Windows Credential Guard to funkcja zabezpieczeń, która zabezpiecza dane uwierzytelniające przed złośliwymi atakami. Uniemożliwia hakerom manipulowanie narzędziami systemowymi lub uruchamianie złośliwych kodów na komputerze. Ta funkcja jest dostępna w wersjach Enterprise i Pro systemów Windows 10 i Windows 11. Należy rozważyć włączenie funkcji Credential Guard, jeśli przetwarzasz lub uzyskujesz dostęp do poufnych danych lokalnie lub zdalnie w domenie lub grupie roboczej systemu Windows.
Czym dokładnie jest Credential Guard?
Po uruchomieniu komputera proces o nazwie Local Security Authority Server Service (LSASS) uwierzytelnia dane logowania i udziela dostępu. LSASS przechowuje również te poświadczenia (zaszyfrowane hasła, skróty NT, skróty LM i bilety Kerberos) w pamięci podczas aktywnych sesji, dzięki czemu nie trzeba ponownie wprowadzać hasła za każdym razem, gdy trzeba wprowadzić zmiany lub uzyskać dostęp do plików.
Zapisywanie poświadczeń w pamięci podczas sesji jest wygodniejsze niż alternatywa: ręczne uwierzytelnianie tożsamości na każdym kroku. To prawda, wprowadzanie poświadczeń uwierzytelniających od czasu do czasu poprawia bezpieczeństwo. Ale poświadczenia uwierzytelniające są długie, zwłaszcza w ich zaszyfrowanych formach. Byłoby to szczególnie niewygodne, gdybyś musiał szybko wprowadzić zmianę, a szczególnie frustrujące, gdybyś popełnił błąd i musiał ponownie wprowadzić hasło. A jeśli musisz gdzieś zapisać hasło, może to potencjalnie zwiększyć zagrożenie bezpieczeństwa. LSASS obsługuje uwierzytelnianie, dzięki czemu korzystanie z urządzenia jest wydajne.
Ale jak możesz sobie wyobrazić, w przypadku wszystkiego, co przechowuje cenne, wrażliwe dane, LSASS to gratka dla hakerów. Mogą skompromitować LSASS przez ataki polegające na kradzieży danych uwierzytelniających przy użyciu narzędzi takich jak Mimikatz, Crackmapexec i Lsassy. Hakerzy używają tych narzędzi do usuwania, zastępowania lub modyfikowania prawdziwego pliku systemowego (lsass.exe).
Istnieją sposoby na powstrzymanie kradzieży danych uwierzytelniających, zanim haker wyrządzi ogromne szkody, i możliwe jest powstrzymanie ataku, gdy już go wykryjesz. Lepiej jednak w pierwszej kolejności zapobiec atakowi. Credential Guard chroni przed złośliwymi atakami, tworząc izolowany proces LSASS (LSAIso), który bezpiecznie przechowuje dane uwierzytelniające.
Dlaczego warto włączyć Credential Guard na swoim komputerze
Funkcja bezpieczeństwa izoluje dane logowania od reszty pamięci systemu, a także głównego procesu (lsass.exe), który obsługuje uwierzytelnianie. Jest to więc zasadniczo czarna skrzynka.
Funkcji Credential Guard należy używać, jeśli masz kilka komputerów należących do domeny lub grupy roboczej. Dlaczego? Osoba atakująca, która złamie urządzenie z danymi logowania administratora, może narazić na szwank całą sieć. Włączenie tej funkcji skutecznie uniemożliwia atakującemu uzyskanie całkowitej kontroli nad poufnymi informacjami w przypadku naruszenia bezpieczeństwa systemu.
Twój system musi spełniać wymagania
Funkcja Windows Credential Guard jest dostępna wyłącznie w wersjach Enterprise i Pro systemów Windows 10 i 11. Najnowsze wersje serwerów Windows również mają tę funkcję bezpieczeństwa, ale urządzenie musi spełniać surowe wymagania sprzętowe i programowe.
Na początek urządzenie musi mieć 64-bitowy procesor (w celu obsługi zabezpieczeń opartych na wirtualizacji) i bezpieczny rozruch. Microsoft zaleca również posiadanie Moduł zaufanej platformy (TPM) w wersji 1.2 lub 2.0 i UEFI lock (aby uniemożliwić atakującym obejście konfiguracji zabezpieczeń za pomocą regedit). Możesz sprawdzić podstawowe wymagania na podstawie komputera lub serwera, który chcesz chronić.
Jak włączyć Credential Guard w systemie Windows
Twój komputer lub serwer będzie miał domyślnie włączoną funkcję Credential Guard, jeśli spełnia podstawowe wymagania firmy Microsoft. Aby sprawdzić, czy ta funkcja bezpieczeństwa jest już włączona, naciśnij Początek następnie wpisz „msinfo32.exe”. Wybierać Informacje o systemie > Podsumowanie systemu. Powinieneś zobaczyć obok siebie „Uruchomione usługi bezpieczeństwa oparte na wirtualizacji” i „Ochrona poświadczeń, integralność kodu wymuszona przez hiperwizor”.
Jeśli funkcja Credential Guard nie jest włączona na komputerze, możesz włączyć tę funkcję na trzy główne sposoby: za pomocą zasad grupy, edycji rejestru systemu Windows lub przy użyciu usługi Microsoft Intune. Istnieje również opcja włączenia Credential Guard z blokadą UEFI, jeśli jesteś zaawansowanym użytkownikiem. Większości administratorów łatwiej będzie włączyć tę funkcję dzięki zasadom grupy.
Jak wyłączyć Credential Guard w systemie Windows
Pomimo swojej przydatności w zapobieganiu kradzieży danych uwierzytelniających i atakom typu Pass the Hash, funkcja Credential Guard spowoduje uszkodzenie niektórych usług i protokołów. Na przykład włączenie funkcji zabezpieczeń uniemożliwia korzystanie z Windows To Go, nieograniczonego delegowania Kerberos i szyfrowania DES.
Ponadto nie można korzystać z zewnętrznych dostawców obsługi zabezpieczeń (SSP), ponieważ są oni narażeni na ataki polegające na kradzieży poświadczeń. Punkty końcowe Wi-Fi i VPN oparte na MS-CHAPv2 są równie podatne na ataki i zostaną wyłączone po włączeniu funkcji Credentials Guard.
Jeśli potrzebujesz niektórych z wyżej wymienionych funkcji, możesz wyłączyć Credential Guard na tak długo, jak potrzebujesz. Pamiętaj jednak, aby ustawić przypomnienie o ponownym włączeniu.
Wyłączanie za pomocą Edytora zasad grupy
Pierwszą opcją jest wyłączenie funkcji Credential Guard poprzez zmianę ustawień zasad grupy.
Aby to zrobić, naciśnij Początek i wpisz „gpedit”, a następnie wybierz Edytuj zasady grupy. Iść do Konfiguracja komputera > Szablony administracyjne > System > Ochrona urządzeń > Włącz zabezpieczenia oparte na wirtualizacji > Opcje. Ustaw „Konfiguracja funkcji Credential Guard” na Wyłączony, Kliknij OK aby zapisać zmianę, a następnie uruchom ponownie komputer.
Wyłączanie za pomocą Regedit
Ta opcja jest świetna, jeśli włączyłeś funkcję Defender Credential Guard przy użyciu innej metody niż blokada UEFI i zasady grupy. Aby wyłączyć Credential Guard za pomocą Regedit, naciśnij Początek i wpisz „regedit”. Wybierać Edytor rejestru. Najpierw przejdź do ścieżki pliku HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags i ustaw wartość na "0".
Następnie przejdź z powrotem do HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags i ustaw wartość na „0”.
Możesz też śledzić Instrukcje firmy Microsoft do wyłączenia Credential Guard z blokadą UEFI lub wyłączenia funkcji bezpieczeństwa na maszynie wirtualnej.
Włączenie funkcji Credential Guard to tylko zapobieganie
Praktyczną zasadą jest zainstalowanie ogrodzenia wokół ogrodu przed sadzeniem, zwłaszcza jeśli mieszkasz w obszarze, w którym hoduje się zwierzęta gospodarskie. To ogrodzenie byłoby bezużyteczne, gdybyś miał już kozy na swojej posiadłości – w takim przypadku musiałbyś je przegonić.
Ta sama zasada dotyczy ochrony wrażliwych danych logowania. Gdy funkcja Credential Guard jest włączona, uniemożliwia hakerom kradzież danych. Byłoby to jednak nieskuteczne, gdyby atakujący zadomowił się już w Twojej sieci lub zhakował urządzenie. Jeśli więc zdecydujesz się użyć tej funkcji bezpieczeństwa na nowym komputerze służbowym, upewnij się, że jest włączona, zanim komputer dołączy do domeny lub grupy roboczej Windows.