Windows Credential Guard — это функция безопасности, которая защищает учетные данные для проверки подлинности от вредоносных атак. Он не позволяет хакерам вмешиваться в системные инструменты или запускать вредоносные коды на вашем компьютере. Эта функция доступна в версиях Enterprise и Pro Windows 10 и Windows 11. Вам следует рассмотреть возможность включения Credential Guard, если вы обрабатываете или получаете доступ к конфиденциальным данным локально или удаленно в домене или рабочей группе Windows.
Что такое Credential Guard?
Когда вы запускаете свой компьютер, процесс, называемый службой сервера локальной безопасности (LSASS), проверяет учетные данные для входа и предоставляет вам доступ. LSASS также хранит эти учетные данные (зашифрованные пароли, NT-хэши, LM-хэши и билеты Kerberos) в памяти во время активных сеансов, поэтому вам не нужно повторно вводить пароль каждый раз, когда вам нужно внести изменения или получить доступ к файлам.
Сохранение учетных данных в памяти во время сеансов удобно по сравнению с альтернативой: ручной аутентификацией на каждом этапе. Конечно, время от времени ввод учетных данных для аутентификации повышает безопасность. Но учетные данные для аутентификации длинные, особенно в хешированной форме. Было бы особенно неудобно, если бы вам нужно было быстро вносить изменения, и особенно неприятно, если бы вы допустили ошибку и должны были повторно ввести пароль. И если вам нужно где-то записать пароль, это потенциально может увеличить риск вашей безопасности. LSASS обрабатывает аутентификацию, поэтому использование вашего устройства становится более эффективным.
Но, как вы можете себе представить, для всего, что хранит ценные конфиденциальные данные, LSASS — это джек-пот для хакеров. Они могут скомпрометировать LSASS через атаки с кражей учетных данных используя такие инструменты, как Mimikatz, Crackmapexec и Lsassy. Хакеры используют эти инструменты для удаления, замены или изменения реального системного файла (lsass.exe).
Есть способы остановить кражу учетных данных до того, как хакер нанесет огромный ущерб, и можно остановить атаку, как только вы ее обнаружите. Однако лучше заранее предотвратить нападение. Credential Guard защищает от вредоносных атак, создавая изолированный процесс LSASS (LSAIso), который надежно хранит данные проверки подлинности.
Почему вы должны включить Credential Guard на своем ПК
Функция безопасности изолирует учетные данные для входа в систему от остальной памяти системы, а также от основного процесса (lsass.exe), который обрабатывает аутентификацию. Так что по сути это черный ящик.
Вам следует использовать Credential Guard, если у вас есть несколько компьютеров, входящих в домен или рабочую группу. Почему? Злоумышленник, который скомпрометирует устройство с учетными данными администратора, может скомпрометировать всю сеть. Включение этой функции эффективно предотвращает получение злоумышленником полного контроля над конфиденциальной информацией, если он скомпрометирует систему.
Ваша система должна соответствовать требованиям
Windows Credential Guard является эксклюзивным продуктом для корпоративной и профессиональной версий Windows 10 и 11. Последние версии серверов Windows также имеют эту функцию безопасности, но устройство должно соответствовать строгим требованиям к оборудованию и программному обеспечению.
Во-первых, устройство должно иметь 64-битный ЦП (для поддержки безопасности на основе виртуализации) и безопасную загрузку. Microsoft также рекомендует иметь Доверенный платформенный модуль (TPM) версии 1.2 или 2.0 и блокировка UEFI (чтобы злоумышленники не смогли обойти настройку безопасности с помощью regedit). Вы можете проверить базовые требования в зависимости от компьютера или сервера, который вы хотите защитить.
Как включить Credential Guard в Windows
На вашем компьютере или сервере по умолчанию будет включен Credential Guard, если он соответствует базовым требованиям Microsoft. Чтобы проверить, включена ли уже эта функция безопасности, нажмите Начинать затем введите «msinfo32.exe». Выбирать Информация о системе > Сводка по системе. Вы должны увидеть рядом друг с другом «Службы безопасности на основе виртуализации» и «Credential Guard, обеспечение целостности кода с применением гипервизора».
Если Credential Guard не включен на вашем компьютере, вы можете включить эту функцию тремя основными способами: с помощью групповой политики, редактирования реестра Windows или с помощью Microsoft Intune. Также есть возможность включить Credential Guard с блокировкой UEFI, если вы опытный пользователь. Большинству администраторов будет проще включить эту функцию с помощью групповой политики.
Как отключить Credential Guard в Windows
Несмотря на свою полезность в предотвращении кражи учетных данных и атак Pass the Hash, Credential Guard может привести к нарушению работы некоторых служб и протоколов. Например, включение функции безопасности запрещает вам использовать Windows To Go, неограниченное делегирование Kerberos и шифрование DES.
Кроме того, вы не можете использовать сторонних поставщиков поддержки безопасности (SSP), поскольку они уязвимы для атак с целью кражи учетных данных. Конечные точки Wi-Fi и VPN на основе MS-CHAPv2 одинаково уязвимы и будут отключены при включении Credentials Guard.
Если вам нужны некоторые из вышеупомянутых функций, вы можете отключить Credential Guard на необходимое время. Но не забудьте установить напоминание, чтобы снова включить его.
Отключение с помощью редактора групповой политики
Ваш первый вариант — отключить Credential Guard, изменив параметры групповой политики.
Для этого нажмите Начинать и введите «gpedit», затем выберите Изменить групповую политику. Идти к Конфигурация компьютера > Административные шаблоны > Система > Device Guard > Включить безопасность на основе виртуализации > Параметры. Установите «Конфигурация Credential Guard» на Неполноценный, нажмите ХОРОШО чтобы сохранить изменения, а затем перезагрузите компьютер.
Отключение с помощью Regedit
Этот вариант отлично подходит, если вы включили Defender Credential Guard с помощью метода, отличного от блокировки UEFI и групповой политики. Чтобы отключить Credential Guard с помощью Regedit, нажмите Начинать и введите «regedit». Выбирать Редактор реестра. Сначала перейдите к пути к файлу HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags и установите значение «0».
Затем вернитесь к HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags и установите значение «0».
Вы также можете следить Инструкции Майкрософт для отключения Credential Guard с блокировкой UEFI или отключения функции безопасности на виртуальной машине.
Включение Credential Guard — это только профилактика
Эмпирическое правило заключается в том, чтобы установить забор вокруг вашего сада перед посадкой, особенно если вы живете в районе, где скот свободно гуляет. Этот забор был бы бесполезен, если бы у вас уже были козы на вашей территории — в этом случае вам нужно было бы их выгнать.
Тот же принцип применяется к защите ваших конфиденциальных данных для входа. Когда Credential Guard включен, он предотвращает кражу ваших данных хакерами. Однако это будет неэффективно, если злоумышленник уже обосновался в вашей сети или скомпрометировал устройство. Итак, если вы решите использовать эту функцию безопасности на новом рабочем компьютере, убедитесь, что она включена, прежде чем компьютер присоединится к домену или рабочей группе Windows.
