Paano i-activate ang Microsoft Defender Credential Guard at Exploit Guard

Pagprotekta sa mga kredensyal sa Windows at pagpapatibay ng sistema laban sa mga pagsasamantala Ito ay halos naging mandatoryo na sa anumang modernong kapaligiran ng negosyo. Ang mga pag-atake tulad ng Pass-the-Hash, Pass-the-Ticket, o ang pag-abuso sa mga kahinaan ng zero-day ay nagsasamantala sa anumang pangangasiwa sa configuration upang gumalaw nang pahilig sa network at kontrolin ang mga server at workstation sa loob lamang ng ilang minuto.

Sa kontekstong ito, Mga teknolohiya ng Microsoft Defender Credential Guard at Exploit Guard (kasama ang Microsoft Defender antivirus engine) ay mga pangunahing bahagi ng estratehiya sa seguridad sa Windows 10, Windows 11, at Windows Server. Sa mga sumusunod na linya, makikita mo, hakbang-hakbang at nang detalyado, kung paano gumagana ang mga ito, ang kanilang mga kinakailangan, at kung paano tama ang pag-activate o pag-deactivate ng mga ito gamit ang Intune, Group Policy, Registry, PowerShell, at iba pang mga tool, habang iniiwasan ang hindi kinakailangang pagkasira ng compatibility.

Ano ang Microsoft Defender Credential Guard at bakit ito napakahalaga?

Ang Windows Defender Credential Guard ay isang tampok sa seguridad Ipinakilala ng Microsoft sa Windows 10 Enterprise at Windows Server 2016, ang feature na ito ay umaasa sa virtualization-based security (VBS) upang ihiwalay ang mga sikreto ng authentication. Sa halip na direktang pamahalaan ng Local Security Authority (LSA) ang mga in-memory credential, isang nakahiwalay na proseso ng LSA ang ginagamit.LSAIso.exe) isinasagawa sa isang protektadong kapaligiran.

Dahil sa pag-iisa na ito, Tanging ang system software na may naaangkop na mga pribilehiyo ang makaka-access sa mga NTLM hash at Kerberos ticket (TGT).Hindi na magagamit ang mga kredensyal na ginagamit ng Credential Manager, mga lokal na login, at mga kredensyal na ginagamit sa mga koneksyon tulad ng Remote Desktop. Anumang malisyosong code na nagtatangkang direktang basahin ang memorya ng isang kumbensyonal na proseso ng LSA ay matutuklasan na wala na ang mga sikretong iyon.

Ang pamamaraang ito ay lubhang nakakabawas sa bisa ng mga klasikong kagamitan pagkatapos ng pagsasamantala tulad ng Mimikatz para sa mga pag-atakeng Pass-the-Hash o Pass-the-TicketIto ay dahil ang mga hash at ticket na dating madaling kunin ay nasa isang nakahiwalay na lalagyan sa memorya na hindi madaling ma-access ng malware, kahit na mayroon itong mga pribilehiyong administrator sa nakompromisong sistema.

Dapat linawin yan Ang Credential Guard ay hindi katulad ng Device GuardBagama't pinoprotektahan ng Credential Guard ang mga kredensyal at sikreto, ang Device Guard (at mga kaugnay na teknolohiya sa pagkontrol ng aplikasyon) ay nakatuon sa pagpigil sa hindi awtorisadong code na tumakbo sa computer. Ang mga ito ay komplementaryo, ngunit nilulutas nila ang iba't ibang problema.

Gayunpaman, Ang Credential Guard ay hindi isang mahusay na panalo laban sa Mimikatz o laban sa mga taga-loob na umaatake.Maaaring makuha ng isang attacker na kumokontrol na sa isang endpoint ang mga kredensyal habang ipinapasok ito ng user (halimbawa, gamit ang isang keylogger o sa pamamagitan ng paglalagay ng code sa proseso ng pagpapatotoo). Hindi rin nito pinipigilan ang isang empleyado na may lehitimong access sa ilang partikular na data na kopyahin o i-exfiltrate ito; Pinoprotektahan ng Credential Guard ang mga kredensyal sa memorya, hindi sa pag-uugali ng user.

Naka-enable bilang default ang Credential Guard sa Windows 11 at Windows Server

Sa mga modernong bersyon ng Windows, awtomatikong naa-activate ang Credential Guard sa maraming pagkakataon.Simula sa Windows 11 22H2 at Windows Server 2025, ang mga device na nakakatugon sa ilang partikular na kinakailangan sa hardware, firmware, at configuration ay makakatanggap ng VBS at Credential Guard na pinagana bilang default, nang hindi kinakailangang gumawa ng kahit ano ang administrator.

Sa mga sistemang ito, Ang default na pagpapagana ay isinasagawa nang walang UEFI lockingNangangahulugan ito na, bagama't naka-enable bilang default ang Credential Guard, maaari itong i-disable ng administrator sa ibang pagkakataon nang malayuan sa pamamagitan ng group policy, Intune, o iba pang mga pamamaraan, dahil ang opsyong lock ay hindi pa na-activate sa firmware.

Kapag Na-activate ang Credential Guard, at naka-enable din ang virtualization-based security (VBS).Ang VBS ang bahaging lumilikha ng protektadong kapaligiran kung saan nakahiwalay ang mga LSA at nakaimbak ang mga sikreto, kaya ang parehong tampok ay magkasama sa mga bersyong ito.

Ang isang mahalagang nuance ay iyon Ang mga halagang tahasang na-configure ng administrator ay palaging nananaig. sa mga default na setting. Kung naka-enable o naka-disable ang Credential Guard sa pamamagitan ng Intune, GPO, o Registry, ang manu-manong estadong iyon ay mag-o-overwrite sa default na pag-enable pagkatapos mag-restart ang computer.

Bukod dito, kung May isang device na tahasang na-disable ang Credential Guard bago nag-upgrade sa bersyon ng Windows na nagpapagana nito bilang default.Igagalang ng device ang pag-deactivate na ito pagkatapos ng update at hindi awtomatikong mag-o-on, maliban na lang kung babaguhin muli ang configuration nito gamit ang isa sa mga tool sa pamamahala.

System, hardware, firmware at mga kinakailangan sa paglilisensya

Para makapag-alok ng tunay na proteksyon ang Credential GuardDapat matugunan ng kagamitan ang ilang partikular na kinakailangan sa hardware, firmware, at software. Kung mas mahusay ang kakayahan ng platform, mas mataas ang makakamit na antas ng seguridad.

Ang mga en panimulang aklat sa pagbasa lugar, Kinakailangan ang isang 64-bit na CPU at pagiging tugma sa seguridad na nakabatay sa virtualization. Nangangahulugan ito na dapat suportahan ng processor at motherboard ang naaangkop na mga extension ng virtualization, pati na rin ang pag-activate ng mga feature na ito sa UEFI/BIOS.

Isa pang kritikal na elemento ay ang secure na boot (Secure Boot)Tinitiyak ng Secure Boot na magsisimula ang sistema sa pamamagitan ng paglo-load lamang ng mga pinagkakatiwalaan at nilagdaang firmware at software. Ginagamit ng VBS at Credential Guard ang Secure Boot upang pigilan ang isang attacker sa pagbabago ng mga bahagi ng boot upang i-disable o manipulahin ang proteksyon.

Bagama't hindi mahigpit na sapilitan, lubos na inirerekomenda ang pagkakaroon nito. Pinagkakatiwalaang Modyul ng Plataporma (TPM) bersyon 1.2 o 2.0Nakabatay man ito sa firmware o diskreto, pinapayagan ng TPM ang mga sikreto at susi ng pag-encrypt na maiugnay sa hardware, na nagdaragdag ng karagdagang layer na seryosong nagpapakomplikado sa mga bagay para sa sinumang sumusubok na dalhin o muling gamitin ang mga sikretong iyon sa ibang device.

Lubos ding ipinapayong paganahin ang Lock ng UEFI para sa Credential GuardPinipigilan nito ang sinumang may access sa system na i-disable ang proteksyon sa pamamagitan lamang ng pagbabago ng registry key o patakaran. Kapag aktibo ang lock, ang pag-disable sa Credential Guard ay nangangailangan ng mas kontrolado at malinaw na pamamaraan.

Sa larangan ng paglilisensya, Hindi available ang Credential Guard sa lahat ng edisyon ng WindowsSa pangkalahatan, sinusuportahan ito sa mga edisyon ng enterprise at edukasyon: May suporta ang Windows Enterprise at Windows Education, habang hindi ito kasama sa Windows Pro o Pro Education/SE bilang default.

Los Ang mga karapatan sa paggamit ng Credential Guard ay nakatali sa ilang partikular na lisensya sa subscription, tulad ng Windows Enterprise E3 at E5, pati na rin ang Windows Education A3 at A5. Ang mga edisyong Pro, sa usapin ng paglilisensya, ay walang karapatan sa advanced na functionality na ito, kahit na nagpapatakbo ang mga ito ng parehong binary operating system.

Pagkakatugma ng aplikasyon at mga naka-lock na tampok

Bago i-deploy nang maramihan ang Credential GuardMaipapayo na masusing suriin ang mga application at serbisyo na umaasa sa mga partikular na mekanismo ng pagpapatotoo. Hindi lahat ng legacy software ay gumagana nang maayos sa mga proteksyong ito, at ang ilang mga protocol ay direktang hinaharangan.

Kapag naka-enable ang Credential Guard, ang mga feature na itinuturing na mapanganib ay hindi pinagana, kaya't Ang mga application na umaasa sa mga ito ay humihinto sa paggana nang tamaAng mga ito ay kilala bilang mga kinakailangan sa aplikasyon: mga kundisyong dapat iwasan kung gusto mong ipagpatuloy ang paggamit ng Credential Guard nang walang insidente.

Kabilang sa mga katangian na Direktang hinaharangan ang mga ito tumayo:

• Pagkakatugma sa pag-encrypt ng Kerberos DES.
• Delegasyon ng Kerberos nang walang mga paghihigpit.
• Pagkuha ng TGT mula sa Kerberos mula sa LSA.
• Protokol ng NTLMv1.

Bukod dito, May mga katangian na, bagama't hindi lubos na ipinagbabawal, ay may kasamang karagdagang mga panganib kung gagamitin kasama ng Credential Guard. Ang mga application na umaasa sa implicit authentication, credential delegation, MS-CHAPv2, o CredSSP ay lalong sensitibo, dahil maaari nilang ilantad ang mga kredensyal nang hindi ligtas kung hindi maingat na na-configure.

Naobserbahan din ito mga problema sa pagganap sa mga aplikasyon na nagtatangkang magbigkis o makipag-ugnayan nang direkta sa nakahiwalay na proseso LSAIso.exeDahil ang prosesong ito ay protektado at nakahiwalay, ang anumang paulit-ulit na pagtatangka sa pag-access ay maaaring magdagdag ng overhead o magdulot ng paghina sa mga partikular na sitwasyon.

Ang magandang bagay ay iyon mga modernong serbisyo at protocol na gumagamit ng Kerberos bilang pamantayanAng mga tungkulin tulad ng pag-access sa mga nakabahaging mapagkukunan ng SMB o isang maayos na na-configure na Remote Desktop ay patuloy na gumagana nang normal at hindi maaapektuhan ng pag-activate ng Credential Guard, hangga't hindi sila umaasa sa mga lumang tungkulin na nabanggit sa itaas.

Paano paganahin ang Credential Guard: Intune, GPO, at Registry

Ang mainam na paraan upang i-activate ang Credential Guard ay depende sa laki at pamamahala ng iyong kapaligiran.Para sa mga organisasyong may modernong sistema ng pamamahala, ang Microsoft Intune (MDM) ay lubos na maginhawa, habang sa mga tradisyunal na domain ng Active Directory, ang Group Policy ay karaniwang ginagamit pa rin. Para sa mas tumpak na mga pagsasaayos o mga partikular na automation, ang Registry ay nananatiling isang opsyon.

Una sa lahat, mahalagang maunawaan na Dapat na naka-enable ang Credential Guard bago ikonekta ang computer sa domain. o bago mag-log on ang isang gumagamit ng domain sa unang pagkakataon. Kung ia-activate sa ibang pagkakataon, maaaring nakompromiso na ang mga sikreto ng gumagamit at makina, na nagbabawas sa aktwal na benepisyo ng proteksyon.

Sa pangkalahatan, maaari mong paganahin ang Credential Guard sa pamamagitan ng:

• Pamamahala ng Microsoft Intune / MDM.
• Patakaran ng Grupo (GPO) sa Active Directory o lokal na editor ng patakaran.
• Direktang pagbabago ng Windows Registry.

Sa pamamagitan ng paglalapat ng alinman sa mga setting na ito, Huwag kalimutan na ang pag-restart ng device ay sapilitan. Para magkabisa ang mga pagbabago, ang Credential Guard, VBS, at lahat ng bahagi ng isolation ay ini-initialize sa boot, kaya hindi sapat ang pagbabago lang ng patakaran.

I-activate ang Credential Guard gamit ang Microsoft Intune

Kung pinamamahalaan mo ang iyong mga device gamit ang Intune, mayroon kang dalawang paraan Mga pangunahing opsyon: Gumamit ng mga template ng Endpoint Security o gumamit ng custom na patakaran na nagko-configure sa DeviceGuard CSP sa pamamagitan ng OMA-URI.

Sa portal ng Intune, Maaari kang pumunta sa "Seguridad ng Endpoint > Proteksyon ng Account" at lumikha ng bagong patakaran sa proteksyon ng account. Piliin ang platform na "Windows 10 at mas bago" at ang uri ng profile na "Proteksyon ng account" (sa iba't ibang variant nito, depende sa bersyong magagamit).

Kapag kino-configure ang mga setting, Itakda ang opsyong "I-on ang Credential Guard" sa "Paganahin gamit ang UEFI lock" Kung gusto mong pigilan ang madaling pag-disable ng proteksyon nang malayuan, ang Credential Guard ay "nakaangkla" sa firmware, na nagpapataas sa antas ng pisikal at lohikal na seguridad ng device.

Kapag natukoy na ang mga parametro, Italaga ang patakaran sa isang grupo na naglalaman ng mga device o user object na gusto mong protektahan.Ilalapat ang patakaran kapag nag-sync ang device sa Intune at, pagkatapos ng kaukulang pag-restart, ia-activate ang Credential Guard.

Kung mas gusto mong kontrolin ang mga pinong detalye, Maaari kang gumamit ng custom na patakaran batay sa DeviceGuard CSPPara magawa ito, kinakailangang lumikha ng mga entry ng OMA-URI na may naaangkop na mga pangalan at halaga, halimbawa:

configuration
pangalanPaganahin ang seguridad na nakabatay sa virtualization OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Uri ng data: int tapang: 1
pangalanKonpigurasyon ng Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Uri ng data: int tapang: Pinagana gamit ang UEFI lock: 1 Pinagana nang walang pag-block: 2

Pagkatapos ilapat ang custom na patakarang ito at mag-restart, Magsisimula ang device nang aktibo ang VBS at Credential Guard., at ang mga kredensyal ng sistema ay poprotektahan sa nakahiwalay na lalagyan.

I-configure ang Credential Guard gamit ang patakaran ng grupo

Sa mga kapaligirang may tradisyonal na Active DirectoryAng pinakanatural na paraan upang paganahin ang Credential Guard nang maramihan ay sa pamamagitan ng Group Policy Objects (GPOs). Magagawa mo ito alinman mula sa local policy editor sa iisang computer o mula sa Group Policy Manager sa antas ng domain.

Para i-configure ang patakaran, buksan ang kaukulang GPO editor at pumunta sa path Computer Configuration > Administrative Templates > System > Device GuardSa seksyong iyon makikita mo ang patakarang "Paganahin ang seguridad batay sa virtualization".

Itinatatag ng direktiba na ito sa Piliin ang "Pinagana" at piliin ang iyong ninanais na mga setting ng Credential Guard mula sa drop-down list.Maaari kang pumili sa pagitan ng "Pinagana gamit ang UEFI lock" o "Pinagana nang walang lock," depende sa antas ng pisikal na proteksyon na gusto mong ilapat.

Kapag na-configure na ang GPO, iugnay ito sa yunit ng organisasyon o domain kung saan matatagpuan ang mga target na computerMaaari mong pinuhin ang aplikasyon nito gamit ang security group filtering o mga WMI filter, para mailapat lamang ito sa ilang partikular na uri ng device (halimbawa, sa mga corporate laptop lamang na may compatible na hardware).

Kapag natanggap ng mga makina ang direktiba at nag-restart, Ang Credential Guard ay ia-activate ayon sa configuration ng GPO., gamit ang imprastraktura ng domain upang i-deploy ito sa isang standardized na paraan.

Paganahin ang Credential Guard sa pamamagitan ng pagbabago ng Windows Registry

Kung kailangan mo ng detalyadong kontrol o para i-automate ang pag-deploy gamit ang mga scriptMaaari mong i-configure ang Credential Guard nang direkta gamit ang mga Registry key. Ang pamamaraang ito ay nangangailangan ng katumpakan, dahil ang maling halaga ay maaaring mag-iwan sa sistema sa isang hindi inaasahang estado.

Para maging aktibo ang seguridad na nakabatay sa virtualization at ang Credential Guard, Dapat kang lumikha o magbago ng ilang entry sa ilalim ng mga partikular na pathAng mga pangunahing punto ay:

configuration
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard pangalan: EnableVirtualizationBasedSecurity Uri: REG_DWORD tapang: 1 (nagbibigay-daan sa seguridad na nakabatay sa virtualization)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard pangalan: RequirePlatformSecurityFeatures Uri: REG_DWORD tapang: 1 (gamit ang secure boot) 3 (ligtas na boot + proteksyon ng DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa pangalan: LsaCfgFlags Uri: REG_DWORD tapang: 1 (pinapagana ang Credential Guard na may UEFI lock) 2 (pinapagana ang Credential Guard nang hindi nakakandado)

Matapos ilapat ang mga halagang ito, I-restart ang computer upang gumana ang Windows hypervisor at ang nakahiwalay na proseso ng LSAKung wala ang pag-reset na iyon, ang mga pagbabago sa Registry ay hindi talaga maa-activate ang proteksyon ng memorya.

Paano suriin kung naka-enable at gumagana ang Credential Guard

Tingnan kung ang proseso LsaIso.exe Lumilitaw ito sa Task Manager. Maaaring magbigay ito ng palatandaan, ngunit hindi ito itinuturing ng Microsoft na isang maaasahang paraan para kumpirmahin na gumagana ang Credential Guard. May mas matatag na mga pamamaraan, batay sa mga built-in na tool ng system.

Kabilang sa mga inirerekomendang opsyon para sa Suriin ang katayuan ng Credential Guard Kabilang dito ang System Information, PowerShell, at ang Event Viewer. Ang bawat pamamaraan ay nag-aalok ng iba't ibang pananaw, kaya mahalagang maging pamilyar ka sa lahat ng mga ito.

Ang pinaka-biswal na pamamaraan ay ang isa na Impormasyon sa sistema (msinfo32.exe)Mula sa Start menu, patakbuhin lamang ang tool na ito, piliin ang "System Summary" at lagyan ng tsek ang seksyong "Running virtualization-based security services" upang kumpirmahin na ang "Credential Guard" ay lilitaw bilang isang aktibong serbisyo.

Kung mas gusto mo ang isang bagay na maaaring isulat, Kakampi mo ang PowerShellMula sa isang console na may mataas na pribilehiyo, maaari mong patakbuhin ang sumusunod na utos:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Ang output ng utos na ito ay nagpapahiwatig, gamit ang mga numerical code, kung Naka-enable o hindi ang Credential Guard sa makinang iyonIsang halaga Ang ibig sabihin ng 0 ay naka-disable ang Credential Guard.Habang Ipinapahiwatig ng 1 na ito ay naka-activate at tumatakbo. bilang bahagi ng mga serbisyong pangseguridad na nakabatay sa virtualization.

Sa wakas, ang Binibigyang-daan ka ng Event Viewer na suriin ang dating gawi ng Credential Guard.Pagbubukas eventvwr.exe Sa pamamagitan ng pag-navigate sa "Windows Logs > System", maaari mong i-filter ayon sa pinagmulan ng kaganapan na "WinInit" at hanapin ang mga mensahe na may kaugnayan sa pagsisimula ng mga serbisyo ng Device Guard at Credential Guard, na kapaki-pakinabang para sa mga pana-panahong pag-audit.

Huwag paganahin ang Credential Guard at pamahalaan ang UEFI lockout

Bagama't ang pangkalahatang rekomendasyon ay panatilihing naka-activate ang Credential Guard Sa lahat ng sistemang sumusuporta dito, sa ilang partikular na sitwasyon, maaaring kailanganin itong i-disable, alinman upang malutas ang mga hindi pagkakatugma sa mga lumang aplikasyon o upang magsagawa ng ilang partikular na gawain sa pag-diagnose.

Ang eksaktong pamamaraan para sa Ang pag-disable sa Credential Guard ay depende sa kung paano ito unang na-configure.Kung pinagana ito nang walang UEFI locking, ibalik lamang ang mga patakaran ng Intune, GPO, o Registry at i-reboot. Gayunpaman, kung pinagana ito nang may UEFI locking, kinakailangan ang mga karagdagang hakbang dahil ang ilan sa mga configuration ay nakaimbak sa mga variable ng EFI ng firmware.

Sa tukoy na kaso ng Pinagana ang Credential Guard gamit ang UEFI lockUna, dapat mong sundin ang karaniwang proseso ng pag-disable (pagbabalik ng mga direktiba o mga halaga ng Registry) at pagkatapos ay alisin ang mga kaugnay na variable ng EFI gamit ang bcdedit at ang utility SecConfig.efi gamit ang isang advanced na script.

Kasama sa karaniwang daloy mag-mount ng pansamantalang EFI drive, kopyahin SecConfig.efi, gumawa ng bagong input ng charger gamit ang bcdeditI-configure ang iyong mga opsyon para i-disable ang isolated LSA at magtakda ng temporary boot sequence sa pamamagitan ng Windows boot manager, pati na rin i-unmount ang drive sa pagtatapos ng proseso.

Pagkatapos i-restart ang computer gamit ang ganitong configuration, Bago magsimula ang Windows, lilitaw ang isang mensahe na nagbabala sa isang pagbabago sa UEFI.Kinakailangang kumpirmahin ang mensaheng ito para manatili ang mga pagbabago at para tunay na hindi paganahin ang Credential Guard EFI lock sa firmware.

Kung ang kailangan mo Huwag paganahin ang Credential Guard sa isang partikular na Hyper-V virtual machineMagagawa mo ito mula sa host, nang hindi hinahawakan ang bisita, gamit ang PowerShell. Ang isang karaniwang utos ay:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Sa pagsasaayos na iyon, ang virtual machine Humihinto ito sa paggamit ng VBS at samakatuwid ay humihinto sa pagpapatakbo ng Credential Guard kahit na sinusuportahan ng guest operating system ang feature na ito, na maaaring maging kapaki-pakinabang sa mga partikular na laboratoryo o kapaligiran sa pagsubok.

Credential Guard sa Hyper-V virtual machine

Ang Credential Guard ay hindi limitado sa pisikal na kagamitan lamang.Maaari rin nitong protektahan ang mga kredensyal sa loob ng mga virtual machine na nagpapatakbo ng Windows sa mga kapaligirang Hyper-V, na nagbibigay ng antas ng paghihiwalay na katulad ng makukuha sa bare-metal hardware.

Sa mga sitwasyong ito, Pinoprotektahan ng Credential Guard ang mga sikreto laban sa mga pag-atakeng nagmumula mismo sa loob ng virtual machine.Sa madaling salita, kung ang isang umaatake ay makompromiso ang mga proseso ng sistema sa loob ng VM, ang proteksyon ng VBS ay patuloy na maghihiwalay sa mga LSA at magbabawas sa pagkakalantad ng mga hash at tiket.

Gayunpaman, mahalagang maging malinaw tungkol sa limitasyon: Hindi kayang ipagtanggol ng Credential Guard ang VM mula sa mga pag-atakeng nagmumula sa host. na may matataas na pribilehiyo. Ang hypervisor at ang host system ay epektibong may ganap na kontrol sa mga virtual machine, kaya maaaring malampasan ng isang malisyosong host administrator ang mga hadlang na ito.

Para gumana nang tama ang Credential Guard sa ganitong uri ng mga deployment, Dapat mayroong IOMMU ang Hyper-V host (input/output memory management unit) na nagpapahintulot sa paghihiwalay ng access sa memory at mga device, at ang mga virtual machine ay dapat na Henerasyon 2, na may firmware ng UEFI, na nagbibigay-daan sa Secure Boot at iba pang kinakailangang kakayahan.

Dahil naipatupad na ang mga kinakailangang ito, Ang karanasan sa paggamit ng Credential Guard sa mga VM ay halos kapareho ng sa isang pisikal na makina.kabilang ang parehong mga paraan ng pag-activate (Intune, GPO, Registry) at mga paraan ng pag-verify (msinfo32, PowerShell, Event Viewer).

Exploit Guard at Microsoft Defender: I-activate at pamahalaan ang pangkalahatang proteksyon

Kasama ng Credential Guard, ang ecosystem ng seguridad ng Windows ay umaasa sa Microsoft Defender Antivirus at sa mga teknolohiyang tulad ng Exploit Guard, na kinabibilangan ng mga panuntunan sa pagbabawas ng ibabaw ng pag-atake, proteksyon ng network, kontrol sa pag-access sa folder, at iba pang mga tampok na naglalayong pabagalin ang malware at pagaanin ang mga pagsasamantala.

Sa maraming koponan, Ang Microsoft Defender antivirus ay naka-install na at naka-activate bilang default Sa Windows 8, Windows 10, at Windows 11, available ito, ngunit medyo karaniwan itong makitang naka-disable dahil sa mga nakaraang patakaran, pag-install ng mga solusyon ng third-party, o mga manu-manong pagbabago sa Registry.

Sa I-activate ang Microsoft Defender Antivirus gamit ang lokal na patakaran ng grupoMaaari mong buksan ang Start menu, hanapin ang "Group Policy," at piliin ang "Edit Group Policy." Sa loob ng "Computer Configuration > Administrative Templates > Windows Components > Windows Defender Antivirus," makikita mo ang opsyong "Turn off Windows Defender Antivirus."

Kung ang patakarang ito ay nakatakda sa "Pinagana", nangangahulugan ito na ang antivirus ay sapilitang hindi pinagana. Para maibalik ang paggana nito, itakda ang opsyon sa "Disabled" o "Not Configured".Ilapat ang mga pagbabago at isara ang editor. Makakapagsimula muli ang serbisyo pagkatapos ng susunod na pag-update ng patakaran.

Kung sa oras Ang Defender ay tahasang hindi pinagana mula sa RegistryKailangan mong suriin ang ruta HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender at hanapin ang halaga DisableAntiSpywareGamit ang Registry Editor, maaari mo itong buksan at itakda ang "Value data" nito sa 0Tinatanggap ang pagbabago upang payagan ang antivirus na gumana muli.

Pagkatapos ng mga pagsasaayos na ito, pumunta sa "Start > Settings > Update & Security > Windows Defender" (sa mga mas bagong bersyon, "Windows Security") at Tiyaking naka-enable ang switch na "Real-time protection"Kung naka-off pa rin ito, manu-manong i-on ito upang matiyak na nagsisimula sa system ang depensa ng antivirus.

Para sa pinakamataas na proteksyon, ipinapayong Paganahin ang parehong real-time na proteksyon at proteksyon na nakabatay sa cloudMula sa application na "Windows Security", pumunta sa "Proteksyon laban sa virus at banta > Mga setting ng proteksyon laban sa virus at banta > Pamahalaan ang mga setting" at i-activate ang mga kaukulang switch.

Kung hindi nakikita ang mga opsyong ito, malamang na Itinatago ng isang patakaran ng grupo ang seksyon ng proteksyon ng antivirus. Sa Windows Security, lagyan ng tsek ang "Computer Configuration > Administrative Templates > Windows Components > Windows Security > Virus & threat protection" at tiyaking nakatakda sa "Disabled" ang patakarang "Hide virus and threat protection area," at ilalapat ang mga pagbabago.

Ito ay pare-parehong mahalaga panatilihing napapanahon ang mga kahulugan ng virus Nagbibigay-daan ito sa Microsoft Defender na matukoy ang mga kamakailang banta. Mula sa Windows Security, sa ilalim ng "Proteksyon sa virus at banta," sa loob ng "Mga update sa proteksyon sa banta," i-click ang "Suriin ang mga update" at payagan ang pag-download ng mga pinakabagong lagda.

Kung mas gusto mo ang command line, isa rin itong opsyon. Maaari mong simulan ang serbisyo ng Microsoft Defender mula sa CMD. Pindutin ang Windows + R, i-type cmd Pagkatapos, sa command prompt (mas mabuti kung may mataas na pribilehiyo), patakbuhin ang:

sc start WinDefend

Sa utos na ito, Nagsisimula ang pangunahing serbisyo ng antivirus basta't walang karagdagang mga patakaran o hadlang na pumipigil dito, na nagbibigay-daan sa iyong mabilis na mapatunayan kung nagsisimula ang makina nang walang mga error.

Para malaman kung gumagamit ang iyong computer ng Microsoft Defender, pumunta lamang sa "Start > Settings > System" at pagkatapos ay buksan ang "Control Panel". Sa seksyong "Security and Maintenance", makikita mo ang seksyong "System security and protection", kung saan Makakakita ka ng buod ng katayuan ng proteksyon ng antivirus at iba pang aktibong hakbang. sa koponan.

Sa pamamagitan ng pagsasama-sama Credential Guard upang protektahan ang mga kredensyal sa memorya Gamit ang wastong na-configure na Microsoft Defender, Exploit Guard, at naaangkop na mga panuntunan sa pagpapatibay, nakakamit ang mas mataas na antas ng seguridad laban sa pagnanakaw ng kredensyal, advanced malware, at lateral movement sa loob ng domain. Bagama't palaging may gastos na nauugnay sa pagiging tugma sa mga legacy protocol at application, ang pangkalahatang pagpapabuti sa seguridad ay higit pa sa natutugunan ito sa karamihan ng mga organisasyon.