Windows Credential Guard je bezpečnostná funkcia, ktorá zabezpečuje overovacie poverenia pred škodlivými útokmi. Zabraňuje hackerom zasahovať do systémových nástrojov alebo spúšťať škodlivé kódy vo vašom počítači. Táto funkcia je dostupná vo verziách Enterprise a Pro Windows 10 a Windows 11. Mali by ste zvážiť aktiváciu funkcie Credential Guard, ak spracúvate citlivé údaje alebo k nim pristupujete lokálne alebo vzdialene v doméne alebo pracovnej skupine Windows.
Čo presne je Credential Guard?
Keď spustíte počítač, proces nazývaný Serverová služba lokálneho bezpečnostného úradu (LSASS) overí prihlasovacie údaje a udelí vám prístup. LSASS tiež ukladá tieto poverenia (zašifrované heslá, haše NT, haše LM a lístky Kerberos) v pamäti počas aktívnych relácií, takže nemusíte znova zadávať heslo zakaždým, keď potrebujete vykonať zmeny alebo získať prístup k súborom.
Ukladanie prihlasovacích údajov do pamäte počas relácií je praktické v porovnaní s alternatívou: manuálna autentifikácia identity v každom kroku. Je pravda, že tu a tam zadávanie overovacích poverení zlepšuje bezpečnosť. Ale overovacie poverenia sú zdĺhavé, najmä v ich hašovaných formách. Bolo by obzvlášť nepohodlné, ak by ste museli vykonať zmenu rýchlo, a obzvlášť frustrujúce, ak by ste urobili chybu a museli znova zadať heslo. A ak si heslo niekde musíte zapísať, môže to potenciálne zvýšiť vaše bezpečnostné riziko. LSASS spracováva autentifikáciu, takže používanie vášho zariadenia je efektívne.
Ale ako si viete predstaviť, so všetkým, čo uchováva cenné a citlivé údaje, je LSASS jackpot pre hackerov. Môžu ohroziť LSASS prostredníctvom útoky na krádeže poverení pomocou nástrojov ako Mimikatz, Crackmapexec a Lsassy. Hackeri používajú tieto nástroje na odstránenie, nahradenie alebo zmenu skutočného systémového súboru (lsass.exe).
Existujú spôsoby, ako zastaviť kradnutie poverení skôr, ako hacker spôsobí obrovské škody, a je možné zastaviť útok, keď ho objavíte. V prvom rade je však lepšie útokom predchádzať. Credential Guard chráni pred škodlivými útokmi vytvorením izolovaného procesu LSASS (LSAIso), ktorý bezpečne ukladá autentifikačné údaje.
Prečo by ste mali povoliť ochranu poverení na svojom počítači
Funkcia zabezpečenia izoluje prihlasovacie údaje od zvyšku pamäte systému, ako aj od hlavného procesu (lsass.exe), ktorý sa stará o overenie. Je to teda v podstate čierna skrinka.
Ak máte niekoľko počítačov, ktoré sú súčasťou domény alebo pracovnej skupiny, mali by ste použiť Credential Guard. prečo? Útočník, ktorý kompromituje zariadenie s prihlasovacími údajmi správcu, môže ohroziť celú sieť. Povolenie tejto funkcie účinne zabráni útočníkovi získať úplnú kontrolu nad citlivými informáciami, ak ohrozia systém.
Váš systém musí spĺňať požiadavky
Windows Credential Guard je exkluzívny pre verzie Enterprise a Pro Windows 10 a 11. Najnovšie verzie serverov Windows majú tiež túto bezpečnostnú funkciu, ale zariadenie musí spĺňať prísne hardvérové a softvérové požiadavky.
Na začiatok musí mať zariadenie 64-bitový procesor (na podporu zabezpečenia založeného na virtualizácii) a bezpečné spustenie. Spoločnosť Microsoft tiež odporúča mať Modul dôveryhodnej platformy (TPM) verzie 1.2 alebo 2.0 a UEFI lock (aby sa zabránilo útočníkom obísť nastavenie zabezpečenia pomocou regeditu). Môžete skontrolovať základné požiadavky na základe počítača alebo servera, ktorý chcete chrániť.
Ako povoliť Credential Guard v systéme Windows
Váš počítač alebo server bude mať v predvolenom nastavení povolenú ochranu poverení, ak spĺňa základné požiadavky spoločnosti Microsoft. Ak chcete skontrolovať, či je táto funkcia zabezpečenia už povolená, stlačte tlačidlo Štart potom zadajte "msinfo32.exe". Vyberte Systémové informácie > Súhrn systému. Vedľa seba by ste mali vidieť „Bezpečnostné služby založené na virtualizácii“ a „Ochrana poverení, integrita kódu vynútená Hypervisorom“.
Ak na vašom počítači nie je povolená funkcia Credential Guard, môžete túto funkciu povoliť tromi hlavnými spôsobmi: prostredníctvom skupinovej politiky, úpravou databázy Registry systému Windows alebo pomocou služby Microsoft Intune. Ak ste skúsený používateľ, existuje tiež možnosť povoliť ochranu poverení so zámkom UEFI. Väčšine správcov bude povolenie tejto funkcie jednoduchšie pomocou skupinovej politiky.
Ako zakázať ochranu poverení v systéme Windows
Napriek svojej užitočnosti pri predchádzaní krádeži poverení a útokom Pass the Hash spôsobí Credential Guard poruchu niektorých služieb a protokolov. Povolenie funkcie zabezpečenia vám napríklad zabráni používať Windows To Go, neobmedzené delegovanie Kerberos a šifrovanie DES.
Tiež nemôžete používať poskytovateľov podpory zabezpečenia (SSP) tretích strán, pretože sú zraniteľní voči útokom na krádež poverení. Koncové body Wi-Fi a VPN založené na MS-CHAPv2 sú rovnako zraniteľné a po povolení Credentials Guard budú deaktivované.
Ak potrebujete niektoré z vyššie uvedených funkcií, môžete vypnúť Credential Guard na ako dlho potrebujete. Nezabudnite si však nastaviť pripomienku, aby ste to znova povolili.
Zakázanie pomocou Editora zásad skupiny
Vašou prvou možnosťou je vypnúť Credential Guard zmenou nastavení skupinovej politiky.
Ak to chcete urobiť, stlačte Štart a zadajte „gpedit“ a potom vyberte Upraviť skupinovú politiku. Ísť do Konfigurácia počítača > Šablóny pre správu > Systém > Ochrana zariadenia > Zapnúť zabezpečenie na základe virtualizácie > Možnosti. Nastavte "Konfigurácia ochrany poverení" na Zakázané, kliknite OK uložte zmeny a potom reštartujte počítač.
Zakázanie pomocou programu Regedit
Táto možnosť je skvelá, ak ste povolili ochranu Defender Credential Guard pomocou inej metódy ako Zámok UEFI a Zásady skupiny. Ak chcete vypnúť Credential Guard pomocou Regedit, stlačte Štart a zadajte „regedit“. Vyberte Editor databázy Registry. Najprv prejdite na cestu k súboru HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags a nastavte hodnotu na "0".
Ďalej prejdite späť na HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags a nastavte hodnotu na "0".
Môžete tiež sledovať Pokyny spoločnosti Microsoft na vypnutie funkcie Credential Guard so zámkom UEFI alebo na vypnutie bezpečnostnej funkcie na virtuálnom počítači.
Povolenie Credential Guard je len prevencia
Pravidlom je nainštalovať plot okolo vašej záhrady pred výsadbou, najmä ak žijete v oblasti, kde sa voľne pohybujú hospodárske zvieratá. Tento plot by bol zbytočný, ak už máte na svojom pozemku kozy – v takom prípade by ste ich museli vyhnať.
Rovnaký princíp platí pre ochranu vašich citlivých prihlasovacích údajov. Keď je funkcia Credential Guard povolená, bráni hackerom ukradnúť vaše údaje. Bolo by to však neúčinné, ak by sa útočník už usadil vo vašej sieti alebo kompromitoval zariadenie. Ak sa teda rozhodnete použiť túto funkciu zabezpečenia na novom pracovnom počítači, uistite sa, že je povolená predtým, ako sa počítač pripojí k doméne alebo pracovnej skupine Windows.