Виндовс Цредентиал Гуард је безбедносна функција која штити акредитиве за аутентификацију од злонамерних напада. Спречава хакере да мењају системске алате или покрећу злонамерне кодове на вашем рачунару. Ова функција је доступна на Ентерприсе и Про верзијама Виндовс 10 и Виндовс 11. Требало би да размислите о омогућавању Цредентиал Гуард-а ако управљате или приступате осетљивим подацима локално или даљински на Виндовс домену или радној групи.
Шта је тачно Цредентиал Гуард?
Када покренете рачунар, процес који се зове Лоцал Сецурити Аутхорити Сервер Сервице (ЛСАСС) потврђује аутентичност акредитива за пријаву и даје вам приступ. ЛСАСС такође чува ове акредитиве (шифроване лозинке, НТ хешеве, ЛМ хешеве и Керберос карте) у меморији током активних сесија, тако да не морате поново да уносите лозинку сваки пут када треба да извршите измене или приступите датотекама.
Чување акредитива у меморији током сесија је згодно у поређењу са алтернативом: ручна аутентификација идентитета на сваком кораку. Одобрено, повремено уношење акредитива за аутентификацију побољшава безбедност. Али акредитиви за аутентификацију су дугачки, посебно у својим хешираним облицима. Било би посебно незгодно ако бисте морали да извршите промену брзо и посебно фрустрирајуће ако сте направили грешку и морали поново да унесете лозинку. А ако морате негде да запишете лозинку, ово може потенцијално повећати ваш безбедносни ризик. ЛСАСС управља аутентификацијом, тако да је употреба вашег уређаја ефикасна.
Али као што можете замислити, са свиме што чува вредне, осетљиве податке, ЛСАСС је џекпот за хакере. Они могу компромитовати ЛСАСС кроз напади крађе акредитива користећи алате као што су Мимикатз, Црацкмапекец и Лсасси. Хакери користе ове алате за брисање, замену или измену стварне системске датотеке (лсасс.еке).
Постоје начини да зауставите крађу акредитива пре него што хакер направи огромну штету, а могуће је зауставити напад када га откријете. Међутим, боље је спречити напад на првом месту. Цредентиал Гуард штити од злонамерних напада креирањем изолованог ЛСАСС процеса (ЛСАИсо) који безбедно складишти податке за аутентификацију.
Зашто би требало да омогућите Цредентиал Гуард на свом рачунару
Сигурносна функција изолује акредитиве за пријаву од остатка системске меморије, као и од главног процеса (лсасс.еке) који управља аутентификацијом. Дакле, то је у суштини црна кутија.
Требало би да користите Цредентиал Гуард ако имате неколико рачунара који су део домена или радне групе. Зашто? Нападач који компромитује уређај са акредитивима за пријаву администратора може да угрози целу мрежу. Омогућавање ове функције ефикасно спречава нападача да добије потпуну контролу над осетљивим информацијама ако компромитује систем.
Ваш систем мора да испуњава услове
Виндовс Цредентиал Гуард је ексклузиван за Ентерприсе и Про верзије оперативног система Виндовс 10 и 11. Недавне верзије Виндовс сервера такође имају ову безбедносну функцију, али уређај мора да испуњава строге хардверске и софтверске захтеве.
За почетак, уређај мора да има 64-битни ЦПУ (да подржава безбедност засновану на виртуелизацији) и безбедно покретање. Мицрософт такође препоручује да имате Модул поуздане платформе (ТПМ) верзије 1.2 или 2.0 и УЕФИ закључавање (како би спречили нападаче да заобиђу безбедносно подешавање помоћу регедит-а). Можете проверити основни захтеви на основу рачунара или сервера који желите да заштитите.
Како омогућити Цредентиал Гуард на Виндовс-у
Ваш рачунар или сервер ће имати подразумевано омогућен Цредентиал Гуард ако испуњава основне захтеве компаније Мицрософт. Да бисте проверили да ли је ова безбедносна функција већ омогућена, притисните Почетак затим откуцајте "мсинфо32.еке". Изаберите Информације о систему > Резиме система. Требало би да видите „Покренуте безбедносне услуге засноване на виртуелизацији“ и „Цредентиал Гуард, хипервизорски принуђен интегритет кода“ један поред другог.
Ако Цредентиал Гуард није омогућен на вашем рачунару, можете да омогућите функцију на три главна начина: преко смерница групе, уређивања Виндовс регистра или коришћењем Мицрософт Интуне-а. Постоји и опција да омогућите Цредентиал Гуард са УЕФИ закључавањем ако сте искусни корисник. Већина администратора ће лакше омогућити ову функцију помоћу смерница групе.
Како онемогућити Цредентиал Гуард на Виндовс-у
Упркос својој корисности у спречавању крађе акредитива и нападима Пасс тхе Хасх-а, Цредентиал Гуард ће узроковати квар неких услуга и протокола. На пример, омогућавање безбедносне функције спречава вас да користите Виндовс То Го, Керберос неограничено делегирање и ДЕС шифровање.
Такође, не можете да користите добављаче безбедносне подршке (ССП) треће стране јер су рањиви на нападе крађе акредитива. Ви-Фи и ВПН крајње тачке засноване на МС-ЦХАПв2 су подједнако рањиве и биће онемогућене када омогућите Цредентиалс Гуард.
Ако су вам потребне неке од горе наведених функција, можете онемогућити Цредентиал Гуард колико год вам је потребно. Али обавезно поставите подсетник да га поново омогућите.
Онемогућавање помоћу уређивача групних смерница
Ваша прва опција је да онемогућите Цредентиал Гуард променом поставки смерница групе.
Да бисте то урадили, притисните Почетак и откуцајте „гпедит“, а затим изаберите Уредите смернице групе. Иди на Конфигурација рачунара > Административни шаблони > Систем > Заштита уређаја > Укључи безбедност засновану на виртуелизацији > Опције. Подесите „Конфигурација чувара акредитива“ на Онемогућено, кликните У реду да бисте сачували промену, а затим поново покрените рачунар.
Онемогућавање помоћу Регедит-а
Ова опција је одлична ако сте омогућили Дефендер Цредентиал Гуард користећи другачији метод од УЕФИ закључавања и смерница групе. Да бисте онемогућили Цредентиал Гуард помоћу Регедит-а, притисните Почетак и откуцајте „регедит“. Изаберите Уредник регистра. Прво идите на путању датотеке ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\\СИСТЕМ\\ЦуррентЦонтролСет\\Цонтрол\\Лса\\ЛсаЦфгФлагс и поставите вредност на "0".
Затим се вратите на ХКЕИ_ЛОЦАЛ_МАЦХИНЕ\\СОФТВАРЕ\\Полициес\\Мицрософт\\Виндовс\\ДевицеГуард\ЛсаЦфгФлагс и поставите вредност на "0".
Такође можете пратити Мицрософтова упутства за онемогућавање Цредентиал Гуард-а са УЕФИ закључавањем или онемогућавање безбедносне функције на виртуелној машини.
Омогућавање Цредентиал Гуард-а је само превенција
Основно правило је да поставите ограду око своје баште пре садње, посебно ако живите у области са стоком која слободно лута. Та ограда би била бескорисна ако већ имате козе на свом имању - у том случају, мораћете да их отерате.
Исти принцип важи за заштиту ваших осетљивих података за пријаву. Када је омогућен, Цредентиал Гуард спречава хакере да украду ваше податке. Међутим, то би било неефикасно ако се нападач већ успоставио у вашој мрежи или компромитовао уређај. Дакле, ако одлучите да користите ову безбедносну функцију на новом радном рачунару, уверите се да је омогућена пре него што се рачунар придружи Виндовс домену или радној групи.