คู่มือฉบับสมบูรณ์สำหรับการตั้งค่า Credential Guard และ Device Guard ใน Windows

มันโดไบต์ » ซอฟต์แวร์ » คู่มือฉบับสมบูรณ์สำหรับการตั้งค่า Credential Guard และ Device Guard ใน Windows

การกำหนดค่า Credential Guard และ Device Guard

ในสภาพแวดล้อมองค์กรสมัยใหม่ ปกป้องข้อมูลประจำตัวและควบคุมการทำงานของโค้ดอย่างเข้มงวด ในระบบ Windows นั้น ไม่ใช่เรื่องที่เลือกได้อีกต่อไปแล้ว ด้วยการมาถึงของ Windows 10, Windows 11 และ Windows Server 2016 และรุ่นต่อๆ มา Microsoft ได้ให้ความสำคัญอย่างมากกับการรักษาความปลอดภัยบนพื้นฐานของเวอร์ชวลไลเซชัน ส่งผลให้เกิดเทคโนโลยีต่างๆ เช่น Credential Guard, Device Guard และ Application Guard ลองดูข้อมูลเพิ่มเติมได้ที่... คู่มือฉบับสมบูรณ์ด้านความปลอดภัยใน Windows 11 สำหรับธุรกิจ.

หากคุณดูแลเครือข่ายคอมพิวเตอร์ คุณคงอยากทราบรายละเอียดเกี่ยวกับวิธีการต่างๆ ตั้งค่า Credential Guard และ Device Guard ให้ถูกต้องรวมถึงวิธีการทำงานร่วมกับมาตรการอื่นๆ เช่น BitLocker, Exploit Guard หรือ Remote Credential Guard และบทบาทของ Microsoft Defender Endpoint Security Baselines (โดยเฉพาะอย่างยิ่งเมื่อทำงานร่วมกับ Intune หรือ GPO แบบดั้งเดิม)

หลักการพื้นฐาน: VBS, VSM และบทบาทของ Credential Guard และ Device Guard

หลักการพื้นฐานของการรักษาความปลอดภัยโดยใช้เวอร์ชวลไลเซชัน

เพื่อให้เข้าใจว่าเหตุใด Credential Guard และ Device Guard จึงมีประสิทธิภาพมาก คุณต้องเข้าใจแนวคิดพื้นฐานก่อน ความปลอดภัยบนพื้นฐานการจำลองเสมือน (VBS)VBS ใช้ประโยชน์จากความสามารถในการจำลองเสมือนของโปรเซสเซอร์ (Intel VT-x หรือ AMD-V) เพื่อสร้างสภาพแวดล้อมที่แยกต่างหากภายในเครื่องเอง ซึ่งแยกออกจากระบบปฏิบัติการหลักในเชิงตรรกะ แนวทางนี้ได้รับการเสริมด้วยเทคนิคต่างๆ เช่น การแยกเคอร์เนลใน Windows 11ซึ่งเป็นการตอกย้ำการแบ่งแยกอย่างชัดเจนระหว่างส่วนแกนกลางและส่วนอื่นๆ ของระบบ

VBS สร้างขึ้นบนพื้นฐาน โหมดความปลอดภัยเสมือน (VSM)ระบบย่อยนี้ทำหน้าที่จัดเก็บและประมวลผลข้อมูลที่มีความละเอียดอ่อนเป็นพิเศษ ระบบปฏิบัติการ "ปกติ" จะไม่เข้าถึงเนื้อหานี้โดยตรง แต่จะโต้ตอบกับเนื้อหานั้นผ่านทางอินเทอร์เฟซที่จำกัดและควบคุมอย่างเข้มงวด ซึ่งช่วยลดช่องโหว่ในการโจมตี

ในบริบทนี้ Credential Guard จึงปรากฏขึ้น ซึ่งใช้ VSM ในการ ปกป้องข้อมูลประจำตัวผู้ใช้และรหัสลับการตรวจสอบสิทธิ์ (เช่น แฮช NTLM หรือตั๋ว Kerberos) เนื่องจากข้อมูลเหล่านี้ถูกแยกออกจากส่วนอื่นๆ ของระบบ แม้ว่าผู้โจมตีจะได้รับสิทธิ์ระดับสูง แต่ก็ยากขึ้นมากที่จะดึงข้อมูลประจำตัวเหล่านั้นออกมาได้

ในทางกลับกัน Device Guard เน้นไปที่การควบคุมโค้ด เป้าหมายของมันคือ เรียกใช้เฉพาะแอปพลิเคชันที่ลงชื่อรับรองและเชื่อถือได้เท่านั้นการบล็อกไฟล์ไบนารีที่ไม่รู้จักหรืออาจเป็นอันตราย ในทางปฏิบัติ Device Guard ถูกนำไปใช้โดยใช้เทคโนโลยีต่างๆ ซึ่งที่รู้จักกันดีที่สุดคือการใช้หลักการตรวจสอบความสมบูรณ์ของโค้ดและการกำหนดค่าตามรายการที่อนุญาต (whitelist)

ทั้งสองวิธีแก้ปัญหาต่างก็อาศัยหลักการพื้นฐานเดียวกัน นั่นคือ ก. สภาพแวดล้อมที่ปลอดภัยซึ่งแยกออกจากกันโดยใช้ VBS/VSMโดยได้รับการสนับสนุนเพิ่มเติมผ่านฮาร์ดแวร์ เช่น TPM (Trusted Platform Module) ซึ่งช่วยปกป้องคีย์เข้ารหัสและตรวจสอบความสมบูรณ์ของการบูตระบบ

มาตรฐานความปลอดภัยพื้นฐานของ Microsoft Defender Endpoint

Microsoft Defender Security Baseline

หากคุณจัดการอุปกรณ์ของคุณด้วย Microsoft Intune หรือ Microsoft Defender Endpoint Security Console เกณฑ์ความปลอดภัยขั้นพื้นฐาน พวกมันเป็นพันธมิตรที่ดีที่สุดของคุณในการปรับใช้การตั้งค่าที่ซับซ้อน (เช่น Credential Guard และ Device Guard) โดยไม่ต้องยุ่งยากกับการตั้งค่าแต่ละอย่าง

เกณฑ์ความปลอดภัยขั้นพื้นฐานก็คือ... ชุดพารามิเตอร์ที่กำหนดค่าไว้ล่วงหน้า สำหรับ Windows การตั้งค่าเหล่านี้จะถูกจัดกลุ่มและแนะนำโดยทีมรักษาความปลอดภัยของ Microsoft เมื่อคุณสร้างโปรไฟล์พื้นฐานใน Intune คุณกำลังสร้างเทมเพลตที่มีการตั้งค่าอุปกรณ์มากมาย เช่น นโยบายข้อมูลประจำตัว การควบคุมแอปพลิเคชัน ตัวเลือก VBS พารามิเตอร์ Defender และอื่นๆ

เอกสารประกอบของ Microsoft Defender for Endpoint ได้เผยแพร่เวอร์ชันต่างๆ ของเกณฑ์พื้นฐานนี้ ตัวอย่างเช่น: 24H1เอกสารฉบับพื้นฐานเดือนธันวาคม 2020 (เวอร์ชัน 6), เอกสารฉบับพื้นฐานเดือนกันยายน 2020 (เวอร์ชัน 5) และเวอร์ชันก่อนหน้า เช่น เวอร์ชันเดือนเมษายนและมีนาคม 2020 แต่ละเอกสารประกอบด้วยรายการตัวเลือกโดยละเอียด พร้อมสถานะเริ่มต้น และหากเป็นไปได้ ลิงก์ไปยังผู้ให้บริการด้านการกำหนดค่า (CSPs) รายละเอียดเฉพาะหรือเอกสารเพิ่มเติมเกี่ยวกับกลุ่มผลิตภัณฑ์เดียวกัน

เมื่อมีการเผยแพร่เวอร์ชันใหม่ของมาตรฐานพื้นฐาน ย้อนกลับไปใช้เวอร์ชันก่อนหน้าโดยอัตโนมัติโปรไฟล์ที่คุณสร้างด้วยเวอร์ชันเก่าจะอยู่ในโหมดอ่านอย่างเดียว: คุณยังคงสามารถกำหนดโปรไฟล์ เปลี่ยนชื่อ คำอธิบาย หรือกลุ่มเป้าหมายได้ แต่คุณไม่สามารถแก้ไขพารามิเตอร์ภายในของโปรไฟล์ได้

เพื่อให้การตั้งค่าสอดคล้องกับมาตรฐานใหม่ Intune จึงอนุญาตให้ทำเช่นนั้นได้ อัปเดตโปรไฟล์เหล่านั้นให้เป็นเวอร์ชันพื้นฐานปัจจุบันเมื่ออัปเดตโปรไฟล์แล้ว คุณจะสามารถแก้ไขการตั้งค่าและปรับเปลี่ยนได้ เช่น สถานะของ Credential Guard, Device Guard, BitLocker หรือตัวเลือกอื่นๆ ที่มีอยู่

ไมโครซอฟต์ยืนยันว่าเกณฑ์พื้นฐานของ Defender endpoint นี้คือ ปรับให้เหมาะสมสำหรับอุปกรณ์ทางกายภาพไม่แนะนำให้ใช้งานโดยตรงในเครื่องเสมือนหรือสภาพแวดล้อม VDI เนื่องจากตัวเลือกบางอย่างอาจรบกวนเซสชันระยะไกลแบบโต้ตอบหรือสถาปัตยกรรมเวอร์ชวลไลเซชันบางประเภท สำหรับสภาพแวดล้อม VDI จำเป็นต้องตรวจสอบเอกสารเฉพาะเกี่ยวกับวิธีการเพิ่มการปฏิบัติตามมาตรฐานพื้นฐานโดยไม่ทำให้ประสบการณ์การใช้งานของผู้ใช้เสียหาย

ข้อกำหนดเบื้องต้นและความเข้ากันได้ของระบบ

ในการใช้งาน Credential Guard และ Device Guard โดยเฉพาะอย่างยิ่งหากต้องการผสานรวมกับเทคโนโลยีอื่นๆ (เช่น Remote Credential Guard, Application Guard, โซลูชันของ Citrix เป็นต้น) การตรวจสอบความถูกต้องเป็นสิ่งสำคัญอย่างยิ่ง ข้อกำหนดด้านฮาร์ดแวร์ ระบบปฏิบัติการ และเวอร์ชันซอฟต์แวร์.

โดยทั่วไปแล้ว คุณจะต้องเตรียมสิ่งต่อไปนี้:

ซีพียูที่รองรับการจำลองเสมือน (Intel VT-x หรือ AMD-V) และต้องเปิดใช้งานเวอร์ชวลไลเซชันใน BIOS/UEFI
การสนับสนุนด้านความปลอดภัยบนพื้นฐานของเวอร์ชวลไลเซชัน (VBS) เปิดใช้งานจากการตั้งค่าความปลอดภัยของระบบ
TPM (ควรใช้ TPM 2.0) เพื่อเสริมความแข็งแกร่งในการจัดเก็บข้อมูลสำคัญและความสมบูรณ์ของการบูตระบบ
เวอร์ชันที่เข้ากันได้ของ Windows 10/11 องค์กร o windows Server ตั้งแต่ปี 2016 เป็นต้นไป เพื่อใช้ประโยชน์จาก VSM

ในด้านเดสก์ท็อปเสมือนและแอปพลิเคชันระยะไกล เอกสารของ Citrix ได้ระบุข้อกำหนดเฉพาะสำหรับบทบาทของตนไว้ การถ่ายโอนโดเมนที่ได้รับการปรับปรุงสำหรับ SSO (การเข้าสู่ระบบครั้งเดียว) ซึ่งอาศัย Remote Credential Guard เป็นหลัก:

ต้องใช้ Virtual Delivery Agent (VDA) เวอร์ชัน 2308 หรือสูงกว่า หากคุณใช้ Windows 11 บนเครื่องโฮสต์เซสชันหรือเครื่องไคลเอ็นต์ ต้องใช้ VDA เวอร์ชัน 2407 หรือ 2402 LTSR CU2 หรือใหม่กว่า
แอปพลิเคชัน Citrix Workspace เวอร์ชัน 2309 หรือสูงกว่า และในสภาพแวดล้อม Windows 11 อย่างน้อยต้องเป็นเวอร์ชัน 2405.10 หรือ 2402 LTSR CU2
ไคลเอนต์ Windows 10/11 64 บิต ที่เข้าร่วมโดเมน Active Directory และมี การเชื่อมต่อโดยตรงกับตัวควบคุมโดเมน (ไม่มีการเชื่อมต่อ ไม่มี SSO)
โฮสต์แบบเซสชันเดียวที่ใช้ Windows 10 22H2 หรือ Windows 11 22H2 หรือเวอร์ชันที่ใหม่กว่า

ValinuxOS: คู่มือฉบับสมบูรณ์สำหรับการย้ายจาก Windows ไปยัง Linux

ฟีเจอร์ของ Citrix นี้เข้ามาแทนที่การตรวจสอบสิทธิ์แบบส่งต่อ (handoff authentication) เดิมที่ใช้บริการ SSO เก่า (ssonsvr.exe) และ ไม่สามารถใช้งานร่วมกับระบบ 32 บิตได้นอกจากนี้ คุณไม่สามารถใช้การถ่ายโอนโดเมนแบบเดิมและการถ่ายโอนโดเมนแบบใหม่ที่ได้รับการปรับปรุงพร้อมกันบนโฮสต์เดียวกันได้

การกำหนดค่าและการใช้งาน Credential Guard

Credential Guard เป็นหนึ่งในองค์ประกอบหลักของระบบนิเวศ VBS ภารกิจของมันชัดเจน: ป้องกันการเข้าถึงข้อมูลประจำตัวที่จัดเก็บไว้ในระบบ (เช่น แฮชหน่วยความจำของกระบวนการ LSASS) ถูกขโมยโดยใช้เครื่องมือดัมพ์ข้อมูลหรือการโจมตีแบบเคลื่อนย้ายข้ามระบบ

ในการเปิดใช้งาน Credential Guard โดยใช้การตั้งค่า Group Policy แบบดั้งเดิม การตั้งค่าหลักจะอยู่ภายในตัวเลือกความปลอดภัยที่ใช้การจำลองเสมือนของ Windows ในเวอร์ชันใหม่ๆ นโยบายเหล่านี้มักจะถูกจัดกลุ่มไว้ใน... Device Guard ในเทมเพลต GPOโดยเฉพาะในหัวข้อ “เปิดใช้งานระบบรักษาความปลอดภัยแบบใช้เวอร์ชวลไลเซชัน”

เมื่อตั้งค่านโยบายนี้อย่างถูกต้อง ระบบจะบูตด้วย VBS และ เปิดใช้งาน Credential Guardในทางภายใน การเปลี่ยนแปลงนี้จะส่งผลต่อรีจิสทรี โดยเฉพาะในส่วนของคีย์:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

นั่นแหละคือจุดที่สร้างมูลค่า LsaCfgFlagsการตั้งค่านี้ควบคุมพฤติกรรมของ Credential Guard ค่า 0 จะปิดใช้งานฟังก์ชันนี้ ในขณะที่ค่าอื่นๆ (ขึ้นอยู่กับเวอร์ชันของ Windows) จะเปิดใช้งานในโหมดต่างๆ หากคุณต้องการแก้ไขคีย์เหล่านี้ ขอแนะนำให้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุด ทำงานกับรีจิสทรีของ Windows อย่างปลอดภัย และหากเหมาะสม ให้ทำการสำรองข้อมูลก่อนล่วงหน้าด้วย

ในบางสถานการณ์ โดยเฉพาะอย่างยิ่งเมื่อเกิดความไม่เข้ากัน อาจจำเป็นต้องดำเนินการดังกล่าว ปิดใช้งาน Windows Defender Credential Guard ชั่วคราวตัวอย่างเช่น เอกสารของ Citrix ระบุถึงปัญหาที่ทราบกันดีอยู่แล้วว่า หาก Credential Guard เปิดใช้งานอยู่บนเครื่องไคลเอ็นต์ การเข้าสู่ระบบแบบ Single Sign-On (SSO) ไปยังเซสชันเสมือนอาจล้มเหลว และแสดงข้อความความปลอดภัยของ Windows ว่า "ข้อมูลประจำตัวของคุณใช้งานไม่ได้ Windows Defender Credential Guard ไม่อนุญาตให้ใช้ข้อมูลประจำตัวการเข้าสู่ระบบของ Windows"

ในกรณีเหล่านี้ มีสองวิธีหลักในการปิดใช้งาน:

ผ่านนโยบายกลุ่ม (Group Policy) โดยการแก้ไขตัวเลือก "เปิดใช้งานการรักษาความปลอดภัยตามเวอร์ชวลไลเซชัน" ภายใน การกำหนดค่าคอมพิวเตอร์ > เทมเพลตการดูแลระบบ > ระบบ > Device Guard.
ผ่านการลงทะเบียนและการจัดตั้ง LsaCfgFlags = 0 ตามเส้นทางที่ระบุไว้ข้างต้น

สิ่งสำคัญคือต้องเข้าใจว่าข้อจำกัดนี้ส่งผลต่อการใช้งานด้วยเช่นกัน การป้องกันข้อมูลประจำตัวระยะไกลผ่าน RDPหากคุณต้องการใช้การถ่ายโอนโดเมนขั้นสูงร่วมกับ SSO และ Credential Guard คำแนะนำอย่างเป็นทางการคือให้ส่งคำขอรับการสนับสนุนสำหรับสถานการณ์นี้ไปยัง Microsoft

ระบบป้องกันอุปกรณ์และการควบคุมรหัส: รายการที่อนุญาตและโหมดการทำงาน

ในขณะที่ Credential Guard เน้นที่ข้อมูลประจำตัว Device Guard จะเน้นที่... ควบคุมว่าซอฟต์แวร์ใดบ้างที่สามารถใช้งานได้ ในทีม แนวคิดคือการเปลี่ยนจากโมเดลแบบดั้งเดิมที่อิงตามลายเซ็นมัลแวร์ ไปสู่โมเดลเชิงป้องกันที่อนุญาตเฉพาะสิ่งที่ผู้ดูแลระบบกำหนดว่าเชื่อถือได้เท่านั้น

ในทางปฏิบัติ Device Guard จะถูกนำไปใช้งานเป็นหลักผ่านวิธีการดังต่อไปนี้:

นโยบายความสมบูรณ์ของโค้ดซึ่งระบุว่าไฟล์ไบนารี ใบรับรอง และผู้เผยแพร่รายใดบ้างที่ถือว่าน่าเชื่อถือ
การกำหนดค่า Secure Boot และ VBS เพื่อป้องกัน โค้ดที่เป็นอันตรายจะถูกโหลดในขั้นตอนแรกๆ ของระบบ
การผสานรวมกับเครื่องมือการปรับใช้และการจัดการ (เช่น Intune, GPO, SCCM) เพื่อแจกจ่ายนโยบายที่ลงนามแล้ว

การทำงานของ Device Guard อาจเข้มงวดมากหรือน้อยขึ้นอยู่กับโหมดที่เลือก:

โหมดผู้ใช้แบบสแตนด์อโลน (คล้ายกับโหมดทดสอบหรือโหมดกำหนดเอง) ซึ่งผู้ใช้ยังคงควบคุมได้ในระดับหนึ่ง และข้อจำกัดไม่เข้มงวดมากนัก ในสภาพแวดล้อมทางธุรกิจ วิธีนี้ไม่เหมาะนัก เพราะอาจเกิดข้อผิดพลาดจากมนุษย์ได้
โหมดการจัดการโดยองค์กร (แบบจัดการโดยองค์กร หรือแบบเปิดใช้งานโดยองค์กร) ซึ่งผู้ดูแลระบบจะกำหนดรายการที่อนุญาต (สีขาว สีเทา และสีดำ) เพื่อควบคุมสิ่งที่ได้รับอนุญาตอย่างแม่นยำ

ในแนวทางการดำเนินธุรกิจนี้ นโยบายต่างๆ มักจะครอบคลุมโดเมนหรือเว็บไซต์สามประเภทดังนี้:

เว็บไซต์ที่เชื่อถือได้ (เว็บไซต์ที่เชื่อถือได้): เทียบเท่ากับไวท์ลิสต์ คือโดเมนที่เป็นที่รู้จักกันดีและถือว่ามีความเสี่ยงต่ำ ดังนั้นเบราว์เซอร์หรือแอปพลิเคชันจึงสามารถเข้าถึงได้ อัปโหลดเนื้อหาไปยังอุปกรณ์โดยตรง โดยมีข้อจำกัดเพิ่มเติมที่น้อยลง
ไซต์ที่เป็นกลาง (เว็บไซต์ที่เป็นกลาง): โดเมนที่อาจมีข้อมูลที่ละเอียดอ่อน (ทั้งข้อมูลของบริษัทและข้อมูลส่วนบุคคล) และการจัดการข้อมูลนั้นขึ้นอยู่กับบริบท หากเข้าถึงจากสภาพแวดล้อมที่ปลอดภัย การปกป้องนั้นจะยังคงอยู่ หากเข้าถึงจากเว็บไซต์ที่เชื่อถือได้อย่างสมบูรณ์ พฤติกรรมอาจผ่อนปรนมากขึ้น
เว็บไซต์ที่ไม่น่าเชื่อถือ (เว็บไซต์ที่ไม่น่าเชื่อถือ): เทียบเท่ากับบัญชีดำ เนื้อหาใดๆ ที่มาจากโดเมนเหล่านี้จะถูกเปิดเผย ภายในสภาพแวดล้อมที่แยกตัวออกไปโดยใช้เทคโนโลยีเวอร์ชวลไลเซชันเพื่อลดความเสี่ยงให้เหลือน้อยที่สุด

ในขณะเดียวกัน Device Guard มักถูกใช้ร่วมกับเลเยอร์อื่นๆ เช่น Application Guard และ Exploit Guardซึ่งจะตรวจสอบการดาวน์โหลดและการเรียกใช้ไฟล์ที่อาจเป็นอันตราย รวมถึงการใช้ประโยชน์จากช่องโหว่ที่ทราบแล้ว โดยจะสร้างการแจ้งเตือนและบล็อกเมื่อจำเป็น

Application Guard และ Exploit Guard: การเสริมความแข็งแกร่งเพิ่มเติม

นอกเหนือจาก Credential Guard และ Device Guard แล้ว Windows ยังผสานรวมเทคโนโลยีต่างๆ เช่น Application Guard (โดยเน้นที่เบราว์เซอร์และแอปพลิเคชันที่สำคัญเป็นพิเศษ) และ การ์ดป้องกันการใช้ประโยชน์ซึ่งเป็นการต่อยอดแนวคิดเรื่องฉนวนและการเสริมความแข็งแรง

วิธีแก้ไขข้อผิดพลาด KB4534310 บน Windows 7

Application Guard สร้าง สภาพแวดล้อมเสมือนจริงสำหรับการเรียกใช้เว็บไซต์หรือแอปพลิเคชัน อาจเป็นอันตรายได้ เมื่อเข้าถึงโดเมนที่ถูกทำเครื่องหมายว่าไม่น่าเชื่อถือ ระบบจะบังคับให้โหลดโดเมนเหล่านั้นภายใน "กล่องแยก" ที่ใช้ VBS นี้ เพื่อป้องกันไม่ให้เนื้อหาที่เป็นอันตรายส่งผลกระทบต่อระบบหลักหรือขโมยข้อมูล

โซลูชันนี้ทำงานร่วมกับรายการเว็บไซต์ที่กล่าวถึงก่อนหน้านี้ (เชื่อถือได้ เป็นกลาง และไม่น่าเชื่อถือ) และนโยบาย Device Guard ซึ่งจะสร้างแบบจำลองที่ เบราว์เซอร์และแอปพลิเคชันหลักบางตัวทำงานในลักษณะที่แยกจากกัน เมื่อพวกเขาเข้าถึงทรัพยากรที่มีความเสี่ยง

ในทางกลับกัน Exploit Guard รวบรวมมาตรการต่างๆ เพื่อลดช่องโหว่ในระบบและแอปพลิเคชัน รวมถึงเสริมความแข็งแกร่งให้กับองค์ประกอบต่างๆ เช่น:

การป้องกันหน่วยความจำเพื่อป้องกันการเรียกใช้งานโดยพลการ
การบล็อกพฤติกรรมที่น่าสงสัยซึ่งเป็นลักษณะเฉพาะของการโจมตีช่องโหว่
การควบคุมการเข้าถึงโฟลเดอร์เพื่อป้องกันมัลแวร์เรียกค่าไถ่

การผสมผสานระหว่าง Credential Guard, Device Guard, Application Guard และ Exploit Guard จะช่วยให้มั่นใจได้ถึง... เกราะหลายชั้น ซึ่งทำให้การโจมตีในยุคปัจจุบันทำได้ยากขึ้นมาก โดยเฉพาะอย่างยิ่งการโจมตีที่พยายามเคลื่อนที่ไปตามเครือข่ายหรือขโมยข้อมูลประจำตัว

การใช้งานในองค์กร: Windows 10/11, Windows Server 2016 และคุณสมบัติใหม่ที่เกี่ยวข้อง

ในด้านเซิร์ฟเวอร์ Windows Server 2016 ได้นำเสนอความสามารถหลายอย่างที่เคยมีใน Windows 10 มาแล้ว แต่ปรับให้เข้ากับสภาพแวดล้อมของศูนย์ข้อมูล ในส่วนของความปลอดภัย นอกเหนือจากการบูรณาการแล้ว ยังมีการเพิ่มฟีเจอร์ต่างๆ อีกด้วย Windows Defender ถูกตั้งค่าเป็นโปรแกรมป้องกันไวรัสเริ่มต้นDevice Guard และ Credential Guard โดดเด่นในฐานะเครื่องมือสำคัญในการเสริมความปลอดภัยให้กับระบบปฏิบัติการ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับการปรับปรุงและคุณสมบัติใหม่เหล่านี้ โปรดดูที่ [ลิงก์ไปยังเอกสารที่เกี่ยวข้อง] ระบบรักษาความปลอดภัยขั้นสูงและคุณสมบัติใหม่ที่สำคัญใน Windows Server.

ด้วยเทคโนโลยีเหล่านี้ ทำให้สิ่งนี้เป็นไปได้ ปกป้องตัวควบคุมโดเมน เซิร์ฟเวอร์แอปพลิเคชัน และเซิร์ฟเวอร์ไฟล์ เพื่อป้องกันการขโมยข้อมูลประจำตัวและการเรียกใช้ไฟล์ไบนารีที่ไม่ได้รับอนุญาต ซึ่งมีความสำคัญอย่างยิ่งเมื่อนำไปใช้ร่วมกับคุณสมบัติใหม่ๆ อื่นๆ ของระบบนิเวศ Windows Server 2016:

การสนับสนุนของ การจำลองเสมือนแบบซ้อนกันซึ่งช่วยให้ Hyper-V สามารถทำงานภายในเครื่องเสมือนได้ ทำให้สามารถสร้างห้องปฏิบัติการและสภาพแวดล้อมการทดสอบที่ซับซ้อนได้
เครื่องมือเพิ่มเติม เช่น เครื่องวิเคราะห์ประสิทธิภาพ หรือระบบการติดตั้งสำหรับอุปกรณ์ที่ไม่สามารถเข้าร่วมโดเมนได้
ความสามารถใหม่ใน PowerShell 5.1 รวมถึง DSC (Desired State Configuration), PackageManagement/OneGet และ PowerShell Direct สำหรับการจัดการเครื่องเสมือนหรือคอนเทนเนอร์โดยไม่จำเป็นต้องเชื่อมต่อเครือข่ายแบบดั้งเดิม

ในด้านโครงสร้างพื้นฐาน Windows Server 2016 ยังมีการปรับปรุงในบทบาทต่างๆ เช่น DNS (นโยบาย DNS สำหรับการตอบสนองแบบมีเงื่อนไข) IPAM (การจัดการที่อยู่ IP แบบรวมศูนย์) IIS 10 พร้อมรองรับ HTTP/2รวมถึงเทคโนโลยีการจัดเก็บข้อมูล เช่น ReFS, การลดความซ้ำซ้อนของ NTFS, Storage Replica และ Storage Spaces ซึ่งแม้ว่าจะไม่ได้เป็นส่วนหนึ่งโดยตรงของ Credential Guard หรือ Device Guard แต่ก็เป็นส่วนหนึ่งของระบบนิเวศด้านความปลอดภัยและความพร้อมใช้งาน

ระบบรักษาความปลอดภัยข้อมูลประจำตัวระยะไกล (Remote Credential Guard), Citrix และการมอบหมายข้อมูลประจำตัว (Creative Delegation)

Remote Credential Guard ขยายแนวคิดของ Credential Guard ไปสู่ สถานการณ์การเชื่อมต่อระยะไกลโดยเฉพาะอย่างยิ่งกับโซลูชัน RDP และการจำลองเดสก์ท็อปเสมือน แนวคิดคือ ข้อมูลประจำตัวของผู้ใช้จะไม่ถูกส่งไปยังโฮสต์ระยะไกลโดยไม่มีการป้องกัน แต่จะใช้ Kerberos อย่างปลอดภัยและได้รับการสนับสนุนภายในสภาพแวดล้อมที่แยกต่างหากของไคลเอนต์

Citrix อาศัยแนวทางนี้ในการทำงานของฟังก์ชันต่างๆ การถ่ายโอนโดเมนที่ได้รับการปรับปรุงสำหรับ SSO ในแอปพลิเคชัน Citrix Workspace และในเซสชันเดสก์ท็อปเสมือนและแอปพลิเคชัน โดยมีเงื่อนไขว่าอุปกรณ์ไคลเอ็นต์ได้เข้าร่วมกับ Active Directory และใช้งาน Citrix StoreFront แล้ว

ประเด็นสำคัญบางประการของฟังก์ชันนี้มีดังนี้:

โปรแกรมนี้ไม่รองรับบนระบบปฏิบัติการ 32 บิต
มันมาแทนที่ การตรวจสอบสิทธิ์การโอนแบบดั้งเดิม อ้างอิงจาก ssonsvr.exe
ไม่สามารถเปิดใช้งานพร้อมกับการตรวจสอบสิทธิ์การถ่ายโอนแบบเดิมบนเซสชันโฮสต์เดียวกันได้
ในขณะที่การตรวจสอบสิทธิ์แบบเดิมจำเป็นต้องเปิดใช้งานนโยบาย "เปิดใช้งานการแจ้งเตือน MPR สำหรับระบบ" แต่การถ่ายโอนข้อมูลขั้นสูงช่วยให้สามารถเข้าสู่ระบบแบบ Single Sign-On (SSO) ได้โดยไม่ต้องเปิดใช้งานนโยบายดังกล่าว
สำหรับการตรวจสอบสิทธิ์ข้ามโดเมนนั้น ความไว้วางใจแบบถ่ายทอดสองทิศทาง เพื่อขอรับตั๋วบริการข้ามขอบเขตโดเมน มิเช่นนั้น การมอบหมายสิทธิ์ Kerberos จะไม่ทำงาน

ในแง่ของการกำหนดค่า การผสานรวมกับ Remote Credential Guard จำเป็นต้องดำเนินการตามขั้นตอนต่างๆ ใน StoreFront, นโยบาย Citrix, โฮสต์เซสชัน และคอมพิวเตอร์ไคลเอ็นต์

StoreFront และ Citrix: การตั้งค่า SSO ด้วย Remote Credential Guard

เพื่อให้การถ่ายโอนโดเมนที่ได้รับการปรับปรุงทำงานได้อย่างถูกต้อง StoreFront ต้องได้รับการกำหนดค่าดังนี้ ยอมรับการตรวจสอบสิทธิ์การถ่ายโอนโดเมน ทั้งในคลังสินค้าและบนเว็บไซต์ที่เกี่ยวข้อง

ขั้นตอนทั่วไปมีดังนี้:

เปิดคอนโซลการจัดการ StoreFront
ไปที่ส่วน คลังสินค้า > จัดการวิธีการตรวจสอบสิทธิ์โดยจะแสดงหน้าต่างที่เกี่ยวข้องกับเว็บไซต์นั้นๆ
ทำเครื่องหมายในช่อง “การโอนโดเมน” และกดยืนยัน

สำหรับเว็บไซต์:

ในคอนโซล StoreFront เดียวกัน ให้เข้าถึงแท็บ พื้นที่จัดเก็บข้อมูล > ตัวรับสำหรับเว็บ > จัดการเว็บไซต์ตัวรับสำหรับเว็บ > กำหนดค่า > วิธีการตรวจสอบสิทธิ์.
ในหน้าต่างแก้ไขเว็บไซต์ ให้เลือกช่องทำเครื่องหมาย “การโอนโดเมน”
ใช้การเปลี่ยนแปลง

ต่อมา นโยบายของ Citrix สำหรับการถ่ายโอนโดเมนที่ได้รับการปรับปรุง:

จาก Citrix Studio หรือคอนโซลบนเว็บ ให้ไปที่ Policies แล้วสร้างนโยบายใหม่
มองหาการตั้งค่า “การถ่ายโอนโดเมนขั้นสูงสำหรับการเข้าสู่ระบบแบบครั้งเดียว”
ตั้งค่าเป็น “อนุญาต”
บันทึกและใช้งาน

นอกจากนี้ บนเครื่องโฮสต์เซสชัน จำเป็นต้องกำหนดค่านโยบาย Windows ที่อนุญาตให้มอบหมายข้อมูลประจำตัวที่ไม่สามารถส่งออกได้:

เยี่ยม การกำหนดค่าคอมพิวเตอร์\นโยบาย\แม่แบบการดูแลระบบ\ระบบ\การมอบหมายข้อมูลประจำตัว.
เปิดใช้งานตัวเลือก “โฮสต์ระยะไกลอนุญาตให้มอบหมายข้อมูลประจำตัวที่ไม่สามารถส่งออกได้”
รีสตาร์ทเซสชันโฮสต์

ใน Windows Server 2016 การตั้งค่าเฉพาะนี้จะไม่ปรากฏในนโยบายภายในเครื่อง ดังนั้นหากคุณต้องการตั้งค่าภายในเครื่องแทนที่จะใช้ GPO คุณจะต้องปรับเปลี่ยนผ่านทางรีจิสทรี HKLM\SYSTEM\CurrentControlSet\Control\Lsaการสร้าง/แก้ไขค่า DWORD ปิดใช้งานผู้ดูแลระบบที่จำกัด โดยมีข้อมูลอยู่ที่ 0

Karpersky Antivirus คืออะไร การใช้งาน คุณลักษณะ ความคิดเห็น ราคา

การกำหนดค่าอุปกรณ์ไคลเอ็นต์และเว็บไซต์ที่เชื่อถือได้

ในส่วนของอุปกรณ์ไคลเอ็นต์ก็ยังมีงานที่ต้องทำเช่นกัน เพื่อให้ประสบการณ์การเข้าสู่ระบบแบบ Single Sign-On (SSO) ในการถ่ายโอนโดเมนราบรื่นยิ่งขึ้น จำเป็นอย่างยิ่งที่จะต้อง... เปิดใช้งานฟีเจอร์นี้บนฝั่งไคลเอ็นต์และเชื่อถือเว็บไซต์ StoreFront.

คุณสมบัติการถ่ายโอนโดเมนขั้นสูงสามารถเปิดใช้งานได้ผ่านนโยบายภายในเครื่องหรือ GPO:

นำทางไปยัง การกำหนดค่าคอมพิวเตอร์\นโยบาย\เทมเพลตการดูแลระบบ\ส่วนประกอบ Citrix\พื้นที่ทำงาน Citrix\การตรวจสอบสิทธิ์ผู้ใช้.
เปิดใช้งานการตั้งค่า "การถ่ายโอนโดเมนขั้นสูงสำหรับการเข้าสู่ระบบครั้งเดียว"
โปรดรีสตาร์ทแอปพลิเคชัน Citrix Workspace เพื่อให้การปรับเปลี่ยนมีผล

ในขณะเดียวกัน จำเป็นต้องตรวจสอบให้แน่ใจว่าลูกค้าพิจารณา URL ของหน้าร้านค้าเป็นส่วนหนึ่งขององค์ประกอบต่างๆ ด้วย เว็บไซต์อินทราเน็ตภายในองค์กรหรือเว็บไซต์ที่เชื่อถือได้หาก URL นั้นไม่ได้อยู่ในโดเมนที่เชื่อถือได้อยู่แล้ว สามารถเพิ่มได้โดยใช้คำสั่ง:

เยี่ยม การกำหนดค่าคอมพิวเตอร์\นโยบาย\แม่แบบการดูแลระบบ\ส่วนประกอบของ Windows\อินเทอร์เน็ตเอ็กซ์พลอเรอร์\แผงควบคุมอินเทอร์เน็ต\ความปลอดภัย.
เปิดใช้งาน “รายการการกำหนดไซต์ไปยังโซน” และเพิ่ม URL ที่เกี่ยวข้องกับโซนของคุณ (เช่น อินทราเน็ตภายใน หรือไซต์ที่เชื่อถือได้)
เปิดใช้งานตัวเลือก “ตัวเลือกการเข้าสู่ระบบ” และตั้งค่าเป็น “เข้าสู่ระบบอัตโนมัติด้วยชื่อผู้ใช้และรหัสผ่านปัจจุบัน”

ด้วยการตั้งค่าเหล่านี้ ลูกค้าสามารถ ใช้ประโยชน์จาก Remote Credential Guard และการถ่ายโอนโดเมนที่ได้รับการปรับปรุง สำหรับการเข้าสู่ระบบแบบ Single Sign-On (SSO) นั้น จะต้องไม่มีข้อจำกัดใดๆ อันเนื่องมาจากการมีอยู่ของ Windows Defender Credential Guard ตามที่ได้กล่าวไว้ในส่วนปัญหาที่พบแล้ว

เขตจำกัดเว็บไซต์, ActiveX และการเสริมความปลอดภัยให้กับเบราว์เซอร์

อีกองค์ประกอบสำคัญของระบบรักษาความปลอดภัยของ Windows คือการกำหนดค่าของ เขตความปลอดภัยของอินเทอร์เน็ตเอ็กซ์พลอเรอร์ (ซึ่งแม้จะลดบทบาทลง แต่ก็ยังคงมีอิทธิพลต่อส่วนประกอบหลายอย่างของระบบ) และโดยนัยเดียวกัน ก็ส่งผลต่อวิธีการจัดการตัวควบคุม ActiveX การเขียนสคริปต์ และการดาวน์โหลดด้วย

นโยบายที่เข้มงวดที่สุดจะพบได้ในพื้นที่ที่จำกัด ตัวเลือกทั่วไปที่สามารถปรับเปลี่ยนได้ผ่านนโยบายกลุ่ม ได้แก่:

อนุญาตหรือไม่อนุญาต การเข้าถึงแหล่งข้อมูลข้ามโดเมน.
เปิดหรือปิด สคริปต์ที่ใช้งานอยู่ และพฤติกรรมไบนารีและสคริปต์
ตรวจสอบว่าได้รับอนุญาตหรือไม่ ลากและวางไฟล์ หรือคัดลอก/วาง ระหว่างเว็บไซต์และหน้าต่าง
อนุญาตหรือบล็อกการดาวน์โหลดไฟล์และการดาวน์โหลดอัตโนมัติ
ควบคุมการโหลดไฟล์ XAML และการใช้งาน META REFRESH
จำกัดการใช้ ActiveX เพื่อระบุโดเมนที่ได้รับการอนุมัติอย่างชัดเจน ทั้งสำหรับการควบคุม TDC และการควบคุมอื่นๆ
จำกัดการทำงานของหน้าต่างที่เริ่มต้นโดยสคริปต์โดยไม่มีข้อจำกัดด้านขนาดหรือตำแหน่ง
จัดการการใช้งาน VBScript, Java, แอปเพล็ต และส่วนประกอบที่ขึ้นอยู่กับ .NET
ตัดสินใจว่าจะ พวกเขาใช้โปรแกรมป้องกันไวรัสตรวจจับ ActiveX หรือสามารถใช้งานได้โดยไม่ต้องใช้โปรแกรมป้องกันมัลแวร์
เปิดใช้งานตัวกรองต่างๆ เช่น ตัวกรองการโจมตีแบบ Cross-Site Scripting (XSS)โหมดป้องกัน หรือตัวกรอง SmartScreen

นโยบายทั้งหมดนี้เป็นส่วนหนึ่งของแนวทางการป้องกันเชิงลึก ซึ่งนอกเหนือจาก Credential Guard และ Device Guard แล้ว จุดมุ่งหมายคือ... ลดพื้นที่เสี่ยงต่อการโจมตีจากเบราว์เซอร์ซึ่งโดยปกติแล้วเป็นหนึ่งในช่องทางเข้าที่พบได้บ่อยที่สุด

ACLs, การควบคุมการเข้าถึง และ PACs: บริบทด้านความปลอดภัยเพิ่มเติม

นอกเหนือจาก VBS, VSM และ "Guards" ของ Windows แล้ว ความปลอดภัยของระบบยังขึ้นอยู่กับปัจจัยอื่นๆ อีกมากมาย รายการควบคุมการเข้าถึง (ACL)ในระบบปฏิบัติการ Windows นั้น ACLs จะกำหนดว่าใครสามารถเข้าถึงทรัพยากรใดได้บ้าง และด้วยสิทธิ์การเข้าถึงระดับใด ทั้งในระดับระบบไฟล์และในส่วนประกอบภายในอื่นๆ

ACLs อนุญาตให้กำหนดค่าได้ สิทธิ์การเข้าถึงวัตถุที่เฉพาะเจาะจงมาก (สิทธิ์การเข้าถึงวัตถุ) นอกเหนือจากสิทธิ์การอ่าน/เขียนทั่วไป ตัวอย่างเช่น ผู้ใช้สามารถอ่านเนื้อหาของไฟล์ได้ แต่ไม่สามารถเปลี่ยนแปลงสิทธิ์การเข้าถึงได้ หรือบริการสามารถแก้ไขระเบียนได้ แต่ไม่สามารถลบได้

การสืบทอด ACL ก็มีบทบาทสำคัญเช่นกัน เนื่องจากช่วยอำนวยความสะดวก สิทธิ์การเข้าถึงจะถูกส่งต่อไปยังโฟลเดอร์ย่อยและไฟล์ต่างๆ โดยไม่ต้องตั้งค่าทีละรายการ อย่างไรก็ตาม ต้องจัดการเรื่องนี้อย่างระมัดระวัง เพราะการสืบทอดสิทธิ์ที่ไม่ถูกต้องอาจเปิดช่องโหว่มากกว่าที่ตั้งใจไว้ หรือในทางกลับกัน อาจปิดกั้นกระบวนการที่ถูกต้องตามกฎหมายได้

ในสถานการณ์ที่ซับซ้อนยิ่งขึ้น Windows รองรับโมเดลต่างๆ ดังนี้ การควบคุมการเข้าถึงตามนโยบาย (PAC) ซึ่งช่วยให้สามารถใช้กฎที่ยืดหยุ่นและเหมาะสมกับบริบทได้มากขึ้น ทั้งหมดนี้ถูกบูรณาการเข้ากับระบบบันทึกข้อมูล ซึ่งแม้ว่าจะไม่ได้อธิบายรายละเอียดไว้ในที่นี้ แต่ก็เป็นอีกองค์ประกอบสำคัญสำหรับการรักษาความปลอดภัยและการตรวจสอบ คุณสามารถดูรายละเอียดเพิ่มเติมได้ในบทความของเราเกี่ยวกับเรื่องนี้ การตรวจสอบความปลอดภัยของ Windows เพื่อดูวิธีการลงทะเบียนและตรวจสอบกิจกรรมที่เกี่ยวข้อง

ความสัมพันธ์กับ VSM นั้นเป็นไปโดยตรง: VSM อาศัย ACL และโมเดลความปลอดภัยของ Windows ในการ... แยกส่วนที่ไวต่อการเปลี่ยนแปลงของระบบออกเพื่อให้มั่นใจว่าเฉพาะโค้ดที่ผ่านการตรวจสอบความถูกต้องและมีสิทธิ์ที่เหมาะสมเท่านั้นที่จะสามารถโต้ตอบกับส่วนประกอบที่ได้รับการป้องกันได้

ด้วยการใช้งาน Credential Guard, Device Guard, Application Guard, Exploit Guard อย่างถูกต้อง รวมถึงนโยบายของเบราว์เซอร์, ACL ที่ออกแบบมาอย่างดี และการใช้มาตรฐานความปลอดภัยขั้นพื้นฐาน จะสามารถสร้างสภาพแวดล้อม Windows ที่ปลอดภัยได้ ข้อมูลประจำตัวมีความปลอดภัยสูง การโจมตีด้วยโค้ดที่เป็นอันตรายทำได้ยากมาก และช่องทางการโจมตีทั่วไปได้รับการป้องกันอย่างแน่นหนารักษาความสมดุลที่เหมาะสมระหว่างความปลอดภัยและความสะดวกในการใช้งานสำหรับผู้ใช้ปลายทางอยู่เสมอ

บทความที่เกี่ยวข้อง:

วิธีการสำรองข้อมูลรีจิสทรีของ Windows 11

ไอแซก

นักเขียนผู้หลงใหลเกี่ยวกับโลกแห่งไบต์และเทคโนโลยีโดยทั่วไป ฉันชอบแบ่งปันความรู้ผ่านการเขียน และนั่นคือสิ่งที่ฉันจะทำในบล็อกนี้ เพื่อแสดงให้คุณเห็นสิ่งที่น่าสนใจที่สุดเกี่ยวกับอุปกรณ์ ซอฟต์แวร์ ฮาร์ดแวร์ แนวโน้มทางเทคโนโลยี และอื่นๆ เป้าหมายของฉันคือการช่วยคุณนำทางโลกดิจิทัลด้วยวิธีที่เรียบง่ายและสนุกสนาน