Windows Credential Guard je sigurnosna značajka koja štiti vjerodajnice za provjeru autentičnosti od zlonamjernih napada. Sprječava hakere od petljanja s alatima sustava ili pokretanja zlonamjernih kodova na vašem računalu. Ova značajka dostupna je u izdanjima Enterprise i Pro sustava Windows 10 i Windows 11. Trebali biste razmisliti o omogućavanju Credential Guarda ako rukujete ili pristupate osjetljivim podacima lokalno ili udaljeno na Windows domeni ili radnoj grupi.
Što je točno Credential Guard?
Kada pokrenete svoje računalo, proces koji se zove Local Security Authority Server Service (LSASS) provjerava vjerodajnice za prijavu i odobrava vam pristup. LSASS također pohranjuje ove vjerodajnice (šifrirane lozinke, NT hashes, LM hashes i Kerberos tiketi) u memoriji tijekom aktivnih sesija, tako da ne morate ponovno unositi svoju lozinku svaki put kada trebate napraviti promjene ili pristupiti datotekama.
Spremanje vjerodajnica u memoriju tijekom sesija je zgodno u usporedbi s alternativom: ručna provjera autentičnosti identiteta na svakom koraku. Doduše, unošenje vjerodajnica za autentifikaciju s vremena na vrijeme poboljšava sigurnost. Ali vjerodajnice za autentifikaciju su dugačke, posebno u raspršenim oblicima. Bilo bi posebno nezgodno ako biste morali brzo napraviti promjenu i posebno frustrirajuće ako ste pogriješili i morali ponovno unijeti lozinku. A ako morate negdje zapisati lozinku, to bi potencijalno moglo povećati vaš sigurnosni rizik. LSASS upravlja provjerama autentičnosti, tako da je korištenje vašeg uređaja učinkovito.
Ali kao što možete zamisliti, sa svime što pohranjuje vrijedne, osjetljive podatke, LSASS je jackpot za hakere. Oni mogu ugroziti LSASS putem napadi krađom vjerodajnica pomoću alata kao što su Mimikatz, Crackmapexec i Lsassy. Hakeri koriste ove alate za brisanje, zamjenu ili promjenu stvarne sistemske datoteke (lsass.exe).
Postoje načini za zaustavljanje krađe vjerodajnica prije nego što haker napravi ogromnu štetu, a moguće je zaustaviti napad nakon što ga otkrijete. Međutim, bolje je spriječiti napad na prvom mjestu. Credential Guard štiti od zlonamjernih napada stvaranjem izoliranog LSASS procesa (LSAIso) koji sigurno pohranjuje podatke za provjeru autentičnosti.
Zašto biste trebali omogućiti Credential Guard na svom računalu
Sigurnosna značajka izolira vjerodajnice za prijavu od ostatka memorije sustava kao i od glavnog procesa (lsass.exe) koji upravlja autentifikacijom. Dakle, to je u biti crna kutija.
Trebali biste koristiti Credential Guard ako imate nekoliko računala koja su dio domene ili radne grupe. Zašto? Napadač koji kompromitira uređaj s administratorskim vjerodajnicama za prijavu može kompromitirati cijelu mrežu. Omogućavanje ove značajke učinkovito sprječava napadača da dobije potpunu kontrolu nad osjetljivim informacijama ako ugrozi sustav.
Vaš sustav mora ispunjavati zahtjeve
Windows Credential Guard ekskluzivan je za Enterprise i Pro verzije Windowsa 10 i 11. Novije verzije Windows poslužitelja također imaju ovu sigurnosnu značajku, ali uređaj mora ispunjavati stroge hardverske i softverske zahtjeve.
Za početak, uređaj mora imati 64-bitni CPU (za podršku sigurnosti temeljene na virtualizaciji) i sigurno pokretanje. Microsoft također preporučuje da imate Trusted Platform Module (TPM) verzije 1.2 ili 2.0 i UEFI zaključavanje (kako bi se spriječilo napadače da zaobiđu sigurnosne postavke pomoću regedita). Možete provjeriti osnovni zahtjevi na temelju računala ili poslužitelja koje želite zaštititi.
Kako omogućiti Credential Guard u sustavu Windows
Vaše računalo ili poslužitelj imat će prema zadanim postavkama omogućen Credential Guard ako ispunjava Microsoftove osnovne zahtjeve. Da biste provjerili je li ova sigurnosna značajka već omogućena, pritisnite Početak zatim upišite "msinfo32.exe". Izaberi Informacije o sustavu > Sažetak sustava. Trebali biste vidjeti "Sigurnosne usluge temeljene na virtualizaciji pokrenute" i "Credential Guard, Hypervisor enforced Code Integrity" jednu pored druge.
Ako Credential Guard nije omogućen na vašem računalu, značajku možete omogućiti na tri glavna načina: putem grupnih pravila, uređivanjem Windows registra ili korištenjem Microsoft Intune. Postoji i opcija da omogućite Credential Guard s UEFI zaključavanjem ako ste iskusan korisnik. Većina administratora će lakše omogućiti ovu značajku s pravilima grupe.
Kako onemogućiti Credential Guard u sustavu Windows
Unatoč svojoj korisnosti u sprječavanju krađe vjerodajnica i napada Pass the Hash, Credential Guard uzrokovat će prekid rada nekih usluga i protokola. Na primjer, omogućavanje sigurnosne značajke sprječava vas da koristite Windows To Go, Kerberos neograničeno delegiranje i DES enkripciju.
Također, ne možete koristiti treće strane pružatelje sigurnosne podrške (SSP) jer su ranjivi na napade krađe vjerodajnica. Wi-Fi i VPN krajnje točke temeljene na MS-CHAPv2 jednako su ranjive i bit će onemogućene kada omogućite Credentials Guard.
Ako trebate neke od gore navedenih značajki, možete onemogućiti Credential Guard onoliko dugo koliko vam je potrebno. Ali svakako postavite podsjetnik da ga ponovno omogućite.
Onemogućivanje pomoću uređivača pravila grupe
Vaša prva opcija je da onemogućite Credential Guard promjenom postavki pravila grupe.
Da biste to učinili, pritisnite Početak i upišite “gpedit”, zatim odaberite Uredite pravila grupe. Ići Računalna konfiguracija > Administrativni predlošci > Sustav > Zaštita uređaja > Uključi sigurnost temeljenu na virtualizaciji > Opcije. Postavite "Credential Guard Configuration" na Onemogućeno, kliknite u redu da biste spremili promjenu, a zatim ponovno pokrenite računalo.
Onemogućavanje s Regeditom
Ova je opcija izvrsna ako ste omogućili Defender Credential Guard korištenjem različite metode od UEFI Lock i Group Policy. Da biste onemogućili Credential Guard s Regeditom, pritisnite Početak i upišite “regedit”. Izaberi Urednik registra. Prvo idite na stazu datoteke HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags i postavite vrijednost na "0".
Zatim se vratite na HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags i postavite vrijednost na "0".
Također možete pratiti Microsoftove upute za onemogućavanje Credential Guarda s UEFI zaključavanjem ili onemogućavanje sigurnosne značajke na virtualnom računalu.
Omogućavanje Credential Guarda samo je prevencija
Osnovno pravilo je postaviti ogradu oko svog vrta prije sadnje, osobito ako živite u području gdje se stoka slobodno kreće. Ta bi ograda bila beskorisna ako već imate koze na svom imanju - u tom slučaju biste ih morali istjerati.
Isti princip vrijedi i za zaštitu vaših osjetljivih podataka za prijavu. Kada je omogućen, Credential Guard sprječava hakere da vam ukradu podatke. Međutim, bilo bi neučinkovito ako se napadač već uspostavio u vašoj mreži ili kompromitirao uređaj. Dakle, ako odlučite koristiti ovu sigurnosnu značajku na novom radnom računalu, provjerite je li omogućena prije nego što se računalo pridruži Windows domeni ili radnoj grupi.