Windows Credential Guard е защитна функция, която защитава идентификационните данни за удостоверяване срещу злонамерени атаки. Той не позволява на хакерите да намесват системните инструменти или да изпълняват злонамерени кодове на вашия компютър. Тази функция е налична във версиите Enterprise и Pro на Windows 10 и Windows 11. Трябва да помислите за активиране на Credential Guard, ако обработвате или осъществявате достъп до чувствителни данни локално или отдалечено в домейн или работна група на Windows.
Какво точно е Credential Guard?
Когато стартирате компютъра си, процес, наречен Local Security Authority Server Service (LSASS), удостоверява идентификационните данни за вход и ви предоставя достъп. LSASS също съхранява тези идентификационни данни (криптирани пароли, NT хешове, LM хешове и Kerberos билети) в паметта по време на активни сесии, така че не е необходимо да въвеждате отново паролата си всеки път, когато трябва да правите промени или да осъществявате достъп до файлове.
Запазването на идентификационните данни в паметта по време на сесии е удобно в сравнение с алтернативата: ръчно удостоверяване на самоличността на всяка стъпка. Разбира се, въвеждането на идентификационни данни за удостоверяване от време на време подобрява сигурността. Но идентификационните данни за удостоверяване са дълги, особено в техните хеширани форми. Би било особено неудобно, ако трябва да направите промяна бързо и особено разочароващо, ако направите грешка и трябва да въведете отново парола. И ако трябва да запишете паролата някъде, това потенциално може да увеличи риска за вашата сигурност. LSASS обработва удостоверенията, така че използването на вашето устройство е ефективно.
Но както можете да си представите, с всичко, което съхранява ценни, чувствителни данни, LSASS е джакпот за хакерите. Те могат да компрометират LSASS чрез атаки за кражба на удостоверение използвайки инструменти като Mimikatz, Crackmapexec и Lsassy. Хакерите използват тези инструменти, за да изтрият, заменят или променят истинския системен файл (lsass.exe).
Има начини да спрете кражбата на идентификационни данни, преди хакер да причини огромни щети, и е възможно да спрете атака, след като я откриете. Въпреки това е по-добре да предотвратите атаката на първо място. Credential Guard защитава от злонамерени атаки, като създава изолиран LSASS процес (LSAIso), който съхранява сигурно данните за удостоверяване.
Защо трябва да активирате Credential Guard на вашия компютър
Функцията за защита изолира идентификационните данни за влизане от останалата част от паметта на системата, както и от главния процес (lsass.exe), който обработва удостоверяването. Така че по същество това е черна кутия.
Трябва да използвате Credential Guard, ако имате няколко компютъра, които са част от домейн или работна група. Защо? Нападател, който компрометира устройство с администраторски идентификационни данни за вход, може да компрометира цялата мрежа. Активирането на тази функция ефективно предотвратява нападателя да получи пълен контрол върху чувствителна информация, ако компрометира система.
Вашата система трябва да отговаря на изискванията
Windows Credential Guard е изключителен за версиите Enterprise и Pro на Windows 10 и 11. Последните версии на Windows Servers също имат тази защитна функция, но устройството трябва да отговаря на строги хардуерни и софтуерни изисквания.
Като за начало устройството трябва да има 64-битов процесор (за да поддържа сигурност, базирана на виртуализация) и защитено зареждане. Microsoft също препоръчва да имате Доверен платформен модул (TPM) версии 1.2 или 2.0 и заключване на UEFI (за предотвратяване на нападателите да заобиколят настройката за защита с regedit). Можете да проверите на базови изисквания въз основа на компютъра или сървъра, който искате да защитите.
Как да активирате Credential Guard в Windows
Вашият компютър или сървър ще има активиран Credential Guard по подразбиране, ако отговаря на основните изисквания на Microsoft. За да проверите дали тази защитна функция вече е активирана, натиснете Започнете след това въведете "msinfo32.exe". Изберете Системна информация > Резюме на системата. Трябва да видите „Услуги за сигурност, базирани на виртуализация, които се изпълняват“ и „Credential Guard, Hypervisor enforced Code Integrity“ един до друг.
Ако Credential Guard не е активиран на вашия компютър, можете да активирате функцията по три основни начина: чрез групови правила, редактиране на системния регистър на Windows или използване на Microsoft Intune. Има и опция за активиране на Credential Guard с UEFI заключване, ако сте опитен потребител. Повечето администратори ще намерят активирането на тази функция по-лесно с груповите правила.
Как да деактивирате Credential Guard в Windows
Въпреки полезността си за предотвратяване на кражба на идентификационни данни и атаки Pass the Hash, Credential Guard ще доведе до прекъсване на някои услуги и протоколи. Например, активирането на функцията за защита ви предпазва от използване на Windows To Go, неограничено делегиране на Kerberos и DES криптиране.
Освен това не можете да използвате доставчици на поддръжка за сигурност (SSP) на трети страни, защото те са уязвими на атаки за кражба на идентификационни данни. Wi-Fi и VPN крайните точки, базирани на MS-CHAPv2, са еднакво уязвими и ще бъдат деактивирани, когато активирате Credentials Guard.
Ако имате нужда от някои от гореспоменатите функции, можете да деактивирате Credential Guard за колкото време ви е необходимо. Но не забравяйте да зададете напомняне, за да го активирате отново.
Деактивиране с редактор на групови правила
Първата ви опция е да деактивирате Credential Guard, като промените настройките на груповата политика.
За да направите това, натиснете Започнете и въведете „gpedit“, след което изберете Редактиране на групови правила. Отидете на Компютърна конфигурация > Административни шаблони > Система > Защита на устройството > Включване на защита, базирана на виртуализация > Опции. Задайте „Конфигурация на Credential Guard“ на хора с увреждания, щракнете Добре за да запазите промяната и след това рестартирайте компютъра си.
Деактивиране с Regedit
Тази опция е чудесна, ако сте активирали Defender Credential Guard, използвайки метод, различен от UEFI Lock и Group Policy. За да деактивирате Credential Guard с Regedit, натиснете Започнете и въведете „regedit“. Изберете Редактор на регистъра. Първо отворете пътя на файла HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags и задайте стойността на "0".
След това отидете обратно до HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags и задайте стойността на "0".
Можете също да следвате Инструкции на Microsoft за деактивиране на Credential Guard с UEFI заключване или деактивиране на защитната функция на виртуална машина.
Активирането на Credential Guard е само превенция
Основното правило е да инсталирате ограда около градината си преди засаждане, особено ако живеете в район с добитък на свобода. Тази ограда би била безполезна, ако вече имате кози във вашия имот - в този случай ще трябва да ги изгоните.
Същият принцип се прилага за защита на вашите чувствителни данни за вход. Когато е активиран, Credential Guard не позволява на хакерите да откраднат вашите данни. Въпреки това би било неефективно, ако нападателят вече се е установил във вашата мрежа или е компрометирал устройството. Така че, ако решите да използвате тази защитна функция на нов работен компютър, уверете се, че е активирана, преди компютърът да се присъедини към домейна или работната група на Windows.