Windows Credential Guard on suojausominaisuus, joka suojaa todennustiedot haitallisilta hyökkäyksiltä. Se estää hakkereita peukaloimasta järjestelmätyökaluja tai käynnistämästä haitallisia koodeja tietokoneellasi. Tämä ominaisuus on saatavilla Windows 10:n ja Windows 11:n Enterprise- ja Pro-versioissa. Sinun tulisi harkita Credential Guardin käyttöönottoa, jos käsittelet tai käytät arkaluonteisia tietoja paikallisesti tai etäyhteyden kautta Windows-toimialueessa tai -työryhmässä.
Mikä Credential Guard oikein on?
Kun käynnistät tietokoneen, Local Security Authority Server Service (LSASS) -niminen prosessi todentaa kirjautumistiedot ja antaa sinulle käyttöoikeuden. LSASS tallentaa myös nämä tunnistetiedot (salattuja salasanoja, NT-tiivisteet, LM-tiivisteet ja Kerberos-liput) muistissa aktiivisten istuntojen aikana, joten sinun ei tarvitse kirjoittaa salasanaasi uudelleen joka kerta, kun sinun on tehtävä muutoksia tai päästävä käsiksi tiedostoihin.
Tunnusten tallentaminen muistiin istuntojen aikana on kätevää verrattuna vaihtoehtoon: manuaaliseen henkilöllisyyden todentamiseen joka vaiheessa. Myönnetään, että todennustietojen syöttäminen silloin tällöin parantaa turvallisuutta. Mutta todennustiedot ovat pitkiä, etenkin niiden tiivistetyissä muodoissa. Olisi erityisen hankalaa, jos joutuisit tekemään muutoksen nopeasti, ja erityisen turhauttavaa, jos teet virheen ja joutuisit syöttämään salasanan uudelleen. Ja jos sinun on kirjoitettava salasana jonnekin muistiin, tämä saattaa lisätä turvallisuusriskiäsi. LSASS käsittelee todennukset, joten laitteesi käyttö on tehokasta.
Mutta kuten voit kuvitella, LSASS on jättipotti hakkereille kaikella, joka tallentaa arvokasta, arkaluontoista tietoa. He voivat vaarantaa LSASS: n tunnistetietojen varastamistyöt käyttämällä työkaluja, kuten Mimikatz, Crackmapexec ja Lsassy. Hakkerit käyttävät näitä työkaluja todellisen järjestelmätiedoston (lsass.exe) poistamiseen, korvaamiseen tai muuttamiseen.
On olemassa tapoja pysäyttää tunnistetietojen varastaminen ennen kuin hakkeri tekee valtavia vahinkoja, ja on mahdollista pysäyttää hyökkäys, kun olet löytänyt sen. On kuitenkin parempi estää hyökkäys ensin. Credential Guard suojaa haitallisilta hyökkäyksiltä luomalla erillisen LSASS-prosessin (LSAIso), joka tallentaa todennustiedot turvallisesti.
Miksi sinun pitäisi ottaa Credential Guard käyttöön tietokoneessasi
Suojausominaisuus eristää kirjautumistiedot järjestelmän muusta muistista sekä pääprosessista (lsass.exe), joka käsittelee todennusta. Se on siis pohjimmiltaan musta laatikko.
Sinun tulee käyttää Credential Guardia, jos sinulla on useita tietokoneita, jotka kuuluvat toimialueeseen tai työryhmään. Miksi? Hyökkääjä, joka murtautuu laitteen järjestelmänvalvojan kirjautumistiedoilla, voi vaarantaa koko verkon. Tämän ominaisuuden käyttöönotto estää tehokkaasti hyökkääjää saamasta täysin hallintaansa arkaluontoiset tiedot, jos he vaarantavat järjestelmän.
Järjestelmäsi on täytettävä vaatimukset
Windows Credential Guard on yksinoikeus Windows 10:n ja 11:n Enterprise- ja Pro-malleihin. Myös uusimmissa Windows Server -versioissa on tämä suojausominaisuus, mutta laitteen on täytettävä tiukat laitteisto- ja ohjelmistovaatimukset.
Ensinnäkin laitteessa on oltava 64-bittinen CPU (tukeakseen virtualisointiin perustuvaa suojausta) ja suojattu käynnistys. Microsoft suosittelee myös Luotettu alustamoduuli (TPM) versiot 1.2 tai 2.0 ja UEFI-lukko (estääkseen hyökkääjiä ohittamasta suojausasetuksia regeditillä). Voit tarkistaa perusvaatimukset suojattavan tietokoneen tai palvelimen perusteella.
Kuinka ottaa Credential Guard käyttöön Windowsissa
Tietokoneessasi tai palvelimessasi Credential Guard on oletusarvoisesti käytössä, jos se täyttää Microsoftin perusvaatimukset. Tarkista, onko tämä suojausominaisuus jo käytössä, painamalla alkaa kirjoita sitten "msinfo32.exe". Valitse Järjestelmätiedot > Järjestelmän yhteenveto. Sinun pitäisi nähdä "Virtualisointiin perustuvat tietoturvapalvelut käynnissä" ja "Credential Guard, Hypervisor pakotettu koodin eheys" vierekkäin.
Jos Credential Guard ei ole käytössä tietokoneessasi, voit ottaa ominaisuuden käyttöön kolmella päätavalla: ryhmäkäytännön avulla, muokkaamalla Windowsin rekisteriä tai käyttämällä Microsoft Intunea. On myös mahdollisuus ottaa käyttöön Credential Guard UEFI-lukolla, jos olet tehokäyttäjä. Useimmat järjestelmänvalvojat pitävät tämän ominaisuuden käyttöönottoa helpommin ryhmäkäytännön avulla.
Kuinka poistaa Credential Guard käytöstä Windowsissa
Vaikka Credential Guard on hyödyllinen valtuustietojen varastamisen ja Pass the Hash -hyökkäysten estämisessä, se aiheuttaa joidenkin palveluiden ja protokollien rikkoutumisen. Esimerkiksi suojausominaisuuden ottaminen käyttöön estää sinua käyttämästä Windows To Goa, Kerberosin rajoittamatonta delegointia ja DES-salausta.
Et myöskään voi käyttää kolmannen osapuolen suojaustukipalveluntarjoajia (SSP), koska ne ovat alttiina tunnistetietojen varastamiseen. MS-CHAPv2:een perustuvat Wi-Fi- ja VPN-päätepisteet ovat yhtä haavoittuvia, ja ne poistetaan käytöstä, kun otat Credentials Guardin käyttöön.
Jos tarvitset joitain edellä mainituista ominaisuuksista, voit poistaa Credential Guardin käytöstä niin kauan kuin tarvitset. Muista kuitenkin asettaa muistutus ottaaksesi sen uudelleen käyttöön.
Poistaminen käytöstä ryhmäkäytäntöeditorilla
Ensimmäinen vaihtoehtosi on poistaa Credential Guard käytöstä muuttamalla ryhmäkäytäntöasetuksia.
Voit tehdä tämän painamalla alkaa ja kirjoita "gpedit" ja valitse sitten Muokkaa ryhmäkäytäntöä. Mene Tietokoneen asetukset > Hallintamallit > Järjestelmä > Laiteturva > Ota virtualisointiin perustuva suojaus käyttöön > Asetukset. Aseta "Credential Guard Configuration" -asetukseksi Liikuntarajoitteinen, klikkaus OK tallentaaksesi muutoksen ja käynnistääksesi sitten tietokoneesi uudelleen.
Poistaminen käytöstä Regeditillä
Tämä vaihtoehto on hyvä, jos olet ottanut Defender Credential Guardin käyttöön eri menetelmällä kuin UEFI Lock and Group Policy. Voit poistaa Credential Guardin käytöstä Regeditillä painamalla alkaa ja kirjoita "regedit". Valitse Rekisterieditori. Siirry ensin tiedostopolkuun HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags ja aseta arvoksi "0".
Siirry seuraavaksi takaisin kohtaan HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags ja aseta arvoksi "0".
Voit myös seurata Microsoftin ohjeita Credential Guard UEFI-lukituksen poistamiseen tai virtuaalikoneen suojausominaisuuden poistamiseen käytöstä.
Credential Guardin ottaminen käyttöön on vain ennaltaehkäisy
Nyrkkisääntönä on asentaa aita puutarhasi ympärille ennen istutusta, varsinkin jos asut alueella, jolla on vapaata karjaa. Tuo aita olisi hyödytön, jos kiinteistölläsi on jo vuohia – silloin sinun on ajattava ne ulos.
Sama periaate koskee arkaluonteisten kirjautumistietojesi suojaamista. Kun Credential Guard on käytössä, se estää hakkereita varastamasta tietojasi. On kuitenkin tehotonta, jos hyökkääjä on jo vakiinnuttanut asemansa verkkoosi tai vaarantanut laitteen. Joten jos päätät käyttää tätä suojausominaisuutta uudessa työtietokoneessa, varmista, että se on käytössä, ennen kuin tietokone liittyy Windows-toimialueeseen tai -työryhmään.
