Windows Credential Guard je varnostna funkcija, ki ščiti poverilnice za preverjanje pristnosti pred zlonamernimi napadi. Hekerjem preprečuje poseganje v sistemska orodja ali zagon zlonamernih kod v vašem računalniku. Ta funkcija je na voljo v različicah Windows 10 in Windows 11 Enterprise in Pro. Razmislite o omogočanju Credential Guard, če obdelujete ali dostopate do občutljivih podatkov lokalno ali na daljavo v domeni ali delovni skupini Windows.
Kaj točno je Credential Guard?
Ko zaženete računalnik, postopek, imenovan Local Security Authority Server Service (LSASS), preveri pristnost poverilnic za prijavo in vam omogoči dostop. LSASS shrani tudi te poverilnice (šifrirana gesla, zgoščene vrednosti NT, zgoščene vrednosti LM in vstopnice Kerberos) v pomnilnik med aktivnimi sejami, tako da vam ni treba znova vnašati gesla vsakič, ko morate narediti spremembe ali dostopati do datotek.
Shranjevanje poverilnic v pomnilnik med sejami je priročno v primerjavi z alternativo: ročno preverjanje pristnosti identitete na vsakem koraku. Res je, da občasno vnašanje poverilnic za preverjanje pristnosti izboljša varnost. Toda poverilnice za preverjanje pristnosti so dolge, zlasti v zgoščenih oblikah. Še posebej neprijetno bi bilo, če bi morali hitro narediti spremembo, še posebej frustrirajoče pa bi bilo, če bi se zmotili in bi morali znova vnesti geslo. In če morate geslo nekam zapisati, lahko to potencialno poveča vaše varnostno tveganje. LSASS skrbi za preverjanje pristnosti, zato je uporaba vaše naprave učinkovita.
Toda kot si lahko predstavljate, je LSASS pravi jackpot za hekerje z vsem, kar hrani dragocene, občutljive podatke. Lahko ogrozijo LSASS prek napadi s krajo poverilnic z uporabo orodij, kot so Mimikatz, Crackmapexec in Lsassy. Hekerji uporabljajo ta orodja za brisanje, zamenjavo ali spreminjanje prave sistemske datoteke (lsass.exe).
Obstajajo načini za zaustavitev kraje poverilnic, preden heker naredi ogromno škode, napad pa je mogoče ustaviti, ko ga odkrijete. Vendar je bolje, da napad najprej preprečite. Credential Guard ščiti pred zlonamernimi napadi z ustvarjanjem izoliranega procesa LSASS (LSAIso), ki varno shranjuje podatke za preverjanje pristnosti.
Zakaj bi morali v računalniku omogočiti Credential Guard
Varnostna funkcija izolira poverilnice za prijavo od preostalega sistemskega pomnilnika kot tudi od glavnega procesa (lsass.exe), ki obravnava preverjanje pristnosti. Torej je v bistvu črna skrinjica.
Credential Guard uporabite, če imate več računalnikov, ki so del domene ali delovne skupine. Zakaj? Napadalec, ki ogrozi napravo s skrbniškimi poverilnicami za prijavo, lahko ogrozi celotno omrežje. Če omogočite to funkcijo, napadalcu učinkovito preprečite popoln nadzor nad občutljivimi informacijami, če ogrozi sistem.
Vaš sistem mora izpolnjevati zahteve
Windows Credential Guard je ekskluziven za različici Windows 10 in 11 Enterprise in Pro. Zadnje različice strežnikov Windows imajo tudi to varnostno funkcijo, vendar mora naprava izpolnjevati stroge zahteve glede strojne in programske opreme.
Za začetek mora imeti naprava 64-bitni CPE (za podporo varnosti, ki temelji na virtualizaciji) in varen zagon. Microsoft tudi priporoča, da imate Trusted Platform Module (TPM) različice 1.2 ali 2.0 in zaklepanje UEFI (za preprečitev napadalcem, da bi obšli varnostne nastavitve z regedit). Lahko preverite osnovne zahteve glede na računalnik ali strežnik, ki ga želite zaščititi.
Kako omogočiti Credential Guard v sistemu Windows
Vaš računalnik ali strežnik bo imel Credential Guard privzeto omogočeno, če izpolnjuje Microsoftove osnovne zahteve. Če želite preveriti, ali je ta varnostna funkcija že omogočena, pritisnite Začetek nato vnesite "msinfo32.exe". Izberite Informacije o sistemu > Povzetek sistema. Drug poleg drugega bi morali videti »Varnostne storitve, ki temeljijo na virtualizaciji« in »Credential Guard, Hypervisor enforced Code Integrity«.
Če Credential Guard v vašem računalniku ni omogočen, lahko funkcijo omogočite na tri glavne načine: s pravilnikom skupine, urejanjem registra Windows ali uporabo Microsoft Intune. Obstaja tudi možnost, da omogočite Credential Guard z zaklepanjem UEFI, če ste napreden uporabnik. Večina skrbnikov bo to funkcijo lažje omogočila s pravilnikom skupine.
Kako onemogočiti Credential Guard v sistemu Windows
Kljub uporabnosti pri preprečevanju kraje poverilnic in napadov Pass the Hash bo Credential Guard povzročil okvaro nekaterih storitev in protokolov. Če na primer omogočite varnostno funkcijo, preprečite uporabo sistema Windows To Go, neomejenega pooblaščanja Kerberos in šifriranja DES.
Prav tako ne morete uporabljati ponudnikov varnostne podpore tretjih oseb (SSP), ker so ranljivi za napade s krajo poverilnic. Končne točke Wi-Fi in VPN, ki temeljijo na MS-CHAPv2, so enako ranljive in bodo onemogočene, ko omogočite Credentials Guard.
Če potrebujete nekatere od zgoraj omenjenih funkcij, lahko onemogočite Credential Guard za kolikor dolgo potrebujete. Ne pozabite pa nastaviti opomnika, da ga znova omogočite.
Onemogočanje z urejevalnikom pravilnika skupine
Vaša prva možnost je, da onemogočite Credential Guard tako, da spremenite nastavitve pravilnika skupine.
Če želite to narediti, pritisnite Začetek in vnesite »gpedit«, nato izberite Urejanje pravilnika skupine. Pojdi do Konfiguracija računalnika > Administrativne predloge > Sistem > Zaščita naprave > Vklopi varnost na podlagi virtualizacije > Možnosti. Nastavite "Credential Guard Configuration" na Onemogočeno, kliknite v redu da shranite spremembo in nato znova zaženete računalnik.
Onemogočanje z Regedit
Ta možnost je odlična, če ste omogočili Defender Credential Guard z drugačno metodo od zaklepanja UEFI in pravilnika skupine. Če želite onemogočiti Credential Guard z Regeditom, pritisnite Začetek in vnesite »regedit«. Izberite Urejevalnik registra. Najprej se pomaknite na pot datoteke HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags in nastavite vrednost na "0".
Nato se pomaknite nazaj na HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags in nastavite vrednost na "0".
Lahko tudi sledite Microsoftova navodila za onemogočanje Credential Guard z zaklepanjem UEFI ali onemogočanje varnostne funkcije na virtualnem računalniku.
Omogočanje Credential Guard je le preventiva
Osnovno pravilo je, da okoli svojega vrta pred sajenjem postavite ograjo, še posebej, če živite na območju, kjer se živina prosto sprehaja. Ta ograja bi bila neuporabna, če že imate koze na svojem posestvu – v tem primeru bi jih morali pregnati.
Enako načelo velja za zaščito vaših občutljivih podatkov za prijavo. Ko je omogočen, Credential Guard hekerjem prepreči krajo vaših podatkov. Vendar bi bilo neučinkovito, če bi se napadalec že uveljavil v vašem omrežju ali ogrozil napravo. Če se torej odločite za uporabo te varnostne funkcije na novem službenem računalniku, se prepričajte, da je omogočena, preden se računalnik pridruži domeni ali delovni skupini Windows.
