Windows Credential Guard הוא תכונת אבטחה המאבטחת אישורי אימות מפני התקפות זדוניות. זה מונע מהאקרים להתעסק בכלי מערכת או להפעיל קודים זדוניים במחשב שלך. תכונה זו זמינה בטעמים Enterprise ו-Pro של Windows 10 ו-Windows 11. עליך לשקול להפעיל את Credential Guard אם אתה מטפל או ניגש לנתונים רגישים באופן מקומי או מרחוק בדומיין או בקבוצת עבודה של Windows.
מה זה שומר אישורים בדיוק?
כאשר אתה מפעיל את המחשב שלך, תהליך הנקרא Local Security Authority Server Service (LSASS) מאמת את אישורי הכניסה ומעניק לך גישה. LSASS גם מאחסן את האישורים האלה (סיסמאות מוצפנות, NT hashes, LM hashe וכרטיסי Kerberos) בזיכרון במהלך הפעלות פעילות, כך שלא תצטרך להזין מחדש את הסיסמה שלך בכל פעם שאתה צריך לבצע שינויים או לגשת לקבצים.
שמירת האישורים בזיכרון במהלך הפעלות שימושית בהשוואה לחלופה: אימות זהות ידני בכל שלב. נכון, הזנת אישורי אימות מדי פעם משפרת את האבטחה. אבל אישורי האימות הם ארוכים, במיוחד בצורות הגיבוב שלהם. זה יהיה לא נוח במיוחד אם תצטרך לבצע שינוי מהיר ומתסכל במיוחד אם עשית טעות והיית צריך להזין שוב סיסמה. ואם אתה צריך לרשום את הסיסמה איפשהו, זה עלול להגביר את הסיכון האבטחה שלך. LSASS מטפל באימות, כך שהשימוש במכשיר שלך יעיל.
אבל כפי שאתה יכול לדמיין, עם כל דבר שמאחסן נתונים יקרי ערך ורגישים, LSASS הוא קופה עבור האקרים. הם יכולים להתפשר על LSASS דרך התקפות גניבת אישורים באמצעות כלים כמו Mimikatz, Crackmapexec ו- Lsassy. האקרים משתמשים בכלים אלה כדי למחוק, להחליף או לשנות את קובץ המערכת האמיתי (lsass.exe).
ישנן דרכים לעצור גניבת אישורים לפני שהאקר גורם נזק עצום, ואפשר לעצור התקפה לאחר שגילית אותה. עם זאת, עדיף למנוע את ההתקפה מלכתחילה. Credential Guard מגן מפני התקפות זדוניות על ידי יצירת תהליך LSASS מבודד (LSAIso) המאחסן נתוני אימות בצורה מאובטחת.
מדוע עליך להפעיל את Credential Guard במחשב האישי שלך
תכונת האבטחה מבודדת את אישורי הכניסה משאר זיכרון המערכת וכן מהתהליך הראשי (lsass.exe) שמטפל באימות. אז זה בעצם קופסה שחורה.
עליך להשתמש ב-Credential Guard אם יש לך מספר מחשבים שהם חלק מתחום או קבוצת עבודה. למה? תוקף שמתפשר על מכשיר עם אישורי כניסה למנהל יכול לסכן את הרשת כולה. הפעלת תכונה זו מונעת למעשה מהתוקף לקבל שליטה מוחלטת במידע רגיש אם הוא פוגע במערכת.
המערכת שלך חייבת לעמוד בדרישות
Windows Credential Guard הוא בלעדי לטעמים Enterprise ו-Pro של Windows 10 ו-11. גם בגרסאות האחרונות של שרתי Windows יש את תכונת האבטחה הזו, אך המכשיר חייב לעמוד בדרישות חומרה ותוכנה קפדניות.
בתור התחלה, המכשיר חייב להיות בעל מעבד 64 סיביות (כדי לתמוך באבטחה מבוססת וירטואליזציה) ואתחול מאובטח. מיקרוסופט ממליצה גם מודול פלטפורמה מהימנה (TPM) גרסאות 1.2 או 2.0 ו-UEFI נעילת (כדי למנוע מתוקפים לעקוף את הגדרת האבטחה עם regedit). אתה יכול לבדוק את דרישות בסיס מבוסס על המחשב או השרת שאתה רוצה להגן עליו.
כיצד להפעיל את Credential Guard ב-Windows
המחשב או השרת שלך יפעיל את Credential Guard כברירת מחדל אם הוא עומד בדרישות הבסיס של Microsoft. כדי לבדוק אם תכונת האבטחה הזו מופעלת כבר, לחץ על הַתחָלָה לאחר מכן הקלד "msinfo32.exe". בחר מידע מערכת > סיכום מערכת. אתה אמור לראות "שירותי אבטחה מבוססי וירטואליזציה פועלים" ו"משמר אישורים, שלמות קוד אכיפת Hypervisor" זה לצד זה.
אם Credential Guard לא מופעל במחשב שלך, אתה יכול להפעיל את התכונה בשלוש דרכים עיקריות: דרך מדיניות קבוצתית, עריכת רישום Windows או שימוש ב-Microsoft Intune. יש גם אפשרות להפעיל את Credential Guard עם נעילת UEFI אם אתה משתמש חזק. לרוב המנהלים יהיה קל יותר להפעיל תכונה זו באמצעות מדיניות קבוצתית.
כיצד להשבית את Credential Guard ב-Windows
למרות התועלת שלו במניעת גניבת אישורים והעברת התקפות ה-Hash, Credential Guard יגרום לשבירת שירותים ופרוטוקולים מסוימים. לדוגמה, הפעלת תכונת האבטחה מונעת ממך להשתמש ב-Windows To Go, האצלה ללא הגבלה של Kerberos והצפנת DES.
כמו כן, אינך יכול להשתמש בספקי תמיכה באבטחה של צד שלישי (SSPs) מכיוון שהם חשופים להתקפות גניבת אישורים. נקודות קצה Wi-Fi ו-VPN המבוססות על MS-CHAPv2 פגיעות באותה מידה ויושבתו כאשר תפעיל את Credentials Guard.
אם אתה צריך כמה מהתכונות שהוזכרו לעיל, אתה יכול להשבית את Credential Guard לכל זמן שתצטרך. אבל הקפד להגדיר תזכורת כדי להפעיל אותו מחדש.
השבתה עם עורך מדיניות קבוצתית
האפשרות הראשונה שלך היא להשבית את Credential Guard על ידי שינוי הגדרות המדיניות הקבוצתית.
כדי לעשות זאת, הקש הַתחָלָה והקלד "gpedit", ולאחר מכן בחר ערוך מדיניות קבוצתית. לך ל תצורת מחשב > תבניות ניהול > מערכת > מגן התקן > הפעל אבטחה מבוססת וירטואליזציה > אפשרויות. הגדר את "תצורת משמר אישורים" ל נָכֶה, לחץ בסדר כדי לשמור את השינוי ולאחר מכן להפעיל מחדש את המחשב.
השבתה עם Regedit
אפשרות זו נהדרת אם הפעלת את Defender Credential Guard בשיטה שונה מ-UEFI Lock and Group Policy. כדי להשבית את Credential Guard עם Regedit, הקש הַתחָלָה והקלד "regedit". בחר עורך רישום. ראשית, נווט לנתיב הקובץ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags והגדר את הערך ל-"0".
לאחר מכן, נווט חזרה אל HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags והגדר את הערך ל-"0".
אפשר גם לעקוב ההוראות של מיקרוסופט להשבתת Credential Guard עם נעילת UEFI או השבתת תכונת האבטחה במחשב וירטואלי.
הפעלת Credential Guard היא רק מניעה
כלל האצבע הוא להתקין גדר סביב הגינה שלך לפני השתילה, במיוחד אם אתה גר באזור עם בעלי חיים בשוטטות חופשית. הגדר הזו תהיה חסרת תועלת אם כבר יש לך עיזים בשטח שלך - במקרה זה, תצטרך לגרש אותן החוצה.
אותו עיקרון חל על שמירה על נתוני ההתחברות הרגישים שלך. כאשר מופעל, Credential Guard מונע מהאקרים לגנוב את הנתונים שלך. עם זאת, זה לא יהיה יעיל אם התוקף כבר התבסס ברשת שלך או פגע במכשיר. לכן, אם תחליט להשתמש בתכונת האבטחה הזו במחשב עבודה חדש, ודא שהיא מופעלת לפני שהמחשב מצטרף לדומיין או לקבוצת העבודה של Windows.
