Hướng dẫn cách kích hoạt Microsoft Defender Credential Guard và Exploit Guard

Bảo vệ thông tin đăng nhập trong Windows và tăng cường bảo mật hệ thống trước các lỗ hổng bảo mật. Việc cấu hình đã trở nên gần như bắt buộc trong bất kỳ môi trường kinh doanh hiện đại nào. Các cuộc tấn công như Pass-the-Hash, Pass-the-Ticket, hoặc việc lợi dụng các lỗ hổng bảo mật zero-day đều khai thác bất kỳ sơ suất nào trong cấu hình để di chuyển ngang qua mạng và chiếm quyền kiểm soát máy chủ và máy trạm chỉ trong vài phút.

Trong ngữ cảnh này, Công nghệ Credential Guard và Exploit Guard của Microsoft Defender (Cùng với công cụ chống virus Microsoft Defender) là những thành phần quan trọng trong chiến lược bảo mật của Windows 10, Windows 11 và Windows Server. Trong các dòng tiếp theo, bạn sẽ thấy từng bước một và chi tiết cách chúng hoạt động, các yêu cầu của chúng và cách kích hoạt hoặc vô hiệu hóa chúng một cách chính xác bằng Intune, Group Policy, Registry, PowerShell và các công cụ khác, đồng thời tránh gây ra sự không tương thích không cần thiết.

Microsoft Defender Credential Guard là gì và tại sao nó lại quan trọng đến vậy?

Windows Defender Credential Guard là một tính năng bảo mật. Được Microsoft giới thiệu trong Windows 10 Enterprise và Windows Server 2016, tính năng này dựa trên bảo mật dựa trên ảo hóa (VBS) để cô lập các bí mật xác thực. Thay vì Cơ quan Bảo mật Cục bộ (LSA) trực tiếp quản lý thông tin xác thực trong bộ nhớ, một tiến trình LSA riêng biệt sẽ được sử dụng.LSAIso.exe) được thực thi trong môi trường được bảo vệ.

Nhờ sự cô lập này, Chỉ phần mềm hệ thống có quyền truy cập phù hợp mới có thể truy cập vào các hàm băm NTLM và vé Kerberos (TGT).Thông tin đăng nhập được sử dụng bởi Trình quản lý thông tin đăng nhập, thông tin đăng nhập cục bộ và thông tin đăng nhập được sử dụng trong các kết nối như Máy tính từ xa không còn khả dụng nữa. Bất kỳ mã độc hại nào cố gắng đọc trực tiếp bộ nhớ của một tiến trình LSA thông thường sẽ phát hiện ra rằng những thông tin bí mật đó đã biến mất.

Cách tiếp cận này làm giảm đáng kể hiệu quả của các công cụ khai thác hậu kỳ truyền thống như... Mimikatz dùng cho các cuộc tấn công Pass-the-Hash hoặc Pass-the-Ticket.Điều này là do các mã băm và vé trước đây dễ dàng trích xuất giờ đây nằm trong một vùng chứa biệt lập trong bộ nhớ mà phần mềm độc hại không thể dễ dàng truy cập, ngay cả khi nó có quyền quản trị trên hệ thống bị xâm nhập.

Cần phải làm rõ rằng Credential Guard không giống với Device Guard.Trong khi Credential Guard bảo vệ thông tin đăng nhập và bí mật, Device Guard (và các công nghệ kiểm soát ứng dụng liên quan) tập trung vào việc ngăn chặn mã độc hại chạy trên máy tính. Chúng bổ sung cho nhau nhưng giải quyết các vấn đề khác nhau.

Mặc dù vậy, Credential Guard không phải là giải pháp thần kỳ chống lại Mimikatz hay các kẻ tấn công nội bộ.Kẻ tấn công đã kiểm soát được thiết bị đầu cuối có thể thu thập thông tin đăng nhập khi người dùng nhập chúng (ví dụ: bằng phần mềm ghi lại thao tác bàn phím hoặc bằng cách chèn mã vào quy trình xác thực). Điều này cũng không ngăn cản nhân viên có quyền truy cập hợp pháp vào dữ liệu nhất định sao chép hoặc đánh cắp dữ liệu; Credential Guard bảo vệ thông tin đăng nhập trong bộ nhớ, chứ không phải hành vi người dùng.

Credential Guard được bật theo mặc định trong Windows 11 và Windows Server.

Trong các phiên bản Windows hiện đại, Credential Guard thường được tự động kích hoạt.Bắt đầu từ Windows 11 22H2 và Windows Server 2025, các thiết bị đáp ứng một số yêu cầu nhất định về phần cứng, phần mềm và cấu hình sẽ được bật VBS và Credential Guard theo mặc định, mà người quản trị không cần phải làm gì.

Trong các hệ thống này, Quá trình kích hoạt mặc định được thực hiện mà không cần khóa UEFI.Điều này có nghĩa là, mặc dù Credential Guard được bật theo mặc định, nhưng người quản trị có thể tắt nó từ xa sau này thông qua chính sách nhóm, Intune hoặc các phương pháp khác, vì tùy chọn khóa chưa được kích hoạt trong phần mềm.

Khi Credential Guard đã được kích hoạt và tính năng bảo mật dựa trên ảo hóa (VBS) cũng được bật.VBS là thành phần tạo ra môi trường được bảo vệ, nơi các LSA được cách ly và nơi lưu trữ các bí mật, vì vậy cả hai tính năng này đều hoạt động song song trong các phiên bản này.

Một điểm quan trọng cần lưu ý là: Các giá trị được quản trị viên thiết lập rõ ràng sẽ luôn được ưu tiên áp dụng. Ghi đè lên các cài đặt mặc định. Nếu Credential Guard được bật hoặc tắt thông qua Intune, GPO hoặc Registry, trạng thái thủ công đó sẽ ghi đè lên cài đặt bật mặc định sau khi máy tính khởi động lại.

Hơn nữa, nếu Một thiết bị đã bị vô hiệu hóa Credential Guard trước khi nâng cấp lên phiên bản Windows cho phép tính năng này theo mặc định.Thiết bị sẽ tuân thủ việc tắt nguồn này sau khi cập nhật và sẽ không tự động bật lên trừ khi cấu hình của nó được thay đổi lại bằng một trong các công cụ quản lý.

Yêu cầu về hệ thống, phần cứng, chương trình cơ sở và cấp phép

Nhờ đó, Credential Guard có thể cung cấp sự bảo vệ thực sự.Thiết bị phải đáp ứng một số yêu cầu nhất định về phần cứng, phần mềm nhúng và phần mềm. Khả năng của nền tảng càng tốt, mức độ bảo mật đạt được càng cao.

Đầu tiên, CPU 64-bit là bắt buộc. và khả năng tương thích với bảo mật dựa trên ảo hóa. Điều này có nghĩa là bộ xử lý và bo mạch chủ phải hỗ trợ các phần mở rộng ảo hóa phù hợp, cũng như việc kích hoạt các tính năng này trong UEFI/BIOS.

Một yếu tố quan trọng khác là khởi động an toàn (Secure Boot)Chế độ Khởi động An toàn (Secure Boot) đảm bảo hệ thống chỉ khởi động bằng cách tải phần mềm và firmware đã được ký số và đáng tin cậy. Chế độ Khởi động An toàn được VBS và Credential Guard sử dụng để ngăn chặn kẻ tấn công sửa đổi các thành phần khởi động nhằm vô hiệu hóa hoặc thao túng cơ chế bảo vệ.

Mặc dù không bắt buộc, nhưng việc sở hữu một chiếc là điều rất được khuyến khích. Mô-đun nền tảng đáng tin cậy (TPM) phiên bản 1.2 hoặc 2.0Dù là TPM rời rạc hay tích hợp trong firmware, nó đều cho phép liên kết các bí mật và khóa mã hóa với phần cứng, tạo thêm một lớp bảo mật khiến mọi việc trở nên phức tạp hơn đối với bất kỳ ai cố gắng mang theo hoặc sử dụng lại những bí mật đó trên thiết bị khác.

Ngoài ra, việc bật tính năng này cũng rất được khuyến khích. Khóa UEFI cho Credential GuardĐiều này ngăn chặn bất kỳ ai có quyền truy cập hệ thống vô hiệu hóa tính năng bảo vệ chỉ bằng cách sửa đổi khóa đăng ký hoặc chính sách. Khi tính năng khóa được kích hoạt, việc vô hiệu hóa Credential Guard đòi hỏi một quy trình được kiểm soát và rõ ràng hơn nhiều.

Trong lĩnh vực cấp phép, Credential Guard không có sẵn trong tất cả các phiên bản WindowsNhìn chung, tính năng này được hỗ trợ trong các phiên bản doanh nghiệp và giáo dục: Windows Enterprise và Windows Education có hỗ trợ, trong khi Windows Pro hoặc Pro Education/SE không bao gồm tính năng này theo mặc định.

Các Quyền sử dụng Credential Guard gắn liền với các giấy phép đăng ký nhất định.Ví dụ như Windows Enterprise E3 và E5, cũng như Windows Education A3 và A5. Các phiên bản Pro, về mặt cấp phép, không được hưởng các chức năng nâng cao này, mặc dù chúng chạy cùng một hệ điều hành nhị phân.

Khả năng tương thích ứng dụng và các tính năng bị khóa

Trước khi triển khai Credential Guard trên diện rộngNên xem xét kỹ lưỡng các ứng dụng và dịch vụ dựa vào các cơ chế xác thực cụ thể. Không phải tất cả phần mềm cũ đều hoạt động tốt với các biện pháp bảo vệ này, và một số giao thức bị chặn trực tiếp.

Khi Credential Guard được kích hoạt, các tính năng được coi là rủi ro sẽ bị vô hiệu hóa, để đảm bảo rằng... Các ứng dụng phụ thuộc vào chúng sẽ ngừng hoạt động chính xác.Đây được gọi là các yêu cầu ứng dụng: những điều kiện cần tránh nếu bạn muốn tiếp tục sử dụng Credential Guard mà không gặp sự cố.

Trong số các tính năng đó Họ bị chặn trực tiếp nổi bật:

• Khả năng tương thích với mã hóa Kerberos DES.
• Ủy quyền Kerberos không giới hạn.
• Trích xuất TGT từ Kerberos từ LSA.
• Giao thức NTLMv1.

Bên cạnh đó, Có những tính năng, tuy không bị cấm hoàn toàn, nhưng lại tiềm ẩn thêm rủi ro. Nếu được sử dụng kết hợp với Credential Guard. Các ứng dụng dựa vào xác thực ngầm, ủy quyền thông tin xác thực, MS-CHAPv2 hoặc CredSSP đặc biệt nhạy cảm, vì chúng có thể làm lộ thông tin xác thực một cách không an toàn nếu không được cấu hình cẩn thận.

Người ta cũng đã quan sát thấy các vấn đề về hiệu năng trong các ứng dụng cố gắng liên kết hoặc tương tác trực tiếp với quy trình bị cô lập LSAIso.exeVì quy trình này được bảo vệ và cách ly, bất kỳ nỗ lực truy cập lặp lại nào cũng có thể gây thêm gánh nặng hoặc làm chậm quá trình trong một số trường hợp cụ thể.

Điều tốt là các dịch vụ và giao thức hiện đại sử dụng Kerberos làm tiêu chuẩnCác chức năng như truy cập vào tài nguyên dùng chung SMB hoặc máy tính từ xa được cấu hình đúng cách vẫn hoạt động bình thường và không bị ảnh hưởng bởi việc kích hoạt Credential Guard, miễn là chúng không phụ thuộc vào các chức năng cũ đã đề cập ở trên.

Cách kích hoạt Credential Guard: Intune, GPO và Registry

Cách lý tưởng để kích hoạt Credential Guard phụ thuộc vào quy mô và cách quản lý môi trường của bạn.Đối với các tổ chức sử dụng hệ thống quản lý hiện đại, Microsoft Intune (MDM) rất tiện lợi, trong khi đó, ở các miền Active Directory truyền thống, Group Policy vẫn thường được sử dụng. Để điều chỉnh chính xác hơn hoặc thực hiện các tự động hóa cụ thể, Registry vẫn là một lựa chọn.

Trước hết, điều quan trọng là phải hiểu rằng Chức năng Credential Guard phải được kích hoạt trước khi kết nối máy tính vào miền. hoặc trước khi người dùng miền đăng nhập lần đầu tiên. Nếu được kích hoạt sau đó, thông tin bí mật của người dùng và máy có thể đã bị xâm phạm, làm giảm lợi ích thực sự của việc bảo vệ.

Nhìn chung, bạn có thể kích hoạt Credential Guard bằng cách:

• Quản lý Microsoft Intune / MDM.
• Chính sách nhóm (GPO) trong Active Directory hoặc trình chỉnh sửa chính sách cục bộ.
• Chỉnh sửa trực tiếp Registry của Windows.

Khi áp dụng bất kỳ cài đặt nào trong số này, Đừng quên rằng việc khởi động lại thiết bị là bắt buộc. Để các thay đổi có hiệu lực, Credential Guard, VBS và tất cả các thành phần cách ly đều được khởi tạo khi khởi động hệ thống, vì vậy chỉ thay đổi chính sách thôi là chưa đủ.

Kích hoạt Credential Guard với Microsoft Intune

Nếu bạn quản lý thiết bị của mình bằng Intune, bạn có hai cách tiếp cận. Các tùy chọn chính: Sử dụng các mẫu Bảo mật Điểm cuối hoặc sử dụng chính sách tùy chỉnh cấu hình DeviceGuard CSP thông qua OMA-URI.

Trên cổng Intune, Bạn có thể vào mục “Bảo mật điểm cuối > Bảo vệ tài khoản”. và tạo chính sách bảo vệ tài khoản mới. Chọn nền tảng "Windows 10 trở lên" và loại hồ sơ "Bảo vệ tài khoản" (với các biến thể khác nhau, tùy thuộc vào phiên bản hiện có).

Khi cấu hình cài đặt, Đặt tùy chọn "Bật Credential Guard" thành "Kích hoạt với khóa UEFI". Nếu bạn muốn ngăn chặn việc dễ dàng vô hiệu hóa tính năng bảo vệ từ xa, Credential Guard được "neo" vào phần mềm điều khiển, nâng cao mức độ bảo mật vật lý và logic của thiết bị.

Sau khi xác định được các tham số, Gán chính sách này cho một nhóm chứa các thiết bị hoặc đối tượng người dùng mà bạn muốn bảo vệ.Chính sách này sẽ được áp dụng khi thiết bị đồng bộ hóa với Intune và sau khi khởi động lại tương ứng, Credential Guard sẽ được kích hoạt.

Nếu bạn muốn tự mình kiểm soát các chi tiết nhỏ, Bạn có thể sử dụng chính sách tùy chỉnh dựa trên DeviceGuard CSP.Để thực hiện điều này, cần tạo các mục OMA-URI với tên và giá trị phù hợp, ví dụ:

cấu hình
tênKích hoạt bảo mật dựa trên ảo hóa OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Kiểu dữ liệu: số nguyên lòng can đảm: 1
tênCấu hình Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Kiểu dữ liệu: số nguyên lòng can đảm: Được kích hoạt với khóa UEFI: 1 Đã bật mà không chặn: 2

Sau khi áp dụng chính sách tùy chỉnh này và khởi động lại, Thiết bị sẽ khởi động với VBS và Credential Guard được kích hoạt.và thông tin đăng nhập hệ thống sẽ được bảo vệ trong vùng chứa biệt lập.

Cấu hình Credential Guard bằng chính sách nhóm

Trong môi trường sử dụng Active Directory truyền thốngCách tự nhiên nhất để kích hoạt Credential Guard hàng loạt là thông qua Group Policy Objects (GPO). Bạn có thể thực hiện việc này từ trình chỉnh sửa chính sách cục bộ trên một máy tính duy nhất hoặc từ Group Policy Manager ở cấp độ miền.

Để cấu hình chính sách, hãy mở trình chỉnh sửa GPO tương ứng và điều hướng đến đường dẫn. Cấu hình máy tính > Mẫu quản trị > Hệ thống > Device GuardTrong phần đó, bạn sẽ tìm thấy chính sách "Kích hoạt bảo mật dựa trên ảo hóa".

Chỉ thị này quy định trong Chọn "Đã bật" và chọn các thiết lập Credential Guard mong muốn từ danh sách thả xuống.Bạn có thể chọn giữa "Đã bật với khóa UEFI" hoặc "Đã bật mà không có khóa", tùy thuộc vào mức độ bảo vệ vật lý mà bạn muốn áp dụng.

Sau khi GPO được cấu hình, Liên kết nó với đơn vị tổ chức hoặc miền nơi các máy tính mục tiêu đặtBạn có thể tinh chỉnh việc áp dụng nó bằng cách sử dụng bộ lọc nhóm bảo mật hoặc bộ lọc WMI, để nó chỉ áp dụng cho một số loại thiết bị nhất định (ví dụ: chỉ cho máy tính xách tay của công ty có phần cứng tương thích).

Khi máy móc nhận được chỉ thị và khởi động lại, Chức năng Credential Guard sẽ được kích hoạt theo cấu hình GPO., tận dụng cơ sở hạ tầng tên miền để triển khai nó theo cách chuẩn hóa.

Kích hoạt Credential Guard bằng cách chỉnh sửa Registry của Windows.

Nếu bạn cần kiểm soát chi tiết hơn hoặc tự động hóa quá trình triển khai bằng script, thì đây là giải pháp dành cho bạn.Bạn có thể cấu hình Credential Guard trực tiếp bằng cách sử dụng các khóa Registry. Phương pháp này đòi hỏi độ chính xác cao, vì giá trị không chính xác có thể khiến hệ thống rơi vào trạng thái không mong muốn.

Để kích hoạt bảo mật dựa trên ảo hóa và Credential Guard, Bạn phải tạo hoặc chỉnh sửa một số mục nhập theo các đường dẫn cụ thể.Các điểm chính là:

cấu hình
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard tên: EnableVirtualizationBasedSecurity Loại: REG_DWORD lòng can đảm: 1 (cho phép bảo mật dựa trên ảo hóa)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard tên: RequirePlatformSecurityFeatures Loại: REG_DWORD lòng can đảm: 1 (sử dụng chế độ khởi động an toàn) 3 (Khởi động an toàn + bảo vệ DMA)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa tên: LsaCfgFlags Loại: REG_DWORD lòng can đảm: 1 (Kích hoạt Credential Guard với khóa UEFI) 2 (Kích hoạt Credential Guard mà không cần khóa)

Sau khi áp dụng các giá trị này, Khởi động lại máy tính để trình ảo hóa Windows và tiến trình LSA biệt lập hoạt động.Nếu không thực hiện thao tác đặt lại đó, các thay đổi trong Registry sẽ không kích hoạt tính năng bảo vệ bộ nhớ.

Làm thế nào để kiểm tra xem Credential Guard đã được bật và hoạt động hay chưa?

Hãy xem liệu quy trình đó có hiệu quả không. LsaIso.exe Nó xuất hiện trong Trình quản lý tác vụ. Phương pháp này có thể cung cấp manh mối, nhưng Microsoft không coi đó là cách đáng tin cậy để xác nhận Credential Guard đang hoạt động. Có những quy trình mạnh mẽ hơn, dựa trên các công cụ hệ thống tích hợp sẵn.

Trong số các lựa chọn được đề xuất cho Kiểm tra trạng thái Credential Guard Các công cụ này bao gồm Thông tin Hệ thống, PowerShell và Trình xem Sự kiện. Mỗi phương pháp cung cấp một góc nhìn khác nhau, vì vậy bạn nên làm quen với tất cả chúng.

Phương pháp trực quan nhất là phương pháp mà... Thông tin hệ thống (msinfo32.exe)Từ menu Bắt đầu, chỉ cần chạy công cụ này, chọn "Tóm tắt hệ thống" và kiểm tra mục "Các dịch vụ bảo mật dựa trên ảo hóa đang chạy" để xác nhận rằng "Credential Guard" xuất hiện như một dịch vụ đang hoạt động.

Nếu bạn thích thứ gì đó có thể lập trình được, PowerShell là đồng minh của bạnTừ cửa sổ dòng lệnh với quyền quản trị viên, bạn có thể chạy lệnh sau:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Kết quả của lệnh này cho biết, bằng các mã số, liệu Chức năng Credential Guard có được bật hay không trên máy đó?Một giá trị 0 có nghĩa là Credential Guard đã bị vô hiệu hóa.Trong khi Số 1 cho biết thiết bị đã được kích hoạt và đang hoạt động. như một phần của dịch vụ bảo mật dựa trên ảo hóa.

Cuối cùng, Trình xem sự kiện cho phép bạn xem lại lịch sử hoạt động của Credential Guard.Khai mạc eventvwr.exe Bằng cách điều hướng đến "Nhật ký Windows > Hệ thống", bạn có thể lọc theo nguồn sự kiện "WinInit" và tìm các thông báo liên quan đến quá trình khởi tạo dịch vụ Device Guard và Credential Guard, hữu ích cho việc kiểm tra định kỳ.

Vô hiệu hóa Credential Guard và quản lý khóa UEFI.

Mặc dù khuyến nghị chung là nên giữ cho Credential Guard luôn được kích hoạt. Trên tất cả các hệ thống hỗ trợ tính năng này, trong một số trường hợp rất cụ thể, có thể cần phải vô hiệu hóa nó, hoặc để giải quyết các vấn đề không tương thích với các ứng dụng cũ hoặc để thực hiện một số tác vụ chẩn đoán nhất định.

Quy trình chính xác cho Việc vô hiệu hóa Credential Guard phụ thuộc vào cách nó được cấu hình ban đầu.Nếu tính năng này được bật mà không có khóa UEFI, chỉ cần hoàn tác các chính sách Intune, GPO hoặc Registry và khởi động lại. Tuy nhiên, nếu tính năng này được bật với khóa UEFI, cần thực hiện thêm các bước khác vì một số cấu hình được lưu trữ trong các biến EFI của firmware.

Trong trường hợp cụ thể của Credential Guard được kích hoạt với khóa UEFI.Trước tiên, bạn phải thực hiện quy trình vô hiệu hóa tiêu chuẩn (khôi phục các chỉ thị hoặc giá trị Registry) và sau đó xóa các biến EFI liên quan bằng cách sử dụng bcdedit và tiện ích SecConfig.efi với một kịch bản nâng cao.

Dòng chảy điển hình bao gồm gắn ổ đĩa EFI tạm thời, sao chép SecConfig.efi, tạo một đầu vào bộ sạc mới với bcdeditHãy cấu hình các tùy chọn để vô hiệu hóa LSA biệt lập và thiết lập trình tự khởi động tạm thời thông qua trình quản lý khởi động Windows, cũng như ngắt kết nối ổ đĩa khi quá trình hoàn tất.

Sau khi khởi động lại máy tính với cấu hình này, Trước khi Windows khởi động, một thông báo sẽ hiện lên cảnh báo về sự thay đổi trong UEFI.Việc xác nhận thông báo này là bắt buộc để các thay đổi được lưu lại và để khóa EFI của Credential Guard thực sự bị vô hiệu hóa trong firmware.

Nếu những gì bạn cần là Vô hiệu hóa Credential Guard trên một máy ảo Hyper-V cụ thểBạn có thể thực hiện việc này từ máy chủ mà không cần can thiệp vào máy khách, bằng cách sử dụng PowerShell. Một lệnh điển hình sẽ là:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Với sự điều chỉnh đó, máy ảo Nó ngừng sử dụng VBS và do đó ngừng chạy Credential Guard. Mặc dù hệ điều hành khách hỗ trợ tính năng này, nó có thể hữu ích trong các môi trường phòng thí nghiệm hoặc thử nghiệm rất đặc thù.

Credential Guard trên máy ảo Hyper-V

Credential Guard không chỉ giới hạn ở các thiết bị vật lý.Nó cũng có thể bảo vệ thông tin đăng nhập bên trong các máy ảo chạy Windows trong môi trường Hyper-V, cung cấp mức độ cách ly tương tự như trên phần cứng vật lý.

Trong tình huống này, Credential Guard bảo vệ các bí mật khỏi các cuộc tấn công bắt nguồn từ bên trong chính máy ảo.Nói cách khác, nếu kẻ tấn công xâm nhập vào các tiến trình hệ thống bên trong máy ảo, tính năng bảo vệ VBS sẽ tiếp tục cách ly các LSA và giảm thiểu nguy cơ lộ thông tin về hàm băm và vé.

Tuy nhiên, điều quan trọng là phải hiểu rõ giới hạn: Credential Guard không thể bảo vệ máy ảo khỏi các cuộc tấn công bắt nguồn từ máy chủ. Với quyền hạn cao hơn. Hệ thống ảo hóa và hệ thống máy chủ thực tế có toàn quyền kiểm soát các máy ảo, vì vậy quản trị viên máy chủ độc hại có thể vượt qua các rào cản này.

Để Credential Guard hoạt động chính xác trong các loại triển khai này, Máy chủ Hyper-V phải có IOMMU. (Bộ quản lý bộ nhớ đầu vào/đầu ra) cho phép cách ly quyền truy cập vào bộ nhớ và thiết bị, và máy ảo phải thuộc loại này. Thế hệ 2, với firmware UEFIĐiều này cho phép Khởi động An toàn và các chức năng cần thiết khác.

Với những yêu cầu này, Trải nghiệm sử dụng Credential Guard trên máy ảo rất giống với trải nghiệm trên máy vật lý.bao gồm các phương thức kích hoạt tương tự (Intune, GPO, Registry) và các phương thức xác minh (msinfo32, PowerShell, Event Viewer).

Exploit Guard và Microsoft Defender: Kích hoạt và quản lý tính năng bảo vệ chung

Cùng với Credential Guard, hệ sinh thái bảo mật của Windows còn dựa vào Microsoft Defender Antivirus. và trong các công nghệ như Exploit Guard, bao gồm các quy tắc giảm thiểu bề mặt tấn công, bảo vệ mạng, kiểm soát truy cập thư mục và các tính năng khác nhằm làm chậm phần mềm độc hại và giảm thiểu các lỗ hổng bảo mật.

Trong nhiều đội, Phần mềm diệt virus Microsoft Defender được cài đặt sẵn và kích hoạt mặc định. Trong Windows 8, Windows 10 và Windows 11, tính năng này có sẵn, nhưng khá phổ biến khi nó bị vô hiệu hóa do các chính sách trước đó, việc cài đặt các giải pháp của bên thứ ba hoặc các thay đổi thủ công trong Registry.

đến Kích hoạt Microsoft Defender Antivirus bằng chính sách nhóm cục bộBạn có thể mở menu Bắt đầu, tìm kiếm "Chính sách Nhóm" và chọn "Chỉnh sửa Chính sách Nhóm". Trong "Cấu hình Máy tính > Mẫu Quản trị > Thành phần Windows > Windows Defender Antivirus", bạn sẽ thấy tùy chọn "Tắt Windows Defender Antivirus".

Nếu chính sách này được đặt thành "Đã bật", điều đó có nghĩa là phần mềm diệt virus bị vô hiệu hóa một cách bắt buộc. Để khôi phục chức năng, hãy đặt tùy chọn thành "Đã tắt" hoặc "Chưa cấu hình".Áp dụng các thay đổi và đóng trình chỉnh sửa. Dịch vụ sẽ có thể khởi động lại sau lần cập nhật chính sách tiếp theo.

Nếu tại thời điểm Defender đã bị vô hiệu hóa một cách rõ ràng từ Registry.Bạn cần kiểm tra tuyến đường. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender và xác định giá trị DisableAntiSpywareSử dụng Trình chỉnh sửa Registry, bạn có thể mở nó và đặt "Dữ liệu giá trị" của nó thành 0Chấp nhận thay đổi để cho phép phần mềm diệt virus hoạt động trở lại.

Sau khi thực hiện các điều chỉnh này, hãy vào "Bắt đầu > Cài đặt > Cập nhật & Bảo mật > Windows Defender" (trong các phiên bản gần đây hơn, là "Bảo mật Windows") và Hãy kiểm tra xem công tắc "Bảo vệ thời gian thực" đã được bật chưa.Nếu nó vẫn đang tắt, hãy bật thủ công để đảm bảo rằng hệ thống chống virus khởi động cùng với hệ thống.

Để đạt được sự bảo vệ tối đa, nên làm như sau: Cho phép cả bảo vệ thời gian thực và bảo vệ dựa trên đám mây.Từ ứng dụng "Windows Security", hãy vào "Bảo vệ khỏi virus và mối đe dọa > Cài đặt bảo vệ khỏi virus và mối đe dọa > Quản lý cài đặt" và kích hoạt các công tắc tương ứng.

Nếu các tùy chọn này không hiển thị, có khả năng là Chính sách nhóm đang ẩn phần bảo vệ chống virus. Trong Windows Security, hãy kiểm tra "Computer Configuration > Administrative Templates > Windows Components > Windows Security > Virus & threat protection" và đảm bảo chính sách "Hide virus and threat protection area" được đặt thành "Disabled", sau đó áp dụng các thay đổi.

Nó cũng quan trọng không kém Cập nhật thường xuyên định nghĩa virus. Điều này cho phép Microsoft Defender phát hiện các mối đe dọa gần đây. Từ Windows Security, trong mục "Bảo vệ khỏi virus và mối đe dọa", bên trong "Cập nhật bảo vệ khỏi mối đe dọa", hãy nhấp vào "Kiểm tra cập nhật" và cho phép tải xuống các chữ ký mới nhất.

Nếu bạn thích sử dụng dòng lệnh, đó cũng là một lựa chọn. Bạn có thể khởi động dịch vụ Microsoft Defender từ CMD.. Nhấn Windows + R, nhập cmd Sau đó, tại dấu nhắc lệnh (tốt nhất là với quyền quản trị viên), hãy chạy lệnh sau:

sc start WinDefend

Với lệnh này, Dịch vụ chống virus chính khởi động. với điều kiện không có chính sách hoặc rào cản bổ sung nào ngăn cản việc này, cho phép bạn nhanh chóng xác minh xem động cơ có khởi động mà không gặp lỗi hay không.

Để kiểm tra xem máy tính của bạn có sử dụng Microsoft Defender hay không, chỉ cần vào "Start > Settings > System" rồi mở "Control Panel". Trong mục "Security and Maintenance", bạn sẽ tìm thấy mục "System security and protection", nơi... Bạn sẽ thấy bản tóm tắt về trạng thái bảo vệ chống virus và các biện pháp đang hoạt động khác. trong đội.

bằng cách phối hợp Credential Guard bảo vệ thông tin đăng nhập trong bộ nhớ. Với Microsoft Defender, Exploit Guard được cấu hình đúng cách và các quy tắc tăng cường bảo mật phù hợp, mức độ bảo mật sẽ được nâng cao đáng kể trước các hành vi đánh cắp thông tin đăng nhập, phần mềm độc hại tiên tiến và sự lây lan ngang trong phạm vi miền. Mặc dù luôn có chi phí liên quan đến khả năng tương thích với các giao thức và ứng dụng cũ, nhưng sự cải thiện bảo mật tổng thể bù đắp hơn nhiều cho điều này trong hầu hết các tổ chức.