Το Windows Credential Guard είναι μια δυνατότητα ασφαλείας που προστατεύει τα διαπιστευτήρια ελέγχου ταυτότητας από κακόβουλες επιθέσεις. Αποτρέπει τους χάκερ από την παραβίαση των εργαλείων του συστήματος ή την εκτέλεση κακόβουλων κωδικών στον υπολογιστή σας. Αυτή η δυνατότητα είναι διαθέσιμη σε γεύσεις Enterprise και Pro των Windows 10 και Windows 11. Θα πρέπει να εξετάσετε το ενδεχόμενο να ενεργοποιήσετε το Credential Guard εάν χειρίζεστε ή έχετε πρόσβαση σε ευαίσθητα δεδομένα τοπικά ή απομακρυσμένα σε έναν τομέα ή ομάδα εργασίας των Windows.
Τι είναι ακριβώς το Credential Guard;
Όταν εκκινείτε τον υπολογιστή σας, μια διαδικασία που ονομάζεται Υπηρεσία διακομιστή τοπικής ασφάλειας (LSASS) επαληθεύει τα διαπιστευτήρια σύνδεσης και σας εκχωρεί πρόσβαση. Το LSASS αποθηκεύει επίσης αυτά τα διαπιστευτήρια (
κρυπτογραφημένους κωδικούς πρόσβασης, κατακερματισμοί NT, κατακερματισμοί LM και εισιτήρια Kerberos) στη μνήμη κατά τη διάρκεια ενεργών περιόδων σύνδεσης, επομένως δεν χρειάζεται να εισάγετε ξανά τον κωδικό πρόσβασής σας κάθε φορά που χρειάζεται να κάνετε αλλαγές ή να αποκτήσετε πρόσβαση σε αρχεία.Η αποθήκευση των διαπιστευτηρίων στη μνήμη κατά τη διάρκεια των συνεδριών είναι χρήσιμη σε σύγκριση με την εναλλακτική: μη αυτόματο έλεγχο ταυτότητας σε κάθε βήμα. Ομολογουμένως, η εισαγωγή διαπιστευτηρίων ελέγχου ταυτότητας πότε πότε βελτιώνει την ασφάλεια. Αλλά τα διαπιστευτήρια ελέγχου ταυτότητας είναι μεγάλα, ειδικά στις κατακερματισμένες μορφές τους. Θα ήταν ιδιαίτερα άβολο εάν έπρεπε να κάνετε μια αλλαγή γρήγορα και ιδιαίτερα απογοητευτικό εάν κάνατε λάθος και έπρεπε να εισαγάγετε ξανά έναν κωδικό πρόσβασης. Και αν πρέπει να γράψετε τον κωδικό πρόσβασης κάπου, αυτό θα μπορούσε ενδεχομένως να αυξήσει τον κίνδυνο ασφάλειάς σας. Το LSASS χειρίζεται τους ελέγχους ταυτότητας, ώστε η χρήση της συσκευής σας να είναι αποτελεσματική.
Αλλά όπως μπορείτε να φανταστείτε, με οτιδήποτε αποθηκεύει πολύτιμα, ευαίσθητα δεδομένα, το LSASS είναι ένα τζάκποτ για τους χάκερ. Μπορούν να συμβιβάσουν το LSASS μέσω επιθέσεις κλοπής διαπιστευτηρίων χρησιμοποιώντας εργαλεία όπως το Mimikatz, το Crackmapexec και το Lsassy. Οι χάκερ χρησιμοποιούν αυτά τα εργαλεία για να διαγράψουν, να αντικαταστήσουν ή να αλλάξουν το πραγματικό αρχείο συστήματος (lsass.exe).
Υπάρχουν τρόποι να σταματήσετε την κλοπή διαπιστευτηρίων προτού ένας χάκερ κάνει τεράστια ζημιά και είναι δυνατό να σταματήσετε μια επίθεση μόλις την ανακαλύψετε. Ωστόσο, είναι καλύτερα να αποτρέψετε την επίθεση εξαρχής. Το Credential Guard προστατεύει από κακόβουλες επιθέσεις δημιουργώντας μια απομονωμένη διαδικασία LSASS (LSAIso) που αποθηκεύει δεδομένα ελέγχου ταυτότητας με ασφάλεια.
Γιατί πρέπει να ενεργοποιήσετε το Credential Guard στον υπολογιστή σας
Η δυνατότητα ασφαλείας απομονώνει τα διαπιστευτήρια σύνδεσης από την υπόλοιπη μνήμη του συστήματος καθώς και την κύρια διαδικασία (lsass.exe) που χειρίζεται τον έλεγχο ταυτότητας. Άρα, ουσιαστικά είναι ένα μαύρο κουτί.
Θα πρέπει να χρησιμοποιήσετε το Credential Guard εάν έχετε πολλούς υπολογιστές που αποτελούν μέρος ενός τομέα ή μιας ομάδας εργασίας. Γιατί; Ένας εισβολέας που παραβιάζει μια συσκευή με διαπιστευτήρια σύνδεσης διαχειριστή μπορεί να θέσει σε κίνδυνο ολόκληρο το δίκτυο. Η ενεργοποίηση αυτής της δυνατότητας αποτρέπει αποτελεσματικά έναν εισβολέα από το να αποκτήσει τον απόλυτο έλεγχο των ευαίσθητων πληροφοριών εάν θέσει σε κίνδυνο ένα σύστημα.
Το σύστημά σας πρέπει να πληροί τις απαιτήσεις
Το Windows Credential Guard είναι αποκλειστικό για τις γεύσεις Enterprise και Pro των Windows 10 και 11. Οι πρόσφατες εκδόσεις των Windows Servers διαθέτουν επίσης αυτή τη δυνατότητα ασφαλείας, αλλά η συσκευή πρέπει να πληροί αυστηρές απαιτήσεις υλικού και λογισμικού.
Για αρχή, η συσκευή πρέπει να διαθέτει CPU 64-bit (για να υποστηρίζει ασφάλεια βασισμένη σε εικονικοποίηση) και ασφαλή εκκίνηση. Η Microsoft συνιστά επίσης να έχετε Μονάδα αξιόπιστης πλατφόρμας (TPM) εκδόσεις 1.2 ή 2.0 και κλείδωμα UEFI (για να αποτρέψει τους εισβολείς να παρακάμψουν τη ρύθμιση ασφαλείας με το regedit). Μπορείτε να ελέγξετε το βασικές απαιτήσεις με βάση τον υπολογιστή ή τον διακομιστή που θέλετε να προστατεύσετε.
Πώς να ενεργοποιήσετε το Credential Guard στα Windows
Ο υπολογιστής ή ο διακομιστής σας θα έχει ενεργοποιημένο το Credential Guard από προεπιλογή, εάν πληροί τις βασικές απαιτήσεις της Microsoft. Για να ελέγξετε εάν αυτή η δυνατότητα ασφαλείας είναι ήδη ενεργοποιημένη, πατήστε Αρχή στη συνέχεια πληκτρολογήστε "msinfo32.exe". Επιλέγω Πληροφορίες συστήματος > Σύνοψη συστήματος. Θα πρέπει να δείτε τις "Υπηρεσίες ασφαλείας που βασίζονται σε εικονικοποίηση που εκτελούνται" και το "Credential Guard, Hypervisor Enforced Code Integrity" το ένα δίπλα στο άλλο.
Εάν το Credential Guard δεν είναι ενεργοποιημένο στον υπολογιστή σας, μπορείτε να ενεργοποιήσετε τη δυνατότητα με τρεις κύριους τρόπους: μέσω της Πολιτικής ομάδας, της επεξεργασίας του μητρώου των Windows ή της χρήσης του Microsoft Intune. Υπάρχει επίσης η επιλογή να ενεργοποιήσετε το Credential Guard με κλείδωμα UEFI, εάν είστε ισχυρός χρήστης. Οι περισσότεροι διαχειριστές θα βρίσκουν ευκολότερη την ενεργοποίηση αυτής της λειτουργίας με την Πολιτική ομάδας.
Πώς να απενεργοποιήσετε το Credential Guard στα Windows
Παρά τη χρησιμότητά του στην πρόληψη της κλοπής διαπιστευτηρίων και των επιθέσεων Pass the Hash, το Credential Guard θα προκαλέσει διακοπή λειτουργίας ορισμένων υπηρεσιών και πρωτοκόλλων. Για παράδειγμα, η ενεργοποίηση της δυνατότητας ασφαλείας δεν επιτρέπει τη χρήση των Windows To Go, της μη περιορισμένης εκχώρησης Kerberos και της κρυπτογράφησης DES.
Επίσης, δεν μπορείτε να χρησιμοποιήσετε τρίτους παρόχους υποστήριξης ασφαλείας (SSP) επειδή είναι ευάλωτοι σε επιθέσεις κλοπής διαπιστευτηρίων. Τα τελικά σημεία Wi-Fi και VPN που βασίζονται στο MS-CHAPv2 είναι εξίσου ευάλωτα και θα απενεργοποιηθούν όταν ενεργοποιήσετε το Credentials Guard.
Εάν χρειάζεστε ορισμένες από τις προαναφερθείσες λειτουργίες, μπορείτε να απενεργοποιήσετε το Credential Guard για όσο χρόνο χρειάζεστε. Αλλά φροντίστε να ορίσετε μια υπενθύμιση για να την ενεργοποιήσετε ξανά.
Απενεργοποίηση με το πρόγραμμα επεξεργασίας πολιτικής ομάδας
Η πρώτη σας επιλογή είναι να απενεργοποιήσετε το Credential Guard αλλάζοντας τις ρυθμίσεις της πολιτικής ομάδας.
Για να το κάνετε αυτό, πατήστε Αρχή και πληκτρολογήστε "gpedit" και μετά επιλέξτε Επεξεργασία πολιτικής ομάδας. Παω σε Διαμόρφωση υπολογιστή > Πρότυπα διαχείρισης > Σύστημα > Προφυλακτήρας συσκευής > Ενεργοποίηση ασφάλειας βάσει εικονικοποίησης > Επιλογές. Ορίστε το "Credential Guard Configuration" σε άτομα με ειδικές ανάγκες, Κάντε κλικ Εντάξει για να αποθηκεύσετε την αλλαγή και μετά να επανεκκινήσετε τον υπολογιστή σας.
Απενεργοποίηση με Regedit
Αυτή η επιλογή είναι εξαιρετική εάν έχετε ενεργοποιήσει το Defender Credential Guard χρησιμοποιώντας διαφορετική μέθοδο από το UEFI Lock and Group Policy. Για να απενεργοποιήσετε το Credential Guard με το Regedit, πατήστε Αρχή και πληκτρολογήστε "regedit". Επιλέγω Επεξεργαστής Μητρώου. Αρχικά, μεταβείτε στη διαδρομή αρχείου HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags και ορίστε την τιμή σε "0".
Στη συνέχεια, μεταβείτε στο HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags και ορίστε την τιμή σε "0".
Μπορείτε επίσης να ακολουθήσετε οδηγίες της Microsoft για απενεργοποίηση του Credential Guard με κλείδωμα UEFI ή απενεργοποίηση της δυνατότητας ασφαλείας σε εικονική μηχανή.
Η ενεργοποίηση του Credential Guard είναι μόνο μια πρόληψη
Ο εμπειρικός κανόνας είναι να εγκαταστήσετε έναν φράχτη γύρω από τον κήπο σας πριν από τη φύτευση, ειδικά εάν ζείτε σε μια περιοχή με ζώα σε ελεύθερη περιπλάνηση. Αυτός ο φράχτης θα ήταν άχρηστος αν έχετε ήδη κατσίκες στο κτήμα σας—σε αυτή την περίπτωση, θα πρέπει να τις διώξετε.
Η ίδια αρχή ισχύει για την προστασία των ευαίσθητων δεδομένων σύνδεσής σας. Όταν είναι ενεργοποιημένο, το Credential Guard αποτρέπει τους χάκερ από το να κλέψουν τα δεδομένα σας. Ωστόσο, θα ήταν αναποτελεσματικό εάν ο εισβολέας έχει ήδη εγκατασταθεί στο δίκτυό σας ή έχει παραβιάσει τη συσκευή. Επομένως, εάν αποφασίσετε να χρησιμοποιήσετε αυτήν τη δυνατότητα ασφαλείας σε έναν νέο υπολογιστή εργασίας, βεβαιωθείτε ότι είναι ενεργοποιημένη προτού ο υπολογιστής ενταχθεί στον τομέα ή την ομάδα εργασίας των Windows.