Windows Credential Guard er en sikkerhetsfunksjon som sikrer autentiseringslegitimasjon mot ondsinnede angrep. Det forhindrer hackere i å tukle med systemverktøy eller kjøre ondsinnede koder på datamaskinen din. Denne funksjonen er tilgjengelig på Enterprise og Pro-varianter av Windows 10 og Windows 11. Du bør vurdere å aktivere Credential Guard hvis du håndterer eller får tilgang til sensitive data lokalt eller eksternt på et Windows-domene eller en arbeidsgruppe.
Hva er egentlig Credential Guard?
Når du starter datamaskinen, autentiserer en prosess kalt Local Security Authority Server Service (LSASS) påloggingsinformasjonen og gir deg tilgang. LSASS lagrer også disse legitimasjonene (krypterte passord, NT-hasher, LM-hasher og Kerberos-billetter) i minnet under aktive økter, slik at du ikke trenger å skrive inn passordet ditt hver gang du trenger å gjøre endringer eller få tilgang til filer.
Å lagre legitimasjonen i minnet under økter er praktisk sammenlignet med alternativet: manuell identitetsautentisering ved hvert trinn. Gitt, å angi autentiseringslegitimasjon nå og da forbedrer sikkerheten. Men autentiseringslegitimasjonen er lang, spesielt i sine hashed-former. Det ville være spesielt upraktisk hvis du måtte gjøre en endring raskt og spesielt frustrerende hvis du gjorde en feil og måtte skrive inn et passord på nytt. Og hvis du må skrive ned passordet et sted, kan dette potensielt øke sikkerhetsrisikoen din. LSASS håndterer autentiseringer, slik at enhetsbruken din er effektiv.
Men som du kan forestille deg, med alt som lagrer verdifulle, sensitive data, er LSASS en jackpot for hackere. De kan kompromittere LSASS gjennom legitimasjonstyveangrep ved hjelp av verktøy som Mimikatz, Crackmapexec og Lsassy. Hackere bruker disse verktøyene til å slette, erstatte eller endre den virkelige systemfilen (lsass.exe).
Det finnes måter å stoppe legitimasjonstyveri før en hacker gjør enorm skade, og det er mulig å stoppe et angrep når du har oppdaget det. Imidlertid er det bedre å forhindre angrepet i utgangspunktet. Credential Guard beskytter mot ondsinnede angrep ved å lage en isolert LSASS-prosess (LSAIso) som lagrer autentiseringsdata sikkert.
Hvorfor du bør aktivere Credential Guard på PC-en din
Sikkerhetsfunksjonen isolerer påloggingsinformasjon fra resten av systemets minne, så vel som hovedprosessen (lsass.exe) som håndterer autentisering. Så det er egentlig en svart boks.
Du bør bruke Credential Guard hvis du har flere datamaskiner som er en del av et domene eller en arbeidsgruppe. Hvorfor? En angriper som kompromitterer en enhet med admin-påloggingsinformasjon kan kompromittere hele nettverket. Aktivering av denne funksjonen forhindrer effektivt en angriper fra å få total kontroll over sensitiv informasjon hvis de kompromitterer et system.
Systemet ditt må oppfylle kravene
Windows Credential Guard er eksklusivt for Enterprise og Pro-variantene til Windows 10 og 11. Nyere versjoner av Windows-servere har også denne sikkerhetsfunksjonen, men enheten må oppfylle strenge krav til maskinvare og programvare.
For det første må enheten ha en 64-bits CPU (for å støtte virtualiseringsbasert sikkerhet) og sikker oppstart. Microsoft anbefaler også å ha Trusted Platform Module (TPM) versjon 1.2 eller 2.0 og UEFI-lås (for å hindre angripere i å omgå sikkerhetsoppsettet med regedit). Du kan sjekke grunnleggende krav basert på datamaskinen eller serveren du vil beskytte.
Slik aktiverer du Credential Guard på Windows
Datamaskinen eller serveren din vil ha Credential Guard aktivert som standard hvis den oppfyller Microsofts grunnlinjekrav. For å sjekke om denne sikkerhetsfunksjonen allerede er aktivert, trykk Start skriv deretter "msinfo32.exe". Plukke ut Systeminformasjon > Systemsammendrag. Du bør se "Virtualiseringsbaserte sikkerhetstjenester kjører" og "Credential Guard, Hypervisor enforced Code Integrity" ved siden av hverandre.
Hvis Credential Guard ikke er aktivert på datamaskinen din, kan du aktivere funksjonen på tre hovedmåter: gjennom gruppepolicy, redigering av Windows-registeret eller ved å bruke Microsoft Intune. Det er også muligheten til å aktivere Credential Guard med UEFI-lås hvis du er en superbruker. De fleste administratorer vil finne det lettere å aktivere denne funksjonen med gruppepolicy.
Slik deaktiverer du Credential Guard på Windows
Til tross for dens nytte for å forhindre tyveri av legitimasjon og Pass the Hash-angrep, vil Credential Guard få noen tjenester og protokoller til å bryte. Aktivering av sikkerhetsfunksjonen forhindrer deg for eksempel fra å bruke Windows To Go, Kerberos ubegrenset delegering og DES-kryptering.
Du kan heller ikke bruke tredjeparts sikkerhetsstøtteleverandører (SSP-er) fordi de er sårbare for angrep på legitimasjonstyveri. Wi-Fi- og VPN-endepunkter basert på MS-CHAPv2 er like sårbare og vil bli deaktivert når du aktiverer Credentials Guard.
Hvis du trenger noen av de nevnte funksjonene, kan du deaktivere Credential Guard så lenge du trenger. Men husk å angi en påminnelse om å aktivere den på nytt.
Deaktivering med Group Policy Editor
Det første alternativet ditt er å deaktivere Credential Guard ved å endre gruppepolicyinnstillingene.
For å gjøre dette, trykk Start og skriv "gpedit", velg deretter Rediger gruppepolicy. Gå til Datamaskinkonfigurasjon > Administrative maler > System > Device Guard > Slå på virtualiseringsbasert sikkerhet > Alternativer. Sett "Credential Guard Configuration" til Funksjonshemmet, klikk OK for å lagre endringen og start deretter datamaskinen på nytt.
Deaktivering med Regedit
Dette alternativet er flott hvis du har aktivert Defender Credential Guard ved å bruke en annen metode enn UEFI Lock og Group Policy. For å deaktivere Credential Guard med Regedit, trykk Start og skriv "regedit". Plukke ut Registerredigering. Først, naviger til filbanen HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags og sett verdien til "0".
Deretter går du tilbake til HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags og setter verdien til "0".
Du kan også følge med Microsofts instruksjoner for å deaktivere Credential Guard med UEFI-lås eller deaktivere sikkerhetsfunksjonen på en virtuell maskin.
Aktivering av Credential Guard er bare en forebygging
Tommelfingerregelen er å installere et gjerde rundt hagen din før planting, spesielt hvis du bor i et område med husdyr på frifot. Det gjerdet ville være ubrukelig hvis du allerede har geiter på eiendommen din - i så fall må du jage dem ut.
Det samme prinsippet gjelder for å beskytte dine sensitive påloggingsdata. Når den er aktivert, forhindrer Credential Guard at hackere stjeler dataene dine. Det ville imidlertid være ineffektivt hvis angriperen allerede har etablert seg i nettverket ditt eller kompromittert enheten. Så hvis du bestemmer deg for å bruke denne sikkerhetsfunksjonen på en ny arbeidsdatamaskin, sørg for at den er aktivert før datamaskinen blir med i Windows-domenet eller arbeidsgruppen.