpore.

P Pravice uporabe Credential Guard so vezane na določene naročniške licence., kot sta Windows Enterprise E3 in E5 ter Windows Education A3 in A5. Izdaje Pro, kar zadeva licenciranje, niso upravičene do te napredne funkcionalnosti, čeprav uporabljajo isto binarno datoteko operacijskega sistema.

Združljivost aplikacij in zaklenjene funkcije

Pred množično uporabo sistema Credential GuardPriporočljivo je temeljito pregledati aplikacije in storitve, ki se zanašajo na specifične mehanizme preverjanja pristnosti. Vsa starejša programska oprema ne deluje dobro s temi zaščitami, nekateri protokoli pa so neposredno blokirani.

Ko je omogočena funkcija Credential Guard, so funkcije, ki veljajo za tvegane, onemogočene, tako da Aplikacije, ki so od njih odvisne, prenehajo delovati pravilnoTemu pravimo zahteve aplikacije: pogoji, ki se jim je treba izogniti, če želite Credential Guard še naprej uporabljati brez incidentov.

Med značilnostmi, ki Neposredno so blokirani izstopati:

• Združljivost šifriranja Kerberos DES.
• Delegiranje Kerberosa brez omejitev.
• Pridobivanje TGT iz Kerberosa iz LSA.
• Protokol NTLMv1.

Poleg tega, Obstajajo funkcije, ki sicer niso povsem prepovedane, vendar vključujejo dodatna tveganja če se uporablja v kombinaciji s Credential Guard. Aplikacije, ki se zanašajo na implicitno preverjanje pristnosti, delegiranje poverilnic, MS-CHAPv2 ali CredSSP, so še posebej občutljive, saj lahko, če niso skrbno konfigurirane, nevarno razkrijejo poverilnice.

Opazili so jih tudi težave z zmogljivostjo v aplikacijah, ki poskušajo vzpostaviti neposredno povezavo ali interakcijo z izoliranim procesom LSAIso.exeKer je ta postopek zaščiten in izoliran, lahko vsak ponavljajoči se poskus dostopa v določenih scenarijih poveča stroške ali povzroči upočasnitev.

Dobra stvar je ta sodobne storitve in protokoli, ki uporabljajo Kerberos kot standardFunkcije, kot sta dostop do skupnih virov SMB ali pravilno konfigurirano oddaljeno namizje, še naprej delujejo normalno in nanje aktivacija funkcije Credential Guard ne vpliva, če niso odvisne od zgoraj omenjenih starejših funkcij.

Kako omogočiti Credential Guard: Intune, GPO in register

Idealen način za aktiviranje funkcije Credential Guard je odvisen od velikosti in upravljanja vašega okolja.Za organizacije s sodobnimi sistemi upravljanja je Microsoft Intune (MDM) zelo priročen, medtem ko se v tradicionalnih domenah Active Directory še vedno pogosto uporablja skupinska politika. Za natančnejše prilagoditve ali specifične avtomatizacije ostaja možnost register.

Najprej je ključnega pomena razumeti, da Preden računalnik pridružite domeni, morate omogočiti zaščito poverilnic. ali preden se uporabnik domene prvič prijavi. Če se aktivira pozneje, so lahko skrivnosti uporabnika in računalnika že ogrožene, kar zmanjša dejansko korist zaščite.

Na splošno lahko Credential Guard omogočite tako, da:

• Upravljanje Microsoft Intune / MDM.
• Skupinski pravilnik (GPO) v imeniku Active Directory ali lokalnem urejevalniku pravilnikov.
• Neposredno spreminjanje registra sistema Windows.

Z uporabo katere koli od teh nastavitev, Ne pozabite, da je ponovni zagon naprave obvezen. Da spremembe začnejo veljati, se Credential Guard, VBS in vse izolacijske komponente inicializirajo ob zagonu, zato zgolj sprememba pravilnika ni dovolj.

Aktivirajte Credential Guard z Microsoft Intune

Če upravljate svoje naprave z Intune, imate na voljo dva pristopa Glavne možnosti: Uporabite predloge Endpoint Security ali uporabite pravilnik po meri, ki konfigurira DeviceGuard CSP prek OMA-URI.

Na portalu Intune, Lahko greste na »Varnost končnih točk > Zaščita računa« in ustvarite nov pravilnik za zaščito računa. Izberite platformo »Windows 10 in novejše različice« in vrsto profila »Zaščita računa« (v različnih različicah, odvisno od razpoložljive različice).

Pri konfiguriranju nastavitev, Nastavite možnost »Vklopi zaščito poverilnic« na »Omogoči z zaklepanjem UEFI«. Če želite preprečiti enostavno onemogočanje zaščite na daljavo, je Credential Guard "zasidran" v vdelani programski opremi, kar zviša raven fizične in logične varnosti naprave.

Ko so parametri definirani, Pravilnik dodelite skupini, ki vsebuje naprave ali uporabniške objekte, ki jih želite zaščititi.Pravilnik bo uporabljen, ko se naprava sinhronizira z Intune, in po ustreznem ponovnem zagonu bo aktivirana funkcija Credential Guard.

Če želite nadzorovati drobne podrobnosti, Uporabite lahko pravilnik po meri, ki temelji na ponudniku kriptovalut DeviceGuard.Za to je treba ustvariti vnose OMA-URI z ustreznimi imeni in vrednostmi, na primer:

konfiguracija
imeOmogočite varnost na osnovi virtualizacije OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Vrsta podatkov: int Valor: 1
imeKonfiguracija zaščite poverilnic OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Vrsta podatkov: int Valor: Omogočeno z zaklepanjem UEFI: 1 Omogočeno brez blokiranja: 2

Po uporabi te pravilnika po meri in ponovnem zagonu, Naprava se bo zagnala z aktivnima funkcijama VBS in Credential Guard., sistemske poverilnice pa bodo zaščitene v izoliranem vsebniku.

Konfigurirajte Credential Guard z uporabo skupinske politike

V okoljih s tradicionalnim imenikom Active DirectoryNajbolj naraven način za množično omogočanje funkcije Credential Guard je prek objektov skupinskih pravilnikov (GPO). To lahko storite bodisi v lokalnem urejevalniku pravilnikov v enem računalniku bodisi v upravitelju skupinskih pravilnikov na ravni domene.

Če želite konfigurirati pravilnik, odprite ustrezni urejevalnik pravilnikov skupinske politike in se pomaknite do poti Konfiguracija računalnika > Skrbniške predloge > Sistem > Zaščita napraveV tem razdelku boste našli pravilnik »Omogoči varnost na osnovi virtualizacije«.

Ta direktiva določa Izberite »Omogočeno« in na spustnem seznamu izberite želene nastavitve za zaščito poverilnic.Izbirate lahko med možnostjo »Omogočeno z zaklepom UEFI« ali »Omogočeno brez zaklepa«, odvisno od želene ravni fizične zaščite.

Ko je GPO konfiguriran, povežite ga z organizacijsko enoto ali domeno, kjer se nahajajo ciljni računalnikiNjegovo uporabo lahko natančno prilagodite s filtriranjem varnostnih skupin ali filtri WMI, tako da velja le za določene vrste naprav (na primer le za poslovne prenosnike z združljivo strojno opremo).

Ko stroji prejmejo direktivo in se znova zaženejo, Credential Guard bo aktiviran v skladu s konfiguracijo GPO., pri čemer izkorišča infrastrukturo domene za njeno standardizirano uvedbo.

Omogočite Credential Guard s spreminjanjem registra sistema Windows

Če potrebujete zelo natančen nadzor ali avtomatizirati uvajanje s skriptiCredential Guard lahko konfigurirate neposredno z uporabo ključev registra. Ta metoda zahteva natančnost, saj lahko napačna vrednost sistem spravi v nepričakovano stanje.

Da bi bila varnost na osnovi virtualizacije in Credential Guard aktivna, Ustvariti ali spremeniti morate več vnosov pod določenimi potmiKljučne točke so:

konfiguracija
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard ime: EnableVirtualizationBasedSecurity tipo: REG_DWORD Valor: 1 (omogoča varnost na osnovi virtualizacije)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard ime: RequirePlatformSecurityFeatures tipo: REG_DWORD Valor: 1 (z uporabo varnega zagona) 3 (varen zagon + zaščita DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa ime: LsaCfgFlags tipo: REG_DWORD Valor: 1 (omogoči Credential Guard z zaklepanjem UEFI) 2 (omogoča Credential Guard brez zaklepanja)

Po uporabi teh vrednosti, Znova zaženite računalnik, da se aktivirata hipervizor sistema Windows in izolirani proces LSA.Brez te ponastavitve spremembe v registru dejansko ne bodo aktivirale zaščite pomnilnika.

Kako preveriti, ali je Credential Guard omogočen in deluje

Preverite, ali je postopek LsaIso.exe Pojavi se v upravitelju opravil. Morda ponuja namig, vendar Microsoft tega ne smatra za zanesljivo metodo za potrditev delovanja Credential Guard. Obstajajo robustnejši postopki, ki temeljijo na vgrajenih sistemskih orodjih.

Med priporočenimi možnostmi za Preveri stanje zaščite poverilnic Mednje spadajo sistemske informacije, PowerShell in pregledovalnik dogodkov. Vsaka metoda ponuja drugačno perspektivo, zato se je vredno seznaniti z vsemi.

Najbolj vizualna metoda je tista, ki Informacije o sistemu (msinfo32.exe)V meniju Start preprosto zaženite to orodje, izberite »Povzetek sistema« in preverite razdelek »Izvajanje varnostnih storitev na osnovi virtualizacije«, da potrdite, da se »Credential Guard« prikaže kot aktivna storitev.

Če imate raje nekaj, kar se da skriptirati, PowerShell je vaš zaveznikIz konzole s povišanimi privilegiji lahko zaženete naslednji ukaz:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Izhod tega ukaza z uporabo numeričnih kod označuje, ali Ali je Credential Guard na tem računalniku omogočen ali neVrednost 0 pomeni, da je Credential Guard onemogočen.Medtem ko je 1 pomeni, da je aktiviran in deluje. kot del varnostnih storitev, ki temeljijo na virtualizaciji.

Končno Pregledovalnik dogodkov vam omogoča pregled zgodovine delovanja funkcije Credential Guard.Otvoritev eventvwr.exe Z navigacijo do »Dnevniki sistema Windows > Sistem« lahko filtrirate po viru dogodka »WinInit« in poiščete sporočila, povezana z inicializacijo storitev Device Guard in Credential Guard, kar je uporabno za redne preglede.

Onemogočite zaščito poverilnic in upravljajte zaklepanje UEFI

Čeprav je splošno priporočilo, da Credential Guard ostane aktiviran V vseh sistemih, ki ga podpirajo, ga je v nekaterih zelo specifičnih primerih morda treba onemogočiti, bodisi za odpravo nezdružljivosti s starejšimi aplikacijami bodisi za izvajanje določenih diagnostičnih nalog.

Natančen postopek za Onemogočanje zaščite poverilnic je odvisno od tega, kako je bila prvotno konfigurirana.Če je bilo omogočeno brez zaklepanja UEFI, preprosto razveljavite pravilnike Intune, GPO ali registra in znova zaženite računalnik. Če pa je bilo omogočeno z zaklepanjem UEFI, so potrebni dodatni koraki, ker je del konfiguracije shranjen v spremenljivkah EFI vdelane programske opreme.

V posebnem primeru Omogočena je zaščita poverilnic z zaklepanjem UEFINajprej morate slediti standardnemu postopku onemogočanja (razveljavitev direktiv ali vrednosti registra) in nato odstraniti povezane spremenljivke EFI z uporabo bcdedit in uporabnost SecConfig.efi z naprednim scenarijem.

Tipičen tok vključuje priklopite začasni pogon EFI, kopirajte SecConfig.efi, ustvarite nov vhod za polnilnik z bcdeditKonfigurirajte možnosti tako, da onemogočite izolirano LSA in nastavite začasno zagonsko zaporedje prek upravitelja zagona sistema Windows ter odklopite pogon na koncu postopka.

Po ponovnem zagonu računalnika s to konfiguracijo, Preden se Windows zažene, se prikaže sporočilo z opozorilom o spremembi v UEFI.Potrditev tega sporočila je obvezna za trajne spremembe in za to, da je zaklepanje Credential Guard EFI v vdelani programski opremi resnično onemogočeno.

Če je tisto, kar potrebuješ Onemogočanje zaščite poverilnic na določenem navideznem računalniku Hyper-VTo lahko storite z gostitelja, ne da bi se dotaknili gosta, z uporabo PowerShella. Tipičen ukaz bi bil:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

S to prilagoditvijo virtualni stroj Neha uporabljati VBS in s tem preneha izvajati Credential Guard. čeprav gostujoči operacijski sistem podpira to funkcijo, kar je lahko uporabno v zelo specifičnih laboratorijskih ali testnih okoljih.

Credential Guard na virtualnih strojih Hyper-V

Credential Guard ni omejen na fizično opremoPrav tako lahko zaščiti poverilnice v virtualnih strojih z operacijskim sistemom Windows v okoljih Hyper-V, kar zagotavlja raven izolacije, podobno tisti, ki je na voljo v strojni opremi brez bremena.

V teh situacijah Credential Guard ščiti skrivnosti pred napadi, ki izvirajo iz samega virtualnega stroja.Z drugimi besedami, če napadalec ogrozi sistemske procese znotraj navideznega stroja (VM), bo zaščita VBS še naprej izolirala LSA in zmanjšala izpostavljenost zgoščenim vrednostim (hash) in zahtevam (tickets).

Vendar je pomembno, da je omejitev jasna: Credential Guard ne more zaščititi virtualnega stroja pred napadi, ki izvirajo iz gostitelja. s povišanimi privilegiji. Hipervizor in gostiteljski sistem imata dejansko popoln nadzor nad virtualnimi stroji, zato bi lahko zlonamerni skrbnik gostitelja zaobšel te ovire.

Da bi Credential Guard pravilno deloval v teh vrstah uvajanj, Gostitelj Hyper-V mora imeti IOMMU (vhodno/izhodna enota za upravljanje pomnilnika), ki omogoča izoliranje dostopa do pomnilnika in naprav, virtualni stroji pa morajo biti 2. generacija z vdelano programsko opremo UEFI, ki omogoča varen zagon in druge potrebne zmogljivosti.

S temi zahtevami, Izkušnja uporabe Credential Guard na virtualnih strojih je zelo podobna kot na fizičnem računalniku.vključno z istimi metodami aktivacije (Intune, GPO, register) in metodami preverjanja (msinfo32, PowerShell, pregledovalnik dogodkov).

Exploit Guard in Microsoft Defender: Aktiviranje in upravljanje splošne zaščite

Poleg programa Credential Guard se varnostni ekosistem sistema Windows zanaša tudi na protivirusni program Microsoft Defender. in v tehnologijah, kot je Exploit Guard, ki vključuje pravila za zmanjšanje površine napadov, zaščito omrežja, nadzor dostopa do map in druge funkcije, namenjene upočasnitvi zlonamerne programske opreme in blaženju izkoriščanja.

V mnogih ekipah, Protivirusni program Microsoft Defender je vnaprej nameščen in privzeto aktiviran V sistemih Windows 8, Windows 10 in Windows 11 je na voljo, vendar je relativno pogosto, da je onemogočen zaradi prejšnjih pravilnikov, namestitve rešitev drugih proizvajalcev ali ročnih sprememb registra.

za Aktivirajte protivirusni program Microsoft Defender z uporabo lokalnega skupinskega pravilnikaOdprete lahko meni Start, poiščete »Pravilnik skupine« in izberete »Uredi pravilnik skupine«. V razdelku »Konfiguracija računalnika > Skrbniške predloge > Komponente sistema Windows > Protivirusni program Windows Defender« boste videli možnost »Izklopi protivirusni program Windows Defender«.

Če je ta pravilnik nastavljen na »Omogočeno«, to pomeni, da je protivirusni program prisilno onemogočen. Če želite obnoviti njegovo funkcionalnost, nastavite možnost na »Onemogočeno« ali »Ni konfigurirano«.Uporabite spremembe in zaprite urejevalnik. Storitev se bo lahko znova zagnala po naslednji posodobitvi pravilnika.

Če takrat Defender je bil izrecno onemogočen v registruPreveriti boš moral pot HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender in poiščite vrednost DisableAntiSpywareZ urejevalnikom registra ga lahko odprete in nastavite njegove »Vrednostne podatke« na 0Sprejemanje spremembe, da se protivirusnemu programu omogoči ponovno delovanje.

Po teh prilagoditvah pojdite na »Start > Nastavitve > Posodobitev in varnost > Windows Defender« (v novejših različicah »Varnost sistema Windows«) in Preverite, ali je stikalo »Zaščita v realnem času« omogočenoČe je še vedno izklopljen, ga ročno vklopite, da zagotovite, da se protivirusna zaščita zažene skupaj s sistemom.

Za maksimalno zaščito je priporočljivo Omogočite zaščito v realnem času in zaščito v oblakuV aplikaciji »Varnost sistema Windows« pojdite na »Zaščita pred virusi in grožnjami > Nastavitve zaščite pred virusi in grožnjami > Upravljanje nastavitev« in aktivirajte ustrezna stikala.

Če te možnosti niso vidne, je verjetno, da Skupinska politika skriva razdelek protivirusne zaščite. V razdelku »Varnost sistema Windows« preverite »Konfiguracija računalnika > Skrbniške predloge > Komponente sistema Windows > Varnost sistema Windows > Zaščita pred virusi in grožnjami« in se prepričajte, da je pravilnik »Skrij območje zaščite pred virusi in grožnjami« nastavljen na »Onemogočeno«, s čimer boste uporabili spremembe.

Enako pomembno je posodabljajte definicije virusov To omogoča programu Microsoft Defender zaznavanje nedavnih groženj. V razdelku »Varnost sistema Windows« v razdelku »Zaščita pred virusi in grožnjami« v razdelku »Posodobitve zaščite pred grožnjami« kliknite »Preveri posodobitve« in dovolite prenos najnovejših podpisov.

Če imate raje ukazno vrstico, je tudi to možnost. Storitev Microsoft Defender lahko zaženete iz ukazne vrstice CMDPritisnite Windows + R, vnesite cmd Nato v ukazni vrstici (po možnosti s povišanimi privilegiji) zaženite:

sc start WinDefend

S tem ukazom, Zažene se glavna protivirusna storitev pod pogojem, da ni dodatnih pravilnikov ali blokad, ki bi to preprečevale, kar vam omogoča hitro preverjanje, ali se motor zažene brez napak.

Če želite ugotoviti, ali vaš računalnik uporablja Microsoft Defender, preprosto pojdite na »Start > Nastavitve > Sistem« in nato odprite »Nadzorno ploščo«. V razdelku »Varnost in vzdrževanje« boste našli razdelek »Varnost in zaščita sistema«, kjer Videli boste povzetek stanja protivirusne zaščite in drugih aktivnih ukrepov. v ekipi.

S kombiniranjem Credential Guard za zaščito poverilnic v pomnilniku S pravilno konfiguriranim programom Microsoft Defender, zaščito pred izkoriščanjem in ustreznimi pravili za utrjevanje varnosti se doseže bistveno višja raven varnosti pred krajo poverilnic, napredno zlonamerno programsko opremo in lateralnim gibanjem znotraj domene. Čeprav je združljivost s starejšimi protokoli in aplikacijami vedno povezana s stroški, splošno izboljšanje varnosti v večini organizacij to več kot nadomesti.