A Windows Credential Guard egy biztonsági szolgáltatás, amely megvédi a hitelesítési adatokat a rosszindulatú támadásoktól. Megakadályozza, hogy a hackerek manipulálják a rendszereszközöket, vagy rosszindulatú kódokat futtatjanak a számítógépen. Ez a funkció a Windows 10 és Windows 11 Enterprise és Pro verzióiban érhető el. Érdemes megfontolni a Credential Guard engedélyezését, ha bizalmas adatokat kezel vagy ér el helyben vagy távolról Windows tartományon vagy munkacsoporton.
Mi is az a Credential Guard pontosan?
A számítógép indításakor a Local Security Authority Server Service (LSASS) nevű folyamat hitelesíti a bejelentkezési adatokat, és hozzáférést biztosít Önnek. Az LSASS ezeket a hitelesítő adatokat is tárolja (titkosított jelszavak, NT-kivonatokat, LM-kivonatokat és Kerberos-jegyeket) tárolja a memóriában az aktív munkamenetek során, így nem kell minden alkalommal újra megadnia jelszavát, amikor módosításokat kell végrehajtania vagy fájlokat kell elérnie.
A hitelesítő adatok memóriába mentése a munkamenetek során praktikus az alternatívához képest: minden lépésnél a manuális azonosítás. Igaz, a hitelesítési adatok időnkénti megadása javítja a biztonságot. A hitelesítési adatok azonban hosszadalmasak, különösen a kivonatolt formájukban. Különösen kényelmetlen lenne, ha gyorsan kellene változtatnia, és különösen frusztráló lenne, ha hibázott, és újra meg kellene adnia a jelszót. És ha valahova le kell írnia a jelszót, az növelheti a biztonsági kockázatot. Az LSASS kezeli a hitelesítést, így az eszköz használata hatékony.
De ahogy el tudja képzelni, bármivel, ami értékes, érzékeny adatokat tárol, az LSASS egy jackpot a hackerek számára. Ezek révén kompromittálhatják az LSASS-t hitelesítő adatlopó támadások olyan eszközök használatával, mint a Mimikatz, Crackmapexec és Lsassy. A hackerek ezeket az eszközöket használják a valós rendszerfájl (lsass.exe) törlésére, cseréjére vagy módosítására.
Vannak módok a hitelesítő adatok ellopásának leállítására, mielőtt a hacker hatalmas károkat okozna, és a támadást is meg lehet állítani, ha már felfedezte azt. Azonban jobb, ha először megelőzzük a támadást. A Credential Guard egy izolált LSASS folyamat (LSAIso) létrehozásával véd a rosszindulatú támadások ellen, amely biztonságosan tárolja a hitelesítési adatokat.
Miért érdemes engedélyezni a Credential Guard szolgáltatást a számítógépen?
A biztonsági funkció elkülöníti a bejelentkezési hitelesítő adatokat a rendszer többi memóriájából, valamint a hitelesítést kezelő fő folyamattól (lsass.exe). Tehát lényegében egy fekete doboz.
Használja a Credential Guard szolgáltatást, ha több számítógépe is van egy tartományhoz vagy munkacsoporthoz. Miért? A rendszergazdai bejelentkezési adatokkal rendelkező eszközt feltörő támadó a teljes hálózatot feltörheti. Ennek a funkciónak az engedélyezése hatékonyan megakadályozza, hogy a támadó teljes ellenőrzést szerezzen az érzékeny információk felett, ha feltöri a rendszert.
A rendszernek meg kell felelnie a követelményeknek
A Windows Credential Guard kizárólag a Windows 10 és 11 Enterprise és Pro verzióihoz tartozik. A Windows Serverek legújabb verziói is rendelkeznek ezzel a biztonsági funkcióval, de az eszköznek szigorú hardver- és szoftverkövetelményeknek kell megfelelnie.
Kezdetnek az eszköznek 64 bites CPU-val (a virtualizáció alapú biztonság támogatásához) és biztonságos rendszerindítással kell rendelkeznie. A Microsoft azt is javasolja Megbízható platform modul (TPM) 1.2-es vagy 2.0-s verziója és az UEFI zárolása (annak megakadályozására, hogy a támadók a regedit segítségével megkerüljék a biztonsági beállításokat). Ellenőrizheti a alapkövetelmények a védeni kívánt számítógép vagy szerver alapján.
A Credential Guard engedélyezése a Windows rendszeren
Számítógépén vagy kiszolgálóján alapértelmezés szerint engedélyezve lesz a Credential Guard, ha megfelel a Microsoft alapkövetelményeinek. Ha ellenőrizni szeretné, hogy ez a biztonsági funkció már engedélyezve van-e, nyomja meg a gombot Rajt majd írja be az „msinfo32.exe” parancsot. Válassza ki Rendszerinformáció > Rendszerösszefoglaló. Látnia kell egymás mellett a „Virtualizáció-alapú biztonsági szolgáltatások fut” és a „Credencial Guard, Hypervisor által kikényszerített kódintegritás” feliratokat.
Ha a Credential Guard nincs engedélyezve a számítógépen, a szolgáltatást három fő módon engedélyezheti: csoportházirenddel, a Windows rendszerleíró adatbázisának szerkesztésével vagy a Microsoft Intune használatával. Lehetőség van az UEFI-zárral ellátott Credential Guard engedélyezésére is, ha Ön erős felhasználó. A legtöbb adminisztrátor könnyebben fogja engedélyezni ezt a funkciót a csoportházirenddel.
A Credential Guard letiltása Windows rendszeren
Annak ellenére, hogy hasznos a hitelesítő adatok ellopása és a Pass the Hash támadások megelőzésében, a Credential Guard egyes szolgáltatások és protokollok meghibásodását okozza. Például a biztonsági funkció engedélyezése megakadályozza a Windows To Go, a Kerberos korlátozás nélküli delegálás és a DES titkosítás használatát.
Ezenkívül nem használhat harmadik féltől származó biztonsági támogatási szolgáltatókat (SSP), mert ki vannak téve a hitelesítő adatok ellopása elleni támadásoknak. Az MS-CHAPv2-n alapuló Wi-Fi- és VPN-végpontok egyaránt sérülékenyek, és letiltásra kerülnek, ha engedélyezi a Credentials Guard szolgáltatást.
Ha szüksége van néhány fent említett szolgáltatásra, letilthatja a Credential Guard-ot, ameddig csak szükséges. De mindenképpen állítson be egy emlékeztetőt az újbóli engedélyezéshez.
Letiltása csoportházirend-szerkesztővel
Az első lehetőség a Credential Guard letiltása a csoportházirend-beállítások módosításával.
Ehhez nyomja meg a gombot Rajt és írja be a „gpedit” kifejezést, majd válassza ki Csoportházirend szerkesztése. Menj Számítógép konfigurációja > Felügyeleti sablonok > Rendszer > Eszközőrség > Virtualizáción alapuló biztonság bekapcsolása > Beállítások. Állítsa be a "Credencial Guard Configuration" lehetőséget Tiltva, kattintson rendben a módosítás mentéséhez, majd indítsa újra a számítógépet.
Letiltása Regedittel
Ez a lehetőség nagyszerű, ha a Defender Credential Guard funkciót az UEFI Lock és csoportházirendtől eltérő módszerrel engedélyezte. A Credential Guard Regedit használatával letiltásához nyomja meg a gombot Rajt és írja be a „regedit” parancsot. Válassza ki Rendszerleíróadatbázis-szerkesztő. Először keresse meg a HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags fájl elérési útját, és állítsa az értéket "0"-ra.
Ezután lépjen vissza a HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags mappába, és állítsa az értéket „0”-ra.
Követni is lehet A Microsoft utasításai a Credential Guard letiltásához UEFI-zárral vagy a biztonsági funkció letiltásához egy virtuális gépen.
A Credential Guard engedélyezése csak megelőzés
A hüvelykujjszabály az, hogy az ültetés előtt kerítést kell felszerelni a kertre, különösen, ha olyan területen él, ahol állatállomány szabadon jár. Ez a kerítés hiábavaló lenne, ha már vannak kecskék az ingatlanon – ebben az esetben ki kell őket kergetni.
Ugyanez az elv vonatkozik érzékeny bejelentkezési adatainak védelmére is. Ha engedélyezve van, a Credential Guard megakadályozza, hogy a hackerek ellopják az Ön adatait. Hatástalan lenne azonban, ha a támadó már beépült az Ön hálózatába, vagy feltörte az eszközt. Tehát, ha úgy dönt, hogy egy új munkahelyi számítógépen használja ezt a biztonsági funkciót, győződjön meg arról, hogy engedélyezve van, mielőtt a számítógép csatlakozna a Windows tartományhoz vagy munkacsoporthoz.
