Windows Credential Guard este o caracteristică de securitate care securizează acreditările de autentificare împotriva atacurilor rău intenționate. Împiedică hackerii să modifice instrumentele de sistem sau să ruleze coduri rău intenționate pe computer. Această caracteristică este disponibilă pe versiunile Enterprise și Pro din Windows 10 și Windows 11. Ar trebui să luați în considerare activarea Credential Guard dacă gestionați sau accesați date sensibile local sau de la distanță pe un domeniu sau un grup de lucru Windows.
Ce este Credential Guard exact?
Când porniți computerul, un proces numit Local Security Authority Server Service (LSASS) autentifică datele de conectare și vă oferă acces. LSASS stochează, de asemenea, aceste acreditări (parole criptate, hash-uri NT, hash-uri LM și bilete Kerberos) în memorie în timpul sesiunilor active, astfel încât să nu fie nevoie să reintroduceți parola de fiecare dată când trebuie să faceți modificări sau să accesați fișiere.
Salvarea acreditărilor în memorie în timpul sesiunilor este la îndemână în comparație cu alternativa: autentificarea manuală a identității la fiecare pas. De acord, introducerea acreditărilor de autentificare din când în când îmbunătățește securitatea. Dar acreditările de autentificare sunt lungi, mai ales în formele lor cu hash. Ar fi deosebit de incomod dacă ar trebui să faceți o schimbare rapid și deosebit de frustrant dacă ați greșit și ar trebui să reintroduceți o parolă. Și dacă trebuie să scrieți parola undeva, acest lucru ar putea crește riscul de securitate. LSASS se ocupă de autentificări, astfel încât utilizarea dispozitivului dvs. este eficientă.
Dar, după cum vă puteți imagina, cu tot ce stochează date valoroase și sensibile, LSASS este un jackpot pentru hackeri. Ei pot compromite LSASS prin atacuri de furt de acreditări folosind instrumente precum Mimikatz, Crackmapexec și Lsassy. Hackerii folosesc aceste instrumente pentru a șterge, înlocui sau modifica fișierul de sistem real (lsass.exe).
Există modalități de a opri furtul de acreditări înainte ca un hacker să facă daune imense și este posibil să opriți un atac odată ce l-ați descoperit. Cu toate acestea, este mai bine să preveniți atacul în primul rând. Credential Guard protejează împotriva atacurilor rău intenționate prin crearea unui proces LSASS izolat (LSAIso) care stochează datele de autentificare în siguranță.
De ce ar trebui să activați Credential Guard pe computerul dvs
Caracteristica de securitate izolează acreditările de conectare de restul memoriei sistemului, precum și de procesul principal (lsass.exe) care se ocupă de autentificare. Deci, este în esență o cutie neagră.
Ar trebui să utilizați Credential Guard dacă aveți mai multe computere care fac parte dintr-un domeniu sau dintr-un grup de lucru. De ce? Un atacator care compromite un dispozitiv cu date de conectare de administrator poate compromite întreaga rețea. Activarea acestei funcții împiedică în mod eficient un atacator să obțină controlul total asupra informațiilor sensibile dacă compromit un sistem.
Sistemul dvs. trebuie să îndeplinească cerințele
Windows Credential Guard este exclusiv pentru versiunile Enterprise și Pro ale Windows 10 și 11. Versiunile recente ale serverelor Windows au și această caracteristică de securitate, dar dispozitivul trebuie să îndeplinească cerințe stricte de hardware și software.
Pentru început, dispozitivul trebuie să aibă un procesor pe 64 de biți (pentru a suporta securitatea bazată pe virtualizare) și pornire securizată. Microsoft recomandă, de asemenea, să aibă Modul de platformă de încredere (TPM) versiunile 1.2 sau 2.0 și blocarea UEFI (pentru a preveni atacatorii să ocolească configurația de securitate cu regedit). Puteți verifica cerințele de bază în funcție de computerul sau serverul pe care doriți să îl protejați.
Cum să activați Credential Guard pe Windows
Computerul sau serverul dvs. va avea Credential Guard activat în mod implicit dacă îndeplinește cerințele de bază ale Microsoft. Pentru a verifica dacă această caracteristică de securitate este deja activată, apăsați start apoi tastați „msinfo32.exe”. Selectați Informații despre sistem > Rezumat sistem. Ar trebui să vedeți „Servicii de securitate bazate pe virtualizare în funcțiune” și „Credential Guard, Hypervisor enforced Code Integrity” unul lângă celălalt.
Dacă Credential Guard nu este activat pe computer, puteți activa funcția în trei moduri principale: prin Politica de grup, editarea Registrului Windows sau folosind Microsoft Intune. Există, de asemenea, opțiunea de a activa Credential Guard cu blocarea UEFI dacă sunteți un utilizator cu putere. Majoritatea administratorilor vor găsi mai ușor activarea acestei funcții cu Politica de grup.
Cum să dezactivezi Credential Guard pe Windows
În ciuda utilității sale în prevenirea furtului de acreditări și a atacurilor Pass the Hash, Credential Guard va determina întreruperea unor servicii și protocoale. De exemplu, activarea funcției de securitate vă împiedică să utilizați Windows To Go, delegarea neconstrânsă Kerberos și criptarea DES.
De asemenea, nu puteți utiliza furnizori de asistență de securitate (SSP) terți, deoarece aceștia sunt vulnerabili la atacurile de furt de acreditări. Punctele finale Wi-Fi și VPN bazate pe MS-CHAPv2 sunt la fel de vulnerabile și vor fi dezactivate când activați Credentials Guard.
Dacă aveți nevoie de unele dintre funcțiile menționate mai sus, puteți dezactiva Credential Guard pentru cât timp aveți nevoie. Dar asigurați-vă că setați un memento pentru a-l reactiva.
Dezactivarea cu Editorul de politici de grup
Prima opțiune este să dezactivați Credential Guard modificând setările politicii de grup.
Pentru a face acest lucru, apăsați start și tastați „gpedit”, apoi selectați Editați politica de grup. Mergi la Configurare computer > Șabloane administrative > Sistem > Device Guard > Activați securitatea bazată pe virtualizare > Opțiuni. Setați „Configurarea Credential Guard” la Dezactivat, faceți clic Bine pentru a salva modificarea și apoi reporniți computerul.
Dezactivarea cu Regedit
Această opțiune este grozavă dacă ați activat Defender Credential Guard folosind o metodă diferită de UEFI Lock și Politica de grup. Pentru a dezactiva Credential Guard cu Regedit, apăsați start și tastați „regedit”. Selectați Editorul Registrului. Mai întâi, navigați la calea fișierului HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags și setați valoarea la „0”.
Apoi, navigați înapoi la HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags și setați valoarea la „0”.
De asemenea, puteți urmări instrucțiunile Microsoft pentru dezactivarea Credential Guard cu blocarea UEFI sau pentru dezactivarea caracteristicii de securitate pe o mașină virtuală.
Activarea Credential Guard este doar o prevenire
Regula generală este să instalați un gard în jurul grădinii înainte de a planta, mai ales dacă locuiți într-o zonă cu animale în liberă circulație. Acest gard ar fi inutil dacă aveți deja capre pe proprietatea dvs., caz în care, ar trebui să le alungați.
Același principiu se aplică și pentru protejarea datelor dvs. sensibile de conectare. Când este activată, Credential Guard împiedică hackerii să vă fure datele. Cu toate acestea, ar fi ineficient dacă atacatorul s-a stabilit deja în rețeaua dvs. sau a compromis dispozitivul. Deci, dacă decideți să utilizați această caracteristică de securitate pe un nou computer de lucru, asigurați-vă că este activată înainte ca computerul să se alăture domeniului sau grupului de lucru Windows.
