I-configure ang Credential Guard sa Windows nang sunud-sunod

Ang Credential Guard ay naging isang mahalagang piraso upang palakasin ang seguridad ng kredensyal sa mga kapaligiran Windows Ang mga modernong sistema ay partikular na mahalaga sa mga organisasyon kung saan ang pag-atake ng pagnanakaw ng kredensyal ay maaaring magdulot ng malubhang problema. Sa halip na iwanang nakalantad ang mga lihim ng pagpapatotoo sa memorya ng system, ang tampok na ito ay naghihiwalay sa mga ito gamit ang virtualization-based na seguridad, na makabuluhang binabawasan ang pag-atake.

Sa mga sumusunod na linya makikita mo kung paano i-configure ang Credential Guard Gamit ang iba't ibang pamamaraan (Intune/MDM, Patakaran ng Grupo, at Registry), sasakupin namin ang mga kinakailangan na dapat matugunan ng iyong device, ang mga limitasyong ipinakilala nito, kung paano i-verify na ito ay aktwal na aktibo, at kung paano ito i-disable sa mga kinakailangang sitwasyon, kabilang ang mga virtual machine at UEFI-locked na device. Ang lahat ay ipinaliwanag nang detalyado, ngunit sa malinaw, madaling gamitin na wika upang madali mong mailapat ito.

Ano ang Credential Guard at paano nito pinoprotektahan ang mga kredensyal?

Ang Credential Guard ay isang tampok sa seguridad ng Windows na gumagamit ng virtualization-based security (VBS) upang ihiwalay ang mga kredensyal at iba pang mga lihim na nauugnay sa pagpapatotoo. Sa halip na direktang iimbak ang lahat sa proseso ng lokal na awtoridad sa seguridad (lsass.exe), ang sensitibong data ay iniimbak sa isang nakahiwalay na bahagi na tinatawag Nakahiwalay ang LSA o nakahiwalay na LSA.

Ang nakahiwalay na LSA na ito ay tumatakbo sa isang protektadong kapaligiran, na nahiwalay sa pangunahing operating system sa pamamagitan ng hypervisor (ligtas na mode virtual o VSM). Isang napakaliit na hanay lamang ng mga binary, na nilagdaan gamit ang mga pinagkakatiwalaang certificate, ang maaaring i-load sa environment na iyon. Ang komunikasyon sa iba pang bahagi ng system ay ginagawa sa pamamagitan ng RPC, na pumipigil sa malware na tumatakbo sa system, gayunpaman ito ay may pribilehiyo, maaaring direktang basahin ang mga protektadong sikreto.

Partikular na pinoprotektahan ng Credential Guard ang tatlong uri ng mga kredensyalAng mga hash ng password ng NTLM, mga tala ng Kerberos Ticket Granting (TGT), at mga kredensyal na inimbak ng mga application bilang mga kredensyal ng domain ay nakompromiso lahat. Ito ay nagpapagaan ng mga klasikong pag-atake tulad ng pass-the-hash o pass-the-ticket, napakakaraniwan sa mga lateral na paggalaw sa loob ng mga corporate network.

Mahalagang maunawaan na hindi pinoprotektahan ng Credential Guard ang lahat.Hindi nito saklaw, halimbawa, ang mga kredensyal na pinangangasiwaan ng third-party na software sa labas ng karaniwang mga mekanismo ng Windows, mga lokal at Microsoft account, at hindi rin ito nagpoprotekta laban sa mga pisikal na pag-atake o keylogger. Gayunpaman, lubos nitong binabawasan ang panganib na nauugnay sa mga kredensyal ng domain.

Pinagana ang Credential Guard bilang default

Mula sa Windows 11 22H2 at Windows Server 2025Ang virtualization-based security (VBS) at Credential Guard ay pinagana bilang default sa mga device na nakakatugon sa tinukoy na hardware, firmware, at software na kinakailangan ng Microsoft. Nangangahulugan ito na sa maraming modernong mga computer, ito ay na-pre-configure at aktibo nang walang anumang interbensyon ng administrator.

Ang default na mode ng pagpapagana ay "UEFI unlocked"Sa madaling salita, nang walang lock na pumipigil sa malayuang pag-deactivate. Pinapadali ng diskarteng ito para sa mga administrator na i-disable ang Credential Guard sa pamamagitan ng mga patakaran o malayuang configuration kung hindi tugma ang isang kritikal na application o may nakitang mga isyu sa performance.

Kapag ang Credential Guard ay pinagana bilang defaultAng VBS mismo ay awtomatikong pinagana. Walang hiwalay na configuration ng VBS ang kinakailangan para gumana ang Credential Guard, bagama't may mga karagdagang parameter upang palakasin ang antas ng proteksyon ng platform (halimbawa, nangangailangan ng proteksyon ng DMA bilang karagdagan sa pamantayan). boot sigurado).

Mayroong isang mahalagang nuance sa na-update na kagamitanKung ang isang device ay tahasang na-disable ang Credential Guard bago mag-upgrade sa isang bersyon ng Windows kung saan ito ay pinagana bilang default, mananatili itong hindi pinagana pagkatapos ng pag-upgrade. Sa madaling salita, mas inuuna ang tahasang setting ng administrator kaysa sa default na gawi.

System, hardware, firmware at mga kinakailangan sa paglilisensya

Para sa Credential Guard na magbigay ng tunay na proteksyonDapat matugunan ng device ang isang serye ng pinakamababang hardware, firmware, at software na kinakailangan. Ang mga device na lumampas sa mga minimum na ito at may mga karagdagang feature, gaya ng IOMMU o TPM 2.0, ay maaaring makinabang mula sa mas mataas na antas ng seguridad laban sa mga pag-atake ng DMA at mga advanced na pagbabanta.

Mga kinakailangan sa hardware at firmware

Ang pangunahing kinakailangan sa hardware para sa Credential Guard Kasama sa mga ito ang isang 64-bit na CPU na may mga extension ng virtualization (Intel VT-x o AMD-V) at suporta para sa pangalawang antas na pagsasalin ng address (SLAT, kilala rin bilang Extended Page Tables). Kung wala ang mga kakayahan sa virtualization na ito, ang VBS at virtual safe mode ay hindi magagawang maayos na ihiwalay ang memorya.

Sa antas ng firmware, ipinag-uutos na magkaroon UEFI Bersyon 2.3.1 o mas mataas na may suporta sa Secure Boot at isang secure na proseso ng pag-update ng firmware. Bukod pa rito, inirerekomenda ang mga feature gaya ng secure na ipinatupad na Memory Overwrite Request (MOR), proteksyon sa configuration ng boot, at kakayahan sa pag-upgrade ng firmware sa pamamagitan ng [unclear - posibleng "software upgrade" o "software upgrade"]. Windows Update.

Ang paggamit ng isang input/output memory management unit (IOMMU)Ang paggamit ng VM gaya ng Intel VT-d o AMD-Vi ay lubos na inirerekomenda, dahil pinapayagan ka nitong paganahin ang proteksyon ng DMA kasabay ng VBS. Pinipigilan ng proteksyong ito ang mga nakakahamak na device na konektado sa bus mula sa direktang pag-access ng memorya at pagkuha ng mga lihim.

Ang Trusted Platform Module (TPM) ay isa pang mahalagang bahagimas mabuti sa bersyon TPM 2.0kahit na ang TPM 1.2 ay sinusuportahan din. Ang TPM ay nagbibigay ng isang hardware security anchor upang protektahan ang VSM master key at matiyak na ang data na protektado ng Credential Guard ay maa-access lamang sa isang pinagkakatiwalaang kapaligiran.

Mga proteksyon ng VSM at ang papel ng TPM

Ang mga lihim na protektado ng Credential Guard ay nakahiwalay sa memorya sa pamamagitan ng virtual secure mode (VSM). Sa kamakailang hardware na may TPM 2.0, ang patuloy na data sa kapaligiran ng VSM ay naka-encrypt na may a VSM master key protektado ng TPM mismo at ng mga secure na mekanismo ng boot ng device.

Bagama't ang mga NTLM at Kerberos TGT ay muling nabuo sa bawat pag-login at dahil hindi sila karaniwang pinananatili sa pagitan ng mga pag-reboot, ang pagkakaroon ng master key ng VSM ay nagbibigay-daan para sa proteksyon ng data na maaaring panatilihin sa lugar. orasTinitiyak ng TPM na hindi ma-extract ang key mula sa device at hindi ma-access ang mga protektadong sikreto sa labas ng isang validated na kapaligiran.

Mga kinakailangan at lisensya ng edisyon ng Windows

Hindi available ang Credential Guard sa lahat ng edisyon ng WindowsSa mga system ng kliyente, sinusuportahan ito sa Windows Enterprise at sa Windows Education, ngunit hindi sa Windows Pro o Windows Pro Education/SE. Sa madaling salita, ang isang computer na may Windows Pro ay mangangailangan ng pag-upgrade sa Enterprise upang magamit ang pagpapaandar na ito.

Ang mga karapatan sa paggamit ng Credential Guard ay ipinagkaloob sa pamamagitan ng mga lisensya gaya ng Windows Enterprise E3 at E5 o ang mga lisensyang pang-edukasyon na A3 at A5. Sa mga kapaligiran ng negosyo, karaniwang nakukuha ito sa pamamagitan ng mga kasunduan sa paglilisensya ng dami, habang ang mga OEM ay karaniwang naghahatid ng Windows Pro at ang customer ay nag-a-upgrade sa Enterprise.

Credential Guard sa Hyper-V virtual machine

Maaari ding protektahan ng Credential Guard ang mga lihim sa loob ng mga virtual machine isinagawa sa Hyper-V, katulad ng kung paano ito gumagana sa mga pisikal na makina. Ang mga pangunahing kinakailangan ay ang Hyper-V host ay may IOMMU at ang mga virtual machine ay Generation 2.

Mahalagang maunawaan ang hangganan ng proteksyon sa mga sitwasyong itoPinoprotektahan ng Credential Guard ang mga pag-atake na nagmumula sa mismong virtual machine, ngunit hindi laban sa mga banta mula sa host na may mataas na mga pribilehiyo. Kung nakompromiso ang host, maa-access pa rin nito ang mga guest machine.

Mga kinakailangan sa aplikasyon at pagiging tugma

Hinaharang ng pag-activate ng Credential Guard ang ilang partikular na feature sa pagpapatunaySamakatuwid, ang ilang mga application ay maaaring huminto sa paggana kung umaasa sila sa mga hindi napapanahon o hindi secure na mga pamamaraan. Bago ang malawakang pag-deploy, ipinapayong subukan ang mga kritikal na aplikasyon upang matiyak na mananatiling gumagana ang mga ito.

Mga application na nangangailangan ng DES encryption para sa KerberosMaaabala ang hindi pinaghihigpitang delegasyon ng Kerberos, pagkuha ng TGT, at paggamit ng NTLMv1 dahil direktang hindi pinagana ang mga opsyong ito kapag aktibo ang Credential Guard. Ito ay isang mahigpit na hakbang sa seguridad, ngunit kinakailangan upang maiwasan ang mga seryosong kahinaan.

Iba pang mga feature, gaya ng implicit authenticationAng delegasyon ng kredensyal, MS-CHAPv2, o CredSSP ay naglalantad ng mga kredensyal sa mga karagdagang panganib kahit na aktibo ang Credential Guard. Maaaring patuloy na gumana ang mga application na nagpipilit na gamitin ang mga ito, ngunit iniiwan ng mga ito ang mga kredensyal na mas mahina, kaya inirerekomenda din ang pagsusuri sa mga ito.

Maaaring mayroon ding mga epekto sa pagganap kung ang ilang mga application ay nagtatangkang makipag-ugnayan nang direkta sa nakahiwalay na proseso LsaIso.exeSa pangkalahatan, ang mga serbisyong gumagamit ng Kerberos sa karaniwang paraan (halimbawa, mga pagbabahagi ng file o Remote desktop) patuloy na gumana nang normal nang hindi napapansin ang anumang mga pagbabago.

Paano paganahin nang tama ang Credential Guard

Ang pangkalahatang rekomendasyon ng Microsoft ay paganahin ang Credential Guard Dapat itong gawin bago sumali ang device sa isang domain o bago mag-log on ang user ng domain sa unang pagkakataon. Kung i-activate sa ibang pagkakataon, ang mga lihim ng user o computer ay maaaring malantad na sa hindi protektadong memorya.

Mayroong tatlong pangunahing paraan para sa pag-set up ng feature na ito.Magagawa ito sa pamamagitan ng Microsoft Intune/MDM, gamit ang Group Policy, o sa pamamagitan ng Windows Registry. Ang pagpili ay depende sa uri ng kapaligiran, magagamit na mga tool sa pamamahala, at ninanais na antas ng automation.

Paganahin ang Credential Guard gamit ang Microsoft Intune / MDM

Sa mga kapaligirang pinamamahalaan gamit ang Intune o iba pang mga solusyon sa MDMMaaaring paganahin ang Credential Guard sa pamamagitan ng paggawa ng patakaran sa configuration ng device na unang nag-a-activate ng virtualization-based na seguridad at pagkatapos ay tumutukoy sa partikular na gawi ng Credential Guard.

Maaaring gawin ang mga custom na patakaran gamit ang DeviceGuard CSP. na may mga sumusunod na pangunahing parameter ng OMA-URI:

• I-activate ang VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityuri ng data int, halaga 1 upang paganahin ang seguridad na nakabatay sa virtualization.
• I-configure ang Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsuri int, halaga 1 upang paganahin gamit ang UEFI lock o 2 upang paganahin nang walang pagharang.

Kapag nagawa na ang patakaran, itatalaga ito sa device o pangkat ng user. na gusto mong protektahan. Pagkatapos ilapat ang patakaran, kailangan mong i-restart ang device para magkabisa ang Credential Guard.

I-configure ang Credential Guard gamit ang Group Policy (GPO)

Sa mga domain ng Active Directory, ang pinaka-maginhawang paraan ay karaniwang ang GPO.Maaari mong gamitin ang Local Group Policy Editor para sa isang computer o gumawa ng Group Policy Object na naka-link sa mga domain o unit ng organisasyon upang masakop ang maraming device.

Ang tiyak na landas ng patakaran ng grupo ayConfiguration ng Device → Administrative Templates → System → Device Guard. Sa loob ng seksyong iyon, mayroong isang setting na tinatawag na "Paganahin ang seguridad na nakabatay sa virtualization."

Kapag pinagana ang patakarang ito, dapat mong piliin ang opsyong Credential Guard. sa drop-down na listahan ng "Mga Setting ng Credential Guard":

• Pinagana gamit ang UEFI lock: pinipigilan ang malayuang hindi pagpapagana ng Credential Guard; maaari lamang itong baguhin sa pamamagitan ng pisikal na pag-access sa firmware/BIOS.
• Pinagana nang walang pag-block: nagbibigay-daan sa iyong i-disable ang Credential Guard sa ibang pagkakataon sa pamamagitan ng GPO o remote configuration.

Maaaring i-filter ang mga GPO gamit ang mga pangkat ng seguridad o mga filter ng WMINagbibigay-daan ito sa iyong ilapat ang proteksyong ito sa ilang partikular na uri ng device o profile ng user. Pagkatapos ilapat ang patakaran, kailangan din ng pag-restart para magkabisa ang mga pagbabago.

I-configure ang Credential Guard gamit ang Windows Registry

Kapag kailangan ang mas maraming butil na kontrol o script pasadyangMaaaring direktang paganahin ang Credential Guard sa pamamagitan ng Registry. Karaniwang ginagamit ang paraang ito sa mga advanced na senaryo o automation kung saan hindi available ang GPO o MDM.

Upang i-activate ang virtualization-based security (VBS)Ang mga sumusunod na key ay dapat na i-configure:

• Susing landas: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nombre: EnableVirtualizationBasedSecurityuri REG_DWORD, halaga 1.
• Susing landas: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nombre: RequirePlatformSecurityFeaturesuri REG_DWORD, halaga 1 para sa ligtas na pagsisimula o 3 para sa secure na boot na may proteksyon ng DMA.

Para sa partikular na configuration ng Credential Guard Ang susi ay ginagamit:

• Susing landas: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Nombre: LsaCfgFlagsuri REG_DWORDMga posibleng halaga:
  0 upang huwag paganahin ang Credential Guard,
  1 para paganahin ito gamit ang UEFI lock,
  2 upang paganahin ito nang hindi nakaharang.

Pagkatapos ayusin ang mga key na ito sa RegistryKailangan mong i-restart ang computer upang ang VBS at Credential Guard ay makapagsimula nang tama at magsimulang protektahan ang mga kredensyal.

Suriin kung pinagana ang Credential Guard

Bagama't maaaring mukhang nakatutukso na tingnan kung ang proseso LsaIso.exe Ito ay isinasagawa mula sa Task ManagerHindi inirerekomenda ng Microsoft ang paraang ito bilang isang maaasahang pagsusuri. Sa halip, tatlong pangunahing mekanismo ang iminungkahi: System Information, PowerShell at Viewer ng Kaganapan.

Pag-verify gamit ang Impormasyon ng System (msinfo32)

Ang pinakasimpleng paraan para sa maraming mga administrator Kabilang dito ang paggamit ng tool na "System Information" ng Windows:

1. Piliin ang Magsimula at i-type msinfo32.exePagkatapos ay buksan ang application na "System Information".
2. Sa kaliwang panel, pumunta sa Pangkalahatang-ideya ng system.
3. Sa kanang panel, hanapin ang seksyon "Ang mga serbisyo sa seguridad na nakabatay sa virtualization ay gumagana" at tingnan kung lalabas ang "Credential Guard" sa mga nakalistang serbisyo.

Kung ang Credential Guard ay nakalista bilang isang tumatakbong serbisyo Sa seksyong ito, nangangahulugan ito na ito ay wastong pinagana at aktibo sa computer.

Pag-verify gamit ang PowerShell

Sa mga pinamamahalaang kapaligiran, ang paggamit ng PowerShell ay napakapraktikal. Upang magsagawa ng maramihang pagsusuri sa katayuan ng Credential Guard, maaari mong patakbuhin ang sumusunod na command mula sa isang nakataas na PowerShell console:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Ang utos na ito ay nagbabalik ng isang hanay ng mga numerong halaga na nagpapahiwatig kung aling mga serbisyo sa seguridad na nakabatay sa virtualization ang aktibo. Sa partikular na kaso ng Credential Guard, binibigyang-kahulugan ang mga ito bilang sumusunod:

• 0: Hindi pinagana ang Credential Guard (hindi tumatakbo).
• 1: Pinagana ang Credential Guard (tumatakbo).

Bilang karagdagan sa pangkalahatang query na itoNag-aalok ang Microsoft ng script ng DG_Readiness_Tool (halimbawa, DG_Readiness_Tool_v2.0.ps1), na nagpapahintulot sa iyo na suriin kung ang system ay may kakayahang magpatakbo ng Credential Guard, paganahin ito, huwag paganahin ito, at patunayan ang katayuan nito gamit ang mga opsyon tulad ng -Capable, -Enable, -Disable y -Ready.

Gamit ang Event Viewer

Isa pang paraan ng pag-verify na mas nakatuon sa pag-audit Ito ay para gamitin ang Event Viewer. Mula sa eventvwr.exe Maaari mong ma-access ang "Windows Logs" → "System" at salain ang mga kaganapan na ang pinanggalingan ay "WinInit".

Kabilang sa mga kaganapang iyon ang mga entry na may kaugnayan sa pagsisimula ng mga serbisyo sa seguridad na nakabatay sa virtualization, kabilang ang mga nagsasaad kung matagumpay na nasimulan ang Credential Guard sa panahon ng proseso ng pagsisimula.

Huwag paganahin ang Credential Guard at UEFI lock management

Bagama't karaniwan ay gusto mong panatilihing naka-enable ang Credential GuardMay mga sitwasyon kung saan maaaring kailanganin itong i-disable: mga hindi pagkakatugma ng application, pagsubok sa laboratoryo, mga pagbabago sa arkitektura ng seguridad, atbp. Ang pamamaraan para sa hindi pagpapagana nito ay depende sa kung paano ito pinagana at kung ginamit ang UEFI locking.

Sa pangkalahatan, hindi pagpapagana ng Credential Guard Kabilang dito ang pagbabalik ng mga setting na inilapat sa pamamagitan ng Intune/MDM, Group Policy, o ang Registry, at pagkatapos ay i-restart ang computer. Gayunpaman, kapag pinagana sa UEFI locking, may mga karagdagang hakbang dahil naka-store ang ilan sa mga setting mga variable ng EFI ng firmware.

Hindi pagpapagana ng Credential Guard gamit ang UEFI Lock

Kung pinagana ang Credential Guard gamit ang UEFI lockHindi sapat na baguhin ang GPO o ang Registry. Kailangan mo ring alisin ang mga variable ng EFI na nauugnay sa nakahiwalay na configuration ng LSA na ginagamit bcdedit at isang maliit na espesyal na proseso ng pagsisimula.

Mula sa isang command prompt na may mataas na mga pribilehiyo isang sequence ay naisakatuparan comandos para sa:

1. Mag-install ng pansamantalang EFI unit na may mountvol at kopyahin SecConfig.efi sa Microsoft boot path.
2. Gumawa ng entry ng system charger gamit ang bcdedit /create tinuturo iyon SecConfig.efi.
3. I-configure ang bootsequence ng boot manager upang mag-boot ito nang isang beses gamit ang espesyal na loader na iyon.
4. Idagdag ang opsyon sa pagsingil DISABLE-LSA-ISO upang i-disable ang nakahiwalay na configuration ng LSA na nakaimbak sa UEFI.
5. Alisin muli ang pansamantalang unit ng EFI.

Pagkatapos isagawa ang mga hakbang na ito, magre-restart ang device.Bago magsimula ang operating system, may lalabas na mensahe na nagpapahiwatig na ang mga setting ng UEFI ay nabago at hihingi ng kumpirmasyon. Mahalagang tanggapin ang mensaheng ito para magkabisa ang mga pagbabago sa pag-deactivate.

Huwag paganahin ang Credential Guard sa mga virtual machine

Sa kaso ng mga virtual machine na konektado sa isang Hyper-V hostPosibleng pigilan ang VM sa paggamit ng VBS at Credential Guard kahit na ang guest operating system ay ihahanda para dito.

Mula sa host, gamit ang PowerShell, maaari kang tumakbo Ang sumusunod na command ay magbubukod ng virtual machine mula sa virtualization-based na seguridad:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Sa pamamagitan ng pag-activate ng opsyon sa pagbubukod na itoTatakbo ang VM nang walang mga proteksyon ng VBS at, sa pamamagitan ng extension, walang Credential Guard, na maaaring maging kapaki-pakinabang sa mga kapaligiran ng pagsubok o kapag nagpapatakbo ng mga legacy system sa loob ng mga virtual machine.

Pagsasama ng Credential Guard sa AWS Nitro at iba pang mga senaryo

Available din ang Credential Guard sa mga cloud environment gaya ng Amazon EC2, na ginagamit ang secure na arkitektura ng AWS Nitro system. Sa kontekstong ito, umaasa ang VBS at Credential Guard sa Nitro upang maiwasang ma-extract ang mga kredensyal sa pag-log in sa Windows mula sa memorya ng guest operating system.

Upang gamitin ang Credential Guard sa isang Windows instance sa EC2Upang maglunsad ng isang katugmang instance, kailangan mong pumili ng sinusuportahang uri ng instance at isang paunang na-configure na Windows AMI na may kasamang virtual na TPM at suporta sa VBS. Magagawa ito mula sa Amazon EC2 console o mula sa AWS CLI gamit run-instances o gamit ang PowerShell New-EC2Instancepagtukoy, halimbawa, ng isang imahe ng estilo TPM-Windows_Server-2022-English-Full-Base.

Sa ilang mga sitwasyon, kakailanganing huwag paganahin ang integridad ng memorya (HVCI) bago i-enable ang Credential Guard, sa pamamagitan ng pagsasaayos ng mga patakaran ng grupo na nauugnay sa "Proteksyon ng integridad ng code na nakabatay sa virtualization." Kapag ang mga pagsasaayos na ito ay ginawa at ang instance ay na-restart, ang Credential Guard ay maaaring paganahin at patunayan, tulad ng sa anumang iba pang Windows machine, na may msinfo32.exe.

Mga limitasyon sa proteksyon at mga aspeto na hindi saklaw ng Credential Guard

Bagama't ang Credential Guard ay kumakatawan sa isang malaking hakbang pasulong sa proteksyon ng kredensyalIto ay hindi isang pilak na bala na malulutas ang lahat. May mga partikular na kaso na wala sa saklaw nito, at mahalagang malaman ang mga ito upang maiwasan ang maling pakiramdam ng seguridad.

Ang ilang mga halimbawa ng hindi nito pinoprotektahan ay:

• Software ng third party na namamahala ng mga kredensyal sa labas ng mga karaniwang mekanismo ng Windows.
• Mga lokal na account at mga Microsoft account na na-configure sa computer mismo.
• Database ng Active Directory sa mga controller ng domain ng Windows Server.
• Mga papasok na channel ng kredensyal tulad ng mga server ng gateway ng Remote Desktop.
• Mga recorder ng keystroke at direktang pisikal na pag-atake sa koponan.

Hindi rin nito pinipigilan ang isang umaatake na may malware sa computer mula sa Ginagamit nito ang mga pribilehiyong naibigay na sa isang aktibong kredensyal. Ibig sabihin, kung kumonekta ang isang user na may matataas na pahintulot sa isang nakompromisong system, maaaring samantalahin ng attacker ang mga pahintulot na iyon sa tagal ng session, kahit na hindi nila maaaring nakawin ang hash mula sa protektadong memorya.

Sa mga kapaligirang may mga user o account na may mataas na halaga (mga administrador ng domain, kawani ng IT na may access sa mga kritikal na mapagkukunan, atbp.), ipinapayong gumamit ng dedikadong kagamitan at iba pang mga karagdagang layer ng seguridad, tulad ng multi-factor na pagpapatotoo, segmentasyon ng network, at mga hakbang na anti-keylogger.

Device Guard, VBS at relasyon sa Credential Guard

Ang Device Guard at Credential Guard ay madalas na binabanggit nang magkasama dahil pareho silang sinasamantala ang virtualization-based na seguridad upang palakasin ang proteksyon ng system, kahit na malutas nila ang iba't ibang mga problema.

Nakatuon ang Credential Guard sa pagprotekta sa mga kredensyal (NTLM, Kerberos, Credential Manager) na naghihiwalay sa kanila sa protektadong LSA. Hindi ito nakadepende sa Device Guard, bagama't pareho ang paggamit ng hypervisor at mga feature ng hardware gaya ng TPM, secure boot, at IOMMU.

Ang Device Guard, sa bahagi nito, ay isang hanay ng mga tampok Nagbibigay-daan sa iyo ang mga solusyon sa hardware at software na i-lock ang device para makapagpatakbo lang ito ng mga pinagkakatiwalaang application na tinukoy sa mga patakaran sa integridad ng code. Binabago nito ang tradisyunal na modelo (kung saan tumatakbo ang lahat maliban kung na-block ng antivirus software) sa isa kung saan ang mga tahasang awtorisadong application lamang ang isinasagawa.

Ang parehong mga tampok ay bahagi ng arsenal ng Windows Enterprise. Para maprotektahan laban sa mga advanced na banta, umaasa ang Device Guard sa VBS at nangangailangan ang mga driver na maging HVCI-compliant, habang ginagamit ng Credential Guard ang VBS para ihiwalay ang mga lihim ng pagpapatotoo. Magkasama, nag-aalok sila ng mahusay na kumbinasyon: mas maaasahang code at mga kredensyal na mas pinoprotektahan.

I-configure nang maayos ang Credential Guard Kabilang dito ang pag-secure ng isa sa mga pinakasensitibong aspeto ng anumang kapaligiran sa Windows: mga kredensyal ng user at computer. Ang pag-unawa sa mga kinakailangan nito, ang pag-alam kung paano ito i-activate gamit ang Intune, GPO, o ang Registry, ang pag-alam sa mga limitasyon nito, at ang pagkakaroon ng malinaw na mga pamamaraan upang i-verify ang katayuan nito at i-disable ito sa mga pambihirang kaso ay nagbibigay-daan sa iyong lubos na mapakinabangan ang teknolohiyang ito nang hindi nakakaranas ng mga sorpresa sa produksyon.