Si të aktivizoni Microsoft Defender Credential Guard dhe Exploit Guard

Mbrojtja e kredencialeve në Windows dhe forcimi i sistemit kundër shfrytëzimeve Është bërë pothuajse e detyrueshme në çdo mjedis modern biznesi. Sulme të tilla si Pass-the-Hash, Pass-the-Ticket ose abuzimi me dobësitë zero-day shfrytëzojnë çdo mbikëqyrje në konfigurim për të lëvizur anash përmes rrjetit dhe për të marrë kontrollin e serverave dhe stacioneve të punës brenda pak minutash.

Në këtë kontekst, Teknologjitë e Microsoft Defender Credential Guard dhe Exploit Guard (së bashku me motorin antivirus Microsoft Defender) janë komponentë kryesorë të strategjisë së sigurisë në Windows 10, Windows 11 dhe Windows Server. Në rreshtat e mëposhtëm, do të shihni, hap pas hapi dhe në detaje, se si funksionojnë ato, kërkesat e tyre dhe si t'i aktivizoni ose çaktivizoni ato në mënyrë korrekte duke përdorur Intune, Group Policy, Registry, PowerShell dhe mjete të tjera, duke shmangur njëkohësisht prishjen e panevojshme të përputhshmërisë.

Çfarë është Microsoft Defender Credential Guard dhe pse është kaq i rëndësishëm?

Windows Defender Credential Guard është një veçori sigurie E prezantuar nga Microsoft në Windows 10 Enterprise dhe Windows Server 2016, kjo veçori mbështetet në sigurinë e bazuar në virtualizim (VBS) për të izoluar sekretet e autentifikimit. Në vend që Autoriteti Lokal i Sigurisë (LSA) të menaxhojë drejtpërdrejt kredencialet në memorie, përdoret një proces i izoluar LSA.LSAIso.exe) ekzekutuar në një mjedis të mbrojtur.

Falë këtij izolimi, Vetëm softueri i sistemit me privilegjet e duhura mund të hyjë në hashet NTLM dhe tiketat Kerberos (TGT).Kredencialet e përdorura nga Credential Manager, hyrjet lokale dhe kredencialet e përdorura në lidhje të tilla si Remote Desktop nuk janë më të disponueshme. Çdo kod keqdashës që përpiqet të lexojë drejtpërdrejt kujtesën e një procesi konvencional LSA do të zbulojë se ato sekrete janë zhdukur.

Kjo qasje zvogëlon në mënyrë drastike efektivitetin e mjeteve klasike pas shfrytëzimit, siç janë Mimikatz për sulmet Pass-the-Hash ose Pass-the-TicketKjo ndodh sepse hash-et dhe tiketat që më parë ishin të lehta për t'u nxjerrë, tani ndodhen në një enë të izoluar në memorie, të cilës programi keqdashës nuk mund t'i qaset aq lehtë, edhe nëse ka privilegje administratori në sistemin e kompromentuar.

Duhet sqaruar se Mbrojtja e kredencialeve nuk është e njëjtë me Mbrojtjen e PajisjeveNdërsa Credential Guard mbron kredencialet dhe sekretet, Device Guard (dhe teknologjitë e kontrollit të aplikacioneve që lidhen me to) përqendrohet në parandalimin e ekzekutimit të kodit të paautorizuar në kompjuter. Ato janë plotësuese, por zgjidhin probleme të ndryshme.

Edhe kështu, Roja e Kredencialeve nuk është një zgjidhje e shkëlqyer kundër Mimikatz ose kundër sulmuesve të brendshëm.Një sulmues që tashmë kontrollon një pikë fundore mund të kapë kredencialet ndërsa përdoruesi i fut ato (për shembull, me një regjistrues çelësash ose duke injektuar kod në procesin e vërtetimit). Gjithashtu, kjo nuk e pengon një punonjës me qasje legjitime në të dhëna të caktuara që t'i kopjojë ose t'i nxjerrë ato; Credential Guard mbron kredencialet në kujtesë, jo sjelljen e përdoruesit.

Mbrojtja e kredencialeve aktivizohet si parazgjedhje në Windows 11 dhe Windows Server

Në versionet moderne të Windows, Credential Guard aktivizohet automatikisht në shumë raste.Duke filluar me Windows 11 22H2 dhe Windows Server 2025, pajisjet që plotësojnë kërkesa të caktuara për harduerin, firmware-in dhe konfigurimin marrin VBS dhe Credential Guard të aktivizuara si parazgjedhje, pa pasur nevojë që administratori të bëjë asgjë.

Në këto sisteme, Aktivizimi i parazgjedhur kryhet pa bllokim UEFIKjo do të thotë që, megjithëse Credential Guard është aktivizuar si parazgjedhje, administratori mund ta çaktivizojë atë më vonë nga distanca nëpërmjet politikës së grupit, Intune ose metodave të tjera, sepse opsioni i kyçjes nuk është aktivizuar në firmware.

Kur Mbrojtja e kredencialeve është aktivizuar dhe siguria e bazuar në virtualizim (VBS) është gjithashtu e aktivizuar.VBS është komponenti që krijon mjedisin e mbrojtur ku LSA-të janë të izoluara dhe ku ruhen sekretet, kështu që të dyja veçoritë shkojnë krah për krah në këto versione.

Një nuancë e rëndësishme është se Vlerat e konfiguruara në mënyrë të qartë nga administratori mbizotërojnë gjithmonë. mbi cilësimet fillestare. Nëse Credential Guard është aktivizuar ose çaktivizuar nëpërmjet Intune, GPO ose Registry, ajo gjendje manuale mbishkruan aktivizimin fillestar pas rinisjes së kompjuterit.

Për më tepër, nëse Një pajisje e kishte të çaktivizuar në mënyrë të qartë Credential Guard përpara se të përditësohej në një version të Windows që e aktivizon atë si parazgjedhje.Pajisja do ta respektojë këtë çaktivizim pas përditësimit dhe nuk do të ndizet automatikisht, përveç nëse konfigurimi i saj ndryshohet përsëri duke përdorur një nga mjetet e menaxhimit.

Kërkesat për sistemin, harduerin, firmware-in dhe licencimin

Në mënyrë që Garda e Kredencialeve të mund të ofrojë mbrojtje të vërtetëPajisjet duhet të përmbushin kërkesa të caktuara për harduerin, firmware-in dhe softuerin. Sa më të mira të jenë aftësitë e platformës, aq më i lartë është niveli i arritshëm i sigurisë.

Së pari, Një CPU 64-bit është i detyrueshëm dhe pajtueshmërinë me sigurinë e bazuar në virtualizim. Kjo do të thotë që procesori dhe pllaka amë duhet të mbështesin zgjerimet e duhura të virtualizimit, si dhe aktivizimin e këtyre veçorive në UEFI/BIOS.

Një element tjetër kritik është nisje e sigurt (Nisje e sigurt)Secure Boot siguron që sistemi të fillojë duke ngarkuar vetëm firmware dhe softuer të besuar dhe të nënshkruar. Secure Boot përdoret nga VBS dhe Credential Guard për të parandaluar një sulmues nga modifikimi i komponentëve të nisjes për të çaktivizuar ose manipuluar mbrojtjen.

Edhe pse nuk është rreptësisht e detyrueshme, të kesh një të tillë rekomandohet fuqimisht. Moduli i Platformës së Besuar (TPM) versioni 1.2 ose 2.0Qoftë diskrete apo e bazuar në firmware, TPM lejon që sekretet dhe çelësat e enkriptimit të lidhen me harduerin, duke shtuar një shtresë shtesë që i ndërlikon seriozisht çështjet për këdo që përpiqet të mbajë ose ripërdorë ato sekrete në një pajisje tjetër.

Gjithashtu është shumë e këshillueshme që të mundësohet Kyçja UEFI për Credential GuardKjo parandalon që kushdo që ka qasje në sistem të çaktivizojë mbrojtjen thjesht duke modifikuar një çelës regjistri ose politikë. Me bllokimin aktiv, çaktivizimi i Credential Guard kërkon një procedurë shumë më të kontrolluar dhe të qartë.

Në fushën e licencimit, Credential Guard nuk është i disponueshëm në të gjitha botimet e Windows.Në përgjithësi, mbështetet në versionet për ndërmarrje dhe arsim: Windows Enterprise dhe Windows Education kanë mbështetje, ndërsa Windows Pro ose Pro Education/SE nuk e përfshijnë atë si parazgjedhje.

L Të drejtat e përdorimit të Credential Guard janë të lidhura me licenca të caktuara abonimi., siç janë Windows Enterprise E3 dhe E5, si dhe Windows Education A3 dhe A5. Versionet Pro, për sa i përket licencimit, nuk kanë të drejtë për këtë funksionalitet të përparuar, edhe pse ato ekzekutojnë të njëjtin skedar binar të sistemit operativ.

Pajtueshmëria e aplikacionit dhe veçoritë e bllokuara

Para vendosjes masive të Gardës së KredencialeveKëshillohet që të shqyrtohen me kujdes aplikacionet dhe shërbimet që mbështeten në mekanizma specifikë vërtetimi. Jo të gjitha softuerët e trashëguar funksionojnë mirë me këto mbrojtje dhe disa protokolle bllokohen drejtpërdrejt.

Kur aktivizohet Mbrojtja e Kredencialeve, veçoritë që konsiderohen të rrezikshme çaktivizohen, në mënyrë që Aplikacionet që varen prej tyre ndalojnë së funksionuari siç duhetKëto njihen si kërkesa aplikimi: kushte që duhen shmangur nëse doni të vazhdoni të përdorni Credential Guard pa incidente.

Ndër veçoritë që Ato bllokohen drejtpërdrejt përfshijnë:

• Pajtueshmëria me enkriptimin Kerberos DES.
• Delegimi i Kerberos pa kufizime.
• Nxjerrja e TGT nga Kerberos nga LSA.
• Protokolli NTLMv1.

Përveç kësaj, Ka karakteristika që, ndonëse nuk janë tërësisht të ndaluara, përfshijnë rreziqe shtesë nëse përdoret në kombinim me Credential Guard. Aplikacionet që mbështeten në autentifikim të nënkuptuar, delegim kredencialesh, MS-CHAPv2 ose CredSSP janë veçanërisht të ndjeshme, pasi ato mund të ekspozojnë në mënyrë të pasigurt kredencialet nëse nuk konfigurohen me kujdes.

Është vërejtur gjithashtu problemet e performancës në aplikacionet që përpiqen të lidhen ose të bashkëveprojnë drejtpërdrejt me procesin e izoluar LSAIso.exeMeqenëse ky proces është i mbrojtur dhe i izoluar, çdo përpjekje e përsëritur për akses mund të shtojë mbingarkesë ose të shkaktojë ngadalësim në skenarë të caktuar.

E mira është se shërbime dhe protokolle moderne që përdorin Kerberos si standardFunksione të tilla si qasja në burimet e përbashkëta të SMB ose një Desktop i Largët i konfiguruar siç duhet vazhdojnë të funksionojnë normalisht dhe nuk ndikohen nga aktivizimi i Credential Guard, për sa kohë që ato nuk varen nga funksionet e trashëguara të përmendura më sipër.

Si të aktivizoni Credential Guard: Intune, GPO dhe Registry

Mënyra ideale për të aktivizuar Credential Guard varet nga madhësia dhe menaxhimi i mjedisit tuaj.Për organizatat me sisteme moderne menaxhimi, Microsoft Intune (MDM) është shumë i përshtatshëm, ndërsa në domenet tradicionale të Active Directory, Politika e Grupit përdoret ende zakonisht. Për rregullime më të sakta ose automatizime specifike, Regjistri mbetet një opsion.

Para së gjithash, është e rëndësishme të kuptohet se Mbrojtja e kredencialeve duhet të aktivizohet përpara se kompjuteri të bashkohet me domenin. ose para se një përdorues i domenit të identifikohet për herë të parë. Nëse aktivizohet më vonë, sekretet e përdoruesit dhe të makinës mund të jenë tashmë të kompromentuara, duke zvogëluar përfitimin aktual të mbrojtjes.

Në përgjithësi, mund ta aktivizoni Credential Guard duke:

• Menaxhimi i Microsoft Intune / MDM.
• Politika e Grupit (GPO) në Active Directory ose në redaktorin e politikave lokale.
• Modifikim i drejtpërdrejtë i Regjistrit të Windows.

Kur aplikoni ndonjë nga këto cilësime, Mos harroni se rinisja e pajisjes është e detyrueshme. Që ndryshimet të hyjnë në fuqi, Credential Guard, VBS dhe të gjithë komponentët e izolimit inicializohen gjatë nisjes, kështu që thjesht ndryshimi i politikës nuk mjafton.

Aktivizoni Credential Guard me Microsoft Intune

Nëse i menaxhoni pajisjet tuaja me Intune, keni dy qasje Opsionet kryesore: Përdorni shabllone të Endpoint Security ose përdorni një politikë të personalizuar që konfiguron DeviceGuard CSP nëpërmjet OMA-URI.

Në portalin Intune, mund të shkosh te “Siguria e pikës fundore > Mbrojtja e llogarisë” dhe krijoni një politikë të re për mbrojtjen e llogarisë. Zgjidhni platformën "Windows 10 e lart" dhe llojin e profilit "Mbrojtja e llogarisë" (në variantet e tij të ndryshme, varësisht nga versioni i disponueshëm).

Gjatë konfigurimit të cilësimeve, Vendosni opsionin "Aktivizo Mbrojtjen e Kredencialeve" në "Aktivizo me bllokimin UEFI" Nëse doni të parandaloni çaktivizimin e lehtë të mbrojtjes nga distanca, Credential Guard është "i ankoruar" në firmware, duke rritur nivelin e sigurisë fizike dhe logjike të pajisjes.

Pasi të jenë përcaktuar parametrat, Caktoni politikën në një grup që përmban pajisjet ose objektet e përdoruesit që dëshironi të mbroni.Politika do të zbatohet kur pajisja të sinkronizohet me Intune dhe, pas rinisjes përkatëse, do të aktivizohet Credential Guard.

Nëse preferoni të kontrolloni detajet e imëta, Mund të përdorni një politikë të personalizuar bazuar në CSP-në e DeviceGuardPër ta bërë këtë, është e nevojshme të krijoni hyrje OMA-URI me emrat dhe vlerat e duhura, për shembull:

konfiguracion
emërAktivizo sigurinë e bazuar në virtualizim OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Lloji i të dhënave: int trimëri: 1
emërKonfigurimi i Gardës së Kredencialeve OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Lloji i të dhënave: int trimëri: Aktivizuar me kyçjen UEFI: 1 Aktivizuar pa bllokim: 2

Pas zbatimit të kësaj politike të personalizuar dhe rinisjes, Pajisja do të ndizet me VBS dhe Credential Guard aktivë., dhe kredencialet e sistemit do të mbrohen në kontejnerin e izoluar.

Konfiguroni Mbrojtjen e Kredencialeve duke përdorur politikën e grupit

Në mjedise me Active Directory tradicionaleMënyra më natyrale për të aktivizuar Credential Guard në masë është përmes Group Policy Objects (GPO). Mund ta bëni këtë ose nga redaktori lokal i politikave në një kompjuter të vetëm ose nga Group Policy Manager në nivel domeni.

Për të konfiguruar politikën, hapni redaktuesin përkatës të GPO-së dhe shkoni te shtegu Konfigurimi i kompjuterit > Shabllonet administrative > Sistemi > Mbrojtja e pajisjesNë atë seksion do të gjeni politikën "Aktivizoni sigurinë e bazuar në virtualizim".

Kjo direktivë përcakton në Zgjidhni "Aktivizuar" dhe zgjidhni cilësimet e dëshiruara të Credential Guard nga lista zbritëse.Mund të zgjidhni midis "Aktivizuar me kyçje UEFI" ose "Aktivizuar pa kyçje", në varësi të nivelit të mbrojtjes fizike që dëshironi të aplikoni.

Pasi të jetë konfiguruar GPO-ja, lidheni atë me njësinë organizative ose domenin ku ndodhen kompjuterët e synuarMund ta përshtatni aplikacionin e tij duke përdorur filtrimin e grupeve të sigurisë ose filtrat WMI, në mënyrë që të zbatohet vetëm për lloje të caktuara pajisjesh (për shembull, vetëm për laptopët e korporatave me pajisje të pajtueshme).

Kur makinat marrin direktivën dhe rinisin, Mbrojtësi i kredencialeve do të aktivizohet sipas konfigurimit të GPO-së., duke shfrytëzuar infrastrukturën e domenit për ta vendosur atë në një mënyrë të standardizuar.

Aktivizoni Mbrojtjen e Kredencialeve duke modifikuar Regjistrin e Windows

Nëse keni nevojë për kontroll shumë të detajuar ose për të automatizuar vendosjen me skripteMund ta konfiguroni Credential Guard direkt duke përdorur çelësat e Regjistrit. Kjo metodë kërkon saktësi, sepse një vlerë e pasaktë mund ta lërë sistemin në një gjendje të papritur.

Që siguria e bazuar në virtualizim dhe Mbrojtja e Kredencialeve të bëhen aktive, Duhet të krijoni ose modifikoni disa hyrje nën shtigje specifikePikat kryesore janë:

konfiguracion
rrugë: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard emër: EnableVirtualizationBasedSecurity Lloj: REG_DWORD trimëri: 1 (mundëson sigurinë e bazuar në virtualizim)
rrugë: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard emër: RequirePlatformSecurityFeatures Lloj: REG_DWORD trimëri: 1 (duke përdorur nisjen e sigurt) 3 (nisje e sigurt + mbrojtje DMA)
rrugë: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa emër: LsaCfgFlags Lloj: REG_DWORD trimëri: 1 (aktivizon Credential Guard me bllokim UEFI) 2 (aktivizon Credential Guard pa bllokim)

Pas aplikimit të këtyre vlerave, Rinisni kompjuterin në mënyrë që hipervizori i Windows dhe procesi i izoluar LSA të hyjnë në lojë.Pa atë rivendosje, ndryshimet e Regjistrit nuk do ta aktivizojnë në të vërtetë mbrojtjen e memories.

Si të kontrolloni nëse Credential Guard është aktivizuar dhe funksionon

Shikoni nëse procesi LsaIso.exe Shfaqet në Task Manager. Mund të ofrojë një të dhënë, por Microsoft nuk e konsideron si një metodë të besueshme për të konfirmuar që Credential Guard është funksional. Ekzistojnë procedura më të fuqishme, të bazuara në mjetet e integruara të sistemit.

Ndër opsionet e rekomanduara për Kontrolloni statusin e Gardës së Kredencialeve Këto përfshijnë Informacionin e Sistemit, PowerShell dhe Shikuesin e Ngjarjeve. Secila metodë ofron një perspektivë të ndryshme, kështu që ia vlen të njiheni me të gjitha.

Metoda më vizuale është ajo që Informacion mbi sistemin (msinfo32.exe)Nga menyja Start, thjesht ekzekutoni këtë mjet, zgjidhni "System Summary" dhe kontrolloni seksionin "Running virtualization-based security services" për të konfirmuar që "Credential Guard" shfaqet si një shërbim aktiv.

Nëse preferoni diçka të skriptueshme, PowerShell është aleati juajNga një konsol me privilegje të larta, mund të ekzekutoni komandën e mëposhtme:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Rezultati i kësaj komande tregon, duke përdorur kode numerike, nëse Mbrojtja e kredencialeve është aktivizuar ose jo në atë makinëNjë vlerë 0 do të thotë që Credential Guard është i çaktivizuar.Ndërsa 1 tregon që është aktivizuar dhe është në funksionim. si pjesë e shërbimeve të sigurisë të bazuara në virtualizim.

Së fundi, Shikuesi i Ngjarjeve ju lejon të rishikoni sjelljen historike të Credential Guard.Hapja eventvwr.exe Duke lundruar te "Windows Logs > System", mund të filtroni sipas burimit të ngjarjes "WinInit" dhe të gjeni mesazhe që lidhen me inicializimin e shërbimeve Device Guard dhe Credential Guard, të dobishme për auditime periodike.

Çaktivizoni Mbrojtjen e Kredencialeve dhe menaxhoni bllokimin e UEFI-t

Edhe pse rekomandimi i përgjithshëm është që të mbahet aktiv Mbrojtja e Kredencialeve Në të gjitha sistemet që e mbështesin atë, në disa skenarë shumë specifikë mund të jetë e nevojshme ta çaktivizoni, qoftë për të zgjidhur papajtueshmëritë me aplikacionet e trashëguara ose për të kryer detyra të caktuara diagnostikuese.

Procedura e saktë për Çaktivizimi i Credential Guard varet nga mënyra se si është konfiguruar fillimisht.Nëse është aktivizuar pa bllokim UEFI, thjesht rikthejeni politikat e Intune, GPO ose të Regjistrit dhe ristartoni kompjuterin. Megjithatë, nëse është aktivizuar me bllokim UEFI, kërkohen hapa shtesë sepse disa nga konfigurimet ruhen në variablat EFI të firmware-it.

Në rastin specifik të Mbrojtja e kredencialeve e aktivizuar me bllokimin UEFISë pari, duhet të ndiqni procesin standard të çaktivizimit (kthimi i direktivave ose vlerave të Regjistrit) dhe më pas të hiqni variablat përkatëse EFI duke përdorur bcdedit dhe shërbimeve SecConfig.efi me një skript të avancuar.

Rrjedha tipike përfshin montoni një disk të përkohshëm EFI, kopjoni SecConfig.efi, krijoni një hyrje të re ngarkuesi me bcdeditKonfiguroni opsionet tuaja për të çaktivizuar LSA-në e izoluar dhe për të vendosur një sekuencë të përkohshme nisjeje përmes menaxherit të nisjes së Windows, si dhe për të çmontuar diskun në fund të procesit.

Pasi ta ristartoni kompjuterin me këtë konfigurim, Para se të fillojë Windows, do të shfaqet një mesazh që paralajmëron për një ndryshim në UEFI.Konfirmimi i këtij mesazhi është i detyrueshëm që ndryshimet të jenë të qëndrueshme dhe që kyçi EFI i Credential Guard të jetë vërtet i çaktivizuar në firmware.

Nëse ajo që ju nevojitet është Çaktivizoni Credential Guard në një makinë virtuale specifike Hyper-VMund ta bësh këtë nga hosti, pa e prekur mysafirin, duke përdorur PowerShell. Një komandë tipike do të ishte:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Me atë rregullim, makina virtuale Ndërpret përdorimin e VBS dhe për këtë arsye ndalon ekzekutimin e Credential Guard. edhe pse sistemi operativ mysafir e mbështet këtë veçori, e cila mund të jetë e dobishme në mjedise shumë specifike laboratorike ose testimi.

Mbrojtja e kredencialeve në makinat virtuale Hyper-V

Mbrojtja e Kredencialeve nuk kufizohet vetëm në pajisjet fizikeGjithashtu mund të mbrojë kredencialet brenda makinave virtuale që përdorin Windows në mjedise Hyper-V, duke ofruar një nivel izolimi të ngjashëm me atë të disponueshëm në pajisjet e thjeshta.

Në këto situata, Mbrojtësi i Kredencialeve mbron sekretet nga sulmet që burojnë nga vetë makina virtuale.Me fjalë të tjera, nëse një sulmues kompromenton proceset e sistemit brenda VM-së, mbrojtja e VBS do të vazhdojë të izolojë LSA-të dhe të zvogëlojë ekspozimin ndaj hash-eve dhe biletave.

Megjithatë, është e rëndësishme të sqarohet kufiri: Mbrojtësi i Kredencialeve nuk mund ta mbrojë VM-në nga sulmet që vijnë nga hosti. me privilegje të larta. Hipervizori dhe sistemi pritës në mënyrë efektive kanë kontroll të plotë mbi makinat virtuale, kështu që një administrator i keqdashës i hostit mund t'i anashkalojë këto barriera.

Që Credential Guard të funksionojë siç duhet në këto lloje vendosjesh, Hosti Hyper-V duhet të ketë një IOMMU (njësi e menaxhimit të memories hyrëse/dalëse) që lejon izolimin e aksesit në memorie dhe pajisje, dhe makinat virtuale duhet të jenë të Gjenerata 2, me firmware UEFI, i cili aktivizon Nisjen e Sigurt dhe aftësi të tjera të nevojshme.

Me këto kërkesa në vend, Përvoja e përdorimit të Credential Guard në VM është shumë e ngjashme me atë të një makine fizike.duke përfshirë të njëjtat metoda aktivizimi (Intune, GPO, Registry) dhe metoda verifikimi (msinfo32, PowerShell, Event Viewer).

Exploit Guard dhe Microsoft Defender: Aktivizoni dhe menaxhoni mbrojtjen e përgjithshme

Krahas Credential Guard, ekosistemi i sigurisë së Windows mbështetet në Microsoft Defender Antivirus. dhe në teknologji si Exploit Guard, të cilat përfshijnë rregulla për reduktimin e sipërfaqes së sulmit, mbrojtjen e rrjetit, kontrollin e aksesit në dosje dhe veçori të tjera që synojnë ngadalësimin e malware-it dhe zbutjen e shfrytëzimeve.

Në shumë ekipe, Antivirusi i Microsoft Defender vjen i parainstaluar dhe i aktivizuar si parazgjedhje Në Windows 8, Windows 10 dhe Windows 11, është i disponueshëm, por është relativisht e zakonshme ta gjesh të çaktivizuar për shkak të politikave të mëparshme, instalimit të zgjidhjeve të palëve të treta ose ndryshimeve manuale në Regjistër.

në Aktivizoni Microsoft Defender Antivirus duke përdorur politikën lokale të grupitMund të hapni menynë Start, të kërkoni për "Group Policy" dhe të zgjidhni "Edit Group Policy". Brenda "Computer Configuration > Administrative Shabllones > Windows Components > Windows Defender Antivirus", do të shihni opsionin "Turn off Windows Defender Antivirus".

Nëse kjo politikë është vendosur në "Aktivizuar", kjo do të thotë që antivirusi është çaktivizuar me forcë. Për të rivendosur funksionalitetin e tij, vendosni opsionin në "Çaktivizuar" ose "Jo i Konfiguruar".Zbato ndryshimet dhe mbyll redaktuesin. Shërbimi do të jetë në gjendje të fillojë përsëri pas përditësimit të ardhshëm të politikës.

Nëse në atë kohë Mbrojtësi u çaktivizua në mënyrë të qartë nga RegjistriDo të duhet të kontrolloni itinerarin HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender dhe gjeni vlerën DisableAntiSpywareDuke përdorur Redaktorin e Regjistrit, mund ta hapni atë dhe të vendosni "Të dhënat e vlerës" në 0Pranimi i ndryshimit për të lejuar që antivirusi të funksionojë përsëri.

Pas këtyre rregullimeve, shkoni te "Fillimi > Cilësimet > Përditësimi dhe Siguria > Windows Defender" (në versionet më të fundit, "Siguria e Windows") dhe Verifikoni që çelësi "Mbrojtje në kohë reale" është aktivizuarNëse është ende i fikur, ndizeni manualisht për t'u siguruar që mbrojtja antivirus të fillojë me sistemin.

Për mbrojtje maksimale, këshillohet Aktivizoni si mbrojtjen në kohë reale ashtu edhe mbrojtjen në cloudNga aplikacioni "Siguria e Windows", shkoni te "Mbrojtja nga viruset dhe kërcënimet > Cilësimet e mbrojtjes nga viruset dhe kërcënimet > Menaxho cilësimet" dhe aktivizoni çelësat përkatës.

Nëse këto opsione nuk janë të dukshme, ka të ngjarë që Një politikë grupi po fsheh seksionin e mbrojtjes nga antivirusi. Në Sigurinë e Windows-it, kontrolloni "Konfigurimi i kompjuterit > Shabllonet administrative > Komponentët e Windows-it > Siguria e Windows-it > Mbrojtja nga viruset dhe kërcënimet" dhe sigurohuni që politika "Fshih zonën e mbrojtjes nga viruset dhe kërcënimet" të jetë vendosur në "Çaktivizuar", duke zbatuar ndryshimet.

Është po aq e rëndësishme mbajini përkufizimet e viruseve të përditësuara Kjo i lejon Microsoft Defender të zbulojë kërcënimet e fundit. Nga Siguria e Windows, te "Mbrojtja nga viruset dhe kërcënimet", brenda "Përditësimeve të mbrojtjes nga kërcënimet", klikoni "Kontrolloni për përditësime" dhe lejoni shkarkimin e nënshkrimeve më të fundit.

Nëse preferoni rreshtin e komandës, kjo është gjithashtu një mundësi. Mund ta nisësh shërbimin Microsoft Defender nga CMDShtypni Windows + R, shkruani cmd Pastaj, në komandën e shpejtë (mundësisht me privilegje të larta), ekzekutoni:

sc start WinDefend

Me këtë komandë, Shërbimi kryesor antivirus fillon me kusht që të mos ketë politika ose bllokime shtesë që e pengojnë atë, duke ju lejuar të verifikoni shpejt nëse motori ndizet pa gabime.

Për të zbuluar nëse kompjuteri juaj përdor Microsoft Defender, thjesht shkoni te "Fillimi > Cilësimet > Sistemi" dhe më pas hapni "Paneli i Kontrollit". Në seksionin "Siguria dhe Mirëmbajtja", do të gjeni seksionin "Siguria dhe mbrojtja e sistemit", ku Do të shihni një përmbledhje të statusit të mbrojtjes antivirus dhe masave të tjera aktive. në ekip.

Duke kombinuar Mbrojtës i kredencialeve për të mbrojtur kredencialet në kujtesë Me një Microsoft Defender, Exploit Guard të konfiguruar siç duhet dhe rregulla të përshtatshme përforcimi, arrihet një nivel sigurie dukshëm më i lartë kundër vjedhjes së kredencialeve, programeve të avancuara keqdashëse dhe lëvizjes anësore brenda domenit. Ndërsa gjithmonë ka një kosto të lidhur me përputhshmërinë me protokollet dhe aplikacionet e trashëguara, përmirësimi i përgjithshëm i sigurisë e kompenson më shumë se kaq këtë në shumicën e organizatave.