Як активувати засоби захисту облікових даних та захисту від експлойтів у Microsoft Defender

Захист облікових даних у Windows та посилення захисту системи від експлойтів Це стало майже обов'язковим у будь-якому сучасному бізнес-середовищі. Такі атаки, як Pass-the-Hash, Pass-the-Ticket або зловживання вразливостями нульового дня, використовують будь-який недолік у конфігурації, щоб переміщатися по мережі та брати під контроль сервери й робочі станції за лічені хвилини.

У цьому контексті, Технології захисту облікових даних та захисту від експлойтів у Microsoft Defender (разом із антивірусним механізмом Microsoft Defender) є ключовими компонентами стратегії безпеки у Windows 10, Windows 11 та Windows Server. У наступних рядках ви крок за кроком і детально побачите, як вони працюють, які вимоги до них, а також як правильно активувати або деактивувати їх за допомогою Intune, групової політики, реєстру, PowerShell та інших інструментів, уникаючи при цьому непотрібного порушення сумісності.

Що таке Microsoft Defender Credential Guard і чому він такий важливий?

Захисник облікових даних Windows Defender – це функція безпеки Ця функція, представлена ​​Microsoft у Windows 10 Enterprise та Windows Server 2016, спирається на безпеку на основі віртуалізації (VBS) для ізоляції секретів автентифікації. Замість того, щоб локальний центр безпеки (LSA) безпосередньо керував обліковими даними в пам'яті, використовується ізольований процес LSA.LSAIso.exe) виконується в захищеному середовищі.

Завдяки цій ізоляції, Тільки системне програмне забезпечення з відповідними правами може отримати доступ до хешів NTLM та квитків Kerberos (TGT).Облікові дані, що використовуються Credential Manager, локальні логіни та облікові дані, що використовуються в таких підключеннях, як віддалений робочий стіл, більше недоступні. Будь-який шкідливий код, який намагається безпосередньо прочитати пам’ять звичайного процесу LSA, виявить, що ці секрети зникли.

Такий підхід різко знижує ефективність класичних інструментів пост-експлуатації, таких як Мімікац для атак Pass-the-Hash або Pass-the-TicketЦе пояснюється тим, що хеші та квитки, які раніше було легко витягти, тепер зберігаються в ізольованому контейнері в пам'яті, до якого шкідливе програмне забезпечення не може так легко звернутися, навіть якщо воно має права адміністратора в ураженій системі.

Слід уточнити, що Захист облікових даних – це не те саме, що захист пристроюХоча Credential Guard захищає облікові дані та секрети, Device Guard (і пов’язані з ним технології контролю програм) зосереджений на запобіганні запуску несанкціонованого коду на комп’ютері. Вони доповнюють один одного, але вирішують різні проблеми.

Навіть так, Credential Guard — це не чарівна куля проти Мімікаца чи внутрішніх атак.Зловмисник, який уже контролює кінцеву точку, може захопити облікові дані, коли користувач їх вводить (наприклад, за допомогою кейлогера або шляхом вставки коду в процес автентифікації). Це також не перешкоджає співробітнику з легітимним доступом до певних даних копіювати або викрадати їх; Credential Guard захищає облікові дані в пам'яті, а не поведінку користувача.

Credential Guard увімкнено за замовчуванням у Windows 11 та Windows Server

У сучасних версіях Windows Credential Guard у багатьох випадках активується автоматично.Починаючи з Windows 11 22H2 та Windows Server 2025, пристрої, що відповідають певним вимогам до апаратного забезпечення, мікропрограми та конфігурації, отримують VBS та Credential Guard увімкненими за замовчуванням, без необхідності будь-яких дій з боку адміністратора.

У цих системах, Увімкнення за замовчуванням виконується без блокування UEFI.Це означає, що, хоча Credential Guard увімкнено за замовчуванням, адміністратор може пізніше вимкнути його віддалено за допомогою групової політики, Intune або іншими способами, оскільки опція блокування не була активована в мікропрограмі.

Коли Активовано Credential Guard, а також увімкнено безпеку на основі віртуалізації (VBS).VBS – це компонент, який створює захищене середовище, де ізольовані LSA та зберігаються секрети, тому обидві функції йдуть рука об руку в цих версіях.

Важливий нюанс полягає в тому, що Значення, явно налаштовані адміністратором, завжди мають переважну силу. поверх налаштувань за замовчуванням. Якщо Credential Guard увімкнено або вимкнено через Intune, об’єкт групової політики або реєстр, цей ручний стан замінює ввімкнення за замовчуванням після перезавантаження комп’ютера.

Крім того, якщо На одному пристрої Credential Guard було явно вимкнено перед оновленням до версії Windows, яка ввімкнула його за замовчуванням.Пристрій діятиме відповідно до цієї деактивації після оновлення та не вмикатиметься автоматично, якщо його конфігурацію не буде змінено знову за допомогою одного з інструментів керування.

Вимоги до системи, обладнання, прошивки та ліцензування

Щоб Credential Guard міг запропонувати реальний захистОбладнання повинно відповідати певним вимогам до апаратного, прошивкового та програмного забезпечення. Чим кращі можливості платформи, тим вищий досяжний рівень безпеки.

Спочатку 64-бітний процесор обов'язковий та сумісність із безпекою на основі віртуалізації. Це означає, що процесор і материнська плата повинні підтримувати відповідні розширення віртуалізації, а також активацію цих функцій в UEFI/BIOS.

Ще одним критичним елементом є безпечне завантаження (Secure Boot)Безпечне завантаження гарантує, що система запускається, завантажуючи лише перевірене, підписане програмне забезпечення та прошивку. Безпечне завантаження використовується VBS та Credential Guard, щоб запобігти зловмиснику змінювати компоненти завантаження для вимкнення або маніпулювання захистом.

Хоча це не є суворо обов'язковим, наявність такого настійно рекомендується. Модуль довіреної платформи (TPM) версії 1.2 або 2.0Незалежно від того, чи це дискретний пристрій, чи він базується на мікропрограмному забезпеченні, TPM дозволяє пов’язувати секрети та ключі шифрування з апаратним забезпеченням, додаючи додатковий рівень, який серйозно ускладнює справи для тих, хто намагається перенести або повторно використати ці секрети на іншому пристрої.

Також дуже рекомендується ввімкнути Блокування UEFI для Credential GuardЦе запобігає вимкненню захисту будь-ким із доступом до системи шляхом простої зміни розділу реєстру або політики. Якщо блокування активне, вимкнення Credential Guard вимагає набагато контрольованішої та чіткішої процедури.

У сфері ліцензування, Credential Guard доступний не у всіх випусках Windows.Зазвичай, він підтримується у виданнях для підприємств та освіти: Windows Enterprise та Windows Education мають підтримку, тоді як Windows Pro або Pro Education/SE не включають його за замовчуванням.

L Права використання Credential Guard пов'язані з певними ліцензіями на підписку., такі як Windows Enterprise E3 та E5, а також Windows Education A3 та A5. Видання Pro, з точки зору ліцензування, не мають права на цю розширену функціональність, навіть якщо вони використовують той самий бінарний файл операційної системи.

Сумісність програм та заблоковані функції

Перед масовим розгортанням Credential GuardБажано ретельно перевірити програми та сервіси, які залежать від певних механізмів автентифікації. Не все застаріле програмне забезпечення добре працює з цими захистами, а деякі протоколи блокуються безпосередньо.

Коли Credential Guard увімкнено, функції, що вважаються ризикованими, вимикаються, щоб Програми, що залежать від них, перестають працювати належним чином.Вони відомі як вимоги до програми: умови, яких слід уникати, якщо ви хочете продовжувати використовувати Credential Guard без інцидентів.

Серед особливостей, які Вони блокуються безпосередньо включають в себе:

• Сумісність шифрування Kerberos DES.
• Делегування Kerberos без обмежень.
• Вилучення TGT з Kerberos з LSA.
• Протокол NTLMv1.

Крім того, Існують функції, які, хоча й не повністю заборонені, пов'язані з додатковими ризиками якщо використовується в поєднанні з Credential Guard. Програми, що покладаються на неявну автентифікацію, делегування облікових даних, MS-CHAPv2 або CredSSP, є особливо чутливими, оскільки вони можуть небезпечно розкривати облікові дані, якщо їх не налаштувати належним чином.

Також було помічено проблеми з продуктивністю в застосунках, які намагаються зв'язати або безпосередньо взаємодіяти з ізольованим процесом LSAIso.exeОскільки цей процес захищений та ізольований, будь-які повторні спроби доступу можуть збільшити накладні витрати або спричинити уповільнення роботи в певних сценаріях.

Хороша річ в тому, що сучасні сервіси та протоколи, що використовують Kerberos як стандартТакі функції, як доступ до спільних ресурсів SMB або належним чином налаштований віддалений робочий стіл, продовжують працювати нормально та не залежать від активації Credential Guard, якщо вони не залежать від вищезазначених застарілих функцій.

Як увімкнути Credential Guard: Intune, GPO та реєстр

Ідеальний спосіб активації Credential Guard залежить від розміру та управління вашим середовищем.Для організацій із сучасними системами управління Microsoft Intune (MDM) є дуже зручним, тоді як у традиційних доменах Active Directory все ще зазвичай використовується групова політика. Для точніших налаштувань або специфічної автоматизації реєстр залишається варіантом.

Перш за все, важливо зрозуміти, що Перед приєднанням комп'ютера до домену необхідно ввімкнути функцію Credential Guard. або до першого входу користувача домену в систему. Якщо активувати пізніше, секретні дані користувача та машини вже можуть бути скомпрометовані, що зменшить фактичну користь від захисту.

Загалом, ви можете ввімкнути Credential Guard, виконавши такі дії:

• Керування Microsoft Intune / MDM.
• Групова політика (GPO) в Active Directory або локальному редакторі політик.
• Пряма зміна реєстру Windows.

Під час застосування будь-якого з цих налаштувань, Не забувайте, що перезавантаження пристрою є обов'язковим. Щоб зміни набули чинності, Credential Guard, VBS та всі компоненти ізоляції ініціалізуються під час завантаження, тому простої зміни політики недостатньо.

Активація Credential Guard за допомогою Microsoft Intune

Якщо ви керуєте своїми пристроями за допомогою Intune, у вас є два підходи Основні параметри: використання шаблонів Endpoint Security або використання власної політики, яка налаштовує CSP DeviceGuard через OMA-URI.

На порталі Intune, ви можете перейти до розділу «Безпека кінцевої точки > Захист облікового запису» та створіть нову політику захисту облікових записів. Виберіть платформу «Windows 10 і пізніші версії» та тип профілю «Захист облікових записів» (у різних варіантах, залежно від доступної версії).

Під час налаштування параметрів, Встановіть для параметра «Увімкнути захист облікових даних» значення «Увімкнути з блокуванням UEFI». Якщо ви хочете запобігти легкому відключенню захисту дистанційно, Credential Guard «закріплений» у прошивці, підвищуючи рівень фізичної та логічної безпеки пристрою.

Після того, як параметри визначено, Призначте політику групі, яка містить пристрої або об’єкти користувачів, які потрібно захистити.Політика буде застосована під час синхронізації пристрою з Intune, а після відповідного перезавантаження буде активовано Credential Guard.

Якщо ви бажаєте контролювати дрібні деталі, Ви можете використовувати власну політику на основі DeviceGuard CSPДля цього необхідно створити записи OMA-URI з відповідними іменами та значеннями, наприклад:

конфігурація
Ім'яУвімкнути безпеку на основі віртуалізації OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип даних: ціле число доблесть: 1
Ім'яКонфігурація Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип даних: ціле число доблесть: Увімкнено з блокуванням UEFI: 1 Увімкнено без блокування: 2

Після застосування цієї спеціальної політики та перезапуску, Пристрій запуститься з активними функціями VBS та Credential Guard., а системні облікові дані будуть захищені в ізольованому контейнері.

Налаштування Credential Guard за допомогою групової політики

У середовищах із традиційною Active DirectoryНайприродніший спосіб масового ввімкнення Credential Guard – це за допомогою об’єктів групової політики (GPO). Ви можете зробити це або з локального редактора політик на окремому комп’ютері, або з диспетчера групової політики на рівні домену.

Щоб налаштувати політику, відкрийте відповідний редактор групової політики та перейдіть до шляху Конфігурація комп'ютера > Адміністративні шаблони > Система > Захист пристроюУ цьому розділі ви знайдете політику «Увімкнути безпеку на основі віртуалізації».

Ця директива встановлює в Виберіть «Увімкнено» та виберіть потрібні налаштування Credential Guard зі спадного списку.Ви можете вибрати між «Увімкнено з блокуванням UEFI» або «Увімкнено без блокування», залежно від рівня фізичного захисту, який ви хочете застосувати.

Після налаштування об'єкта групової політики, прив’язати його до організаційного підрозділу або домену, де знаходяться цільові комп’ютериВи можете точно налаштувати його застосування за допомогою фільтрації груп безпеки або фільтрів WMI, щоб воно застосовувалося лише до певних типів пристроїв (наприклад, лише до корпоративних ноутбуків із сумісним обладнанням).

Коли машини отримають директиву та перезапустяться, Credential Guard буде активовано відповідно до конфігурації групової політики., використовуючи інфраструктуру домену для її розгортання стандартизованим способом.

Увімкнення Credential Guard шляхом зміни реєстру Windows

Якщо вам потрібен дуже детальний контроль або автоматизація розгортання за допомогою скриптівВи можете налаштувати Credential Guard безпосередньо за допомогою ключів реєстру. Цей метод вимагає точності, оскільки неправильне значення може призвести до неочікуваного стану системи.

Щоб активувати безпеку на основі віртуалізації та функцію Credential Guard, Ви повинні створити або змінити кілька записів за певними шляхамиКлючові моменти:

конфігурація
Маршрут: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Ім'я: EnableVirtualizationBasedSecurity вид: REG_DWORD доблесть: 1 (забезпечує безпеку на основі віртуалізації)
Маршрут: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Ім'я: RequirePlatformSecurityFeatures вид: REG_DWORD доблесть: 1 (використання безпечного завантаження) 3 (безпечне завантаження + захист DMA)
Маршрут: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Ім'я: LsaCfgFlags вид: REG_DWORD доблесть: 1 (вмикає Credential Guard з блокуванням UEFI) 2 (вмикає функцію Credential Guard без блокування)

Після застосування цих значень, Перезавантажте комп'ютер, щоб запрацювали гіпервізор Windows та ізольований процес LSA.Без цього скидання зміни в реєстрі фактично не активують захист пам'яті.

Як перевірити, чи увімкнено та працює Credential Guard

Перевірте, чи процес LsaIso.exe Він відображається в диспетчері завдань. Це може дати підказку, але Microsoft не вважає це надійним методом підтвердження працездатності Credential Guard. Існують надійніші процедури, засновані на вбудованих системних інструментах.

Серед рекомендованих варіантів для Перевірте стан Credential Guard До них належать «Інформація про систему», PowerShell та засіб перегляду подій. Кожен метод пропонує різну перспективу, тому варто ознайомитися з усіма ними.

Найбільш наочним методом є той, що Інформація про систему (msinfo32.exe)У меню «Пуск» просто запустіть цей інструмент, виберіть «Зведення системи» та перевірте розділ «Запуск служб безпеки на основі віртуалізації», щоб підтвердити, що «Credential Guard» відображається як активна служба.

Якщо ви віддаєте перевагу чомусь, що можна використовувати зі сценаріями, PowerShell — ваш союзникЗ консолі з підвищеними привілеями ви можете виконати таку команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Вивід цієї команди вказує, за допомогою числових кодів, чи Credential Guard увімкнено чи ні на цьому комп’ютеріЗначення 0 означає, що захист облікових даних вимкнено.У той час як 1 означає, що він активований та працює. як частина служб безпеки на основі віртуалізації.

Нарешті, Переглядач подій дозволяє переглядати історію поведінки Credential Guard.Відкриття eventvwr.exe Перейшовши до розділу «Журнали Windows > Система», ви можете фільтрувати події за джерелом події «WinInit» та знаходити повідомлення, пов’язані з ініціалізацією служб Device Guard та Credential Guard, що корисно для періодичних аудитів.

Вимкнення Credential Guard та керування блокуванням UEFI

Хоча загальна рекомендація полягає в тому, щоб тримати функцію Credential Guard активованою На всіх системах, що підтримують його, у деяких дуже специфічних сценаріях може знадобитися його вимкнути, або для вирішення несумісності зі застарілими програмами, або для виконання певних діагностичних завдань.

Точна процедура для Вимкнення Credential Guard залежить від того, як його було початково налаштовано.Якщо його було ввімкнено без блокування UEFI, просто скасуйте політики Intune, GPO або реєстру та перезавантажте комп’ютер. Однак, якщо його було ввімкнено з блокуванням UEFI, потрібні додаткові кроки, оскільки деякі конфігурації зберігаються у змінних EFI мікропрограми.

У конкретному випадку о Credential Guard увімкнено з блокуванням UEFIСпочатку потрібно виконати стандартний процес вимкнення (відновлення директив або значень реєстру), а потім видалити пов'язані змінні EFI за допомогою bcdedit і корисність SecConfig.efi з розширеним сценарієм.

Типовий потік включає змонтувати тимчасовий диск EFI, скопіювати SecConfig.efi, створіть новий вхід зарядного пристрою за допомогою bcdeditНалаштуйте параметри, щоб вимкнути ізольований LSA та встановити тимчасову послідовність завантаження через диспетчер завантаження Windows, а також відключити диск після завершення процесу.

Після перезавантаження комп'ютера з цією конфігурацією, Перед запуском Windows з'явиться повідомлення про зміну в UEFI.Підтвердження цього повідомлення є обов’язковим для того, щоб зміни були постійними, а блокування Credential Guard EFI було дійсно вимкнено в прошивці.

Якщо те, що вам потрібно, це Вимкнення Credential Guard на певній віртуальній машині Hyper-VВи можете зробити це з хоста, не торкаючись гостьової системи, за допомогою PowerShell. Типова команда буде такою:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

З цим налаштуванням віртуальна машина Він припиняє використовувати VBS і, отже, припиняє роботу Credential Guard. навіть якщо гостьова операційна система підтримує цю функцію, що може бути корисним у дуже специфічних лабораторних або тестових середовищах.

Credential Guard на віртуальних машинах Hyper-V

Credential Guard не обмежується фізичним обладнаннямВін також може захищати облікові дані у віртуальних машинах під керуванням Windows у середовищах Hyper-V, забезпечуючи рівень ізоляції, подібний до того, що доступний у звичайному обладнанні.

У цій ситуації Credential Guard захищає секрети від атак, що виникають з самої віртуальної машини.Іншими словами, якщо зловмисник скомпрометує системні процеси у віртуальній машині, захист VBS продовжить ізолювати LSA та зменшувати ризики хешів та квитків.

Однак важливо чітко розуміти обмеження: Credential Guard не може захистити віртуальну машину від атак, що походять з хоста. з підвищеними привілеями. Гіпервізор і хост-система фактично мають повний контроль над віртуальними машинами, тому зловмисний адміністратор хоста може обійти ці бар'єри.

Щоб Credential Guard працював належним чином у таких типах розгортань, Хост Hyper-V повинен мати IOMMU. (блок керування пам'яттю вводу/виводу), що дозволяє ізолювати доступ до пам'яті та пристроїв, а віртуальні машини повинні бути Покоління 2 з прошивкою UEFI, що забезпечує безпечне завантаження та інші необхідні можливості.

З урахуванням цих вимог, Досвід використання Credential Guard на віртуальних машинах дуже схожий на досвід використання на фізичній машині.включаючи ті самі методи активації (Intune, GPO, Registry) та методи перевірки (msinfo32, PowerShell, засіб перегляду подій).

Exploit Guard та Microsoft Defender: активація та керування загальним захистом

Поряд із Credential Guard, екосистема безпеки Windows спирається на антивірус Microsoft Defender. а також у таких технологіях, як Exploit Guard, які включають правила зменшення поверхні атаки, захист мережі, контроль доступу до папок та інші функції, спрямовані на уповільнення шкідливого програмного забезпечення та зменшення експлойтів.

У багатьох командах, Антивірус Microsoft Defender попередньо встановлений та активований за замовчуванням У Windows 8, Windows 10 та Windows 11 він доступний, але його досить часто можна знайти вимкненим через попередні політики, встановлення сторонніх рішень або ручні зміни в реєстрі.

в Активуйте антивірус Microsoft Defender за допомогою локальної групової політикиВи можете відкрити меню «Пуск», знайти «Групова політика» та вибрати «Редагувати групову політику». У розділі «Конфігурація комп’ютера» > «Адміністративні шаблони» > «Компоненти Windows» > «Антивірус Захисника Windows» ви побачите опцію «Вимкнути антивірус Захисника Windows».

Якщо для цієї політики встановлено значення «Увімкнено», це означає, що антивірус примусово вимкнено. Щоб відновити його функціональність, встановіть для опції значення «Вимкнено» або «Не налаштовано».Застосуйте зміни та закрийте редактор. Служба зможе знову запуститися після наступного оновлення політики.

Якщо в той час Захисник був явно вимкнений у реєстріВам доведеться перевірити маршрут HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender і знайдіть значення DisableAntiSpywareЗа допомогою редактора реєстру ви можете відкрити його та встановити для нього значення «Значення» 0Прийняття змін, щоб антивірус знову почав працювати.

Після цих налаштувань перейдіть до меню «Пуск» > «Налаштування» > «Оновлення та безпека» > «Захисник Windows» (у новіших версіях — «Безпека Windows») та Перевірте, чи увімкнено перемикач «Захист у режимі реального часу».Якщо він все ще вимкнений, увімкніть його вручну, щоб антивірусний захист запустився разом із системою.

Для максимального захисту бажано Увімкніть захист у режимі реального часу та хмарний захистУ програмі «Безпека Windows» перейдіть до розділу «Захист від вірусів і загроз > Налаштування захисту від вірусів і загроз > Керування налаштуваннями» та активуйте відповідні перемикачі.

Якщо ці опції не видно, ймовірно, що Групова політика приховує розділ антивірусного захисту. У розділі «Безпека Windows» перевірте пункт «Конфігурація комп’ютера > Адміністративні шаблони > Компоненти Windows > Безпека Windows > Захист від вірусів і загроз» і переконайтеся, що для політики «Приховувати область захисту від вірусів і загроз» встановлено значення «Вимкнено», після чого зміни будуть застосовані.

Це однаково важливо оновлюйте визначення вірусів Це дозволяє програмі Microsoft Defender виявляти нещодавні загрози. У розділі «Безпека Windows» у розділі «Захист від вірусів і загроз» у розділі «Оновлення захисту від загроз» натисніть «Перевірити наявність оновлень» і дозвольте завантаження останніх сигнатур.

Якщо ви віддаєте перевагу командному рядку, це також варіант. Ви можете запустити службу Microsoft Defender з CMDНатисніть Windows + R, введіть cmd Потім у командному рядку (бажано з підвищеними привілеями) виконайте:

sc start WinDefend

За допомогою цієї команди, Запускається головна антивірусна служба за умови, що немає додаткових політик або блокувань, які б цьому перешкоджали, що дозволяє швидко перевірити, чи двигун запускається без помилок.

Щоб дізнатися, чи використовує ваш комп’ютер Microsoft Defender, просто перейдіть до меню «Пуск» > «Налаштування» > «Система» та відкрийте «Панель керування». У розділі «Безпека та обслуговування» ви знайдете розділ «Безпека та захист системи», де Ви побачите зведену інформацію про стан антивірусного захисту та інші активні заходи. в колективі.

Шляхом комбінування Credential Guard для захисту облікових даних у пам'яті Завдяки правильно налаштованому Microsoft Defender, Exploit Guard та відповідним правилам посилення захисту досягається значно вищий рівень захисту від крадіжки облікових даних, складного шкідливого програмного забезпечення та горизонтального переміщення в межах домену. Хоча сумісність зі застарілими протоколами та програмами завжди пов’язана з певними витратами, загальне покращення безпеки з лишком компенсує це в більшості організацій.