የክሬዲት ጠባቂ ምንድን ነው እና እንዴት ገባሪ መሆኑን ማረጋገጥ እንደሚቻል

በዊንዶውስ ውስጥ የምስክር ወረቀቶችን መጠበቅ የሳይበር ደህንነትን በቁም ነገር ለሚመለከት ለማንኛውም ኩባንያ ወሳኝ ተግባር ሆኗል። አንድ ተጠቃሚ በገባ ቁጥር የምስክር ወረቀቶች ይፈጠራሉ እና ይከማቻሉ። እጅግ በጣም ጠቃሚ የማረጋገጫ ሚስጥሮች (ሃሾች፣ ​​ቲኬቶች፣ ቶከኖች፣ ወዘተ.) እነዚህም በአጥቂ እጅ ውስጥ ከወደቁ፣ ልክ እንደ ህጋዊ ተጠቃሚ በአውታረ መረቡ ውስጥ እንዲንቀሳቀሱ ያስችላቸዋል። የCredential Guard ተግባር በትክክል የሚጀመረው እዚህ ላይ ነው።

የዊንዶውስ ተከላካይ የምስክር ወረቀት ጥበቃ (Windows Defender Credential Guard) የደህንነት ባህሪ ሲሆን ይህም የሚከተሉትን ተግባራት ያከናውናል በቨርቹዋልላይዜሽን ላይ የተመሠረተ ደህንነት (VBS) እነዚያን ምስጢሮች ለይቶ ማውጣት እና "መደበኛ" ኦፕሬቲንግ ሲስተም ወይም ከፍ ያለ መብቶች ያሉት ማልዌር እንዳይደርሱባቸው ለመከላከል። ምንም እንኳን የብር ነጥበ ምልክት ባይሆንም እና ሁሉንም አይነት የምስክር ወረቀቶች ወይም ሁሉንም የጥቃት ቬክተሮች ባይሸፍን፣ እንደ ፓስ-ዘ-ሃሽ እና ቲኬትን ማለፍእንዲሁም በብዙ ሁኔታዎች ውስጥ እንደ ሚሚካትዝ ያሉ መሳሪያዎች።

የዊንዶውስ ተከላካይ የምስክር ወረቀት ጠባቂ በትክክል ምንድን ነው?

የCredential Guard የዊንዶውስ ባህሪ ለሚከተሉት ዓላማዎች የተነደፈ ነው የጎራ ምስክርነቶችን እና ሌሎች የማረጋገጫ ምስጢሮችን ይጠብቁ ይህ ቴክኖሎጂ በቀጥታ ከስርዓት ማህደረ ትውስታ ለማንበብ ከሚሞክሩ ጥቃቶች ይጠብቃል። ለመጀመሪያ ጊዜ በዊንዶውስ 10 ኢንተርፕራይዝ እና በዊንዶውስ ሰርቨር 2016 ላይ ታይቷል፣ እና አሁንም በኋለኞቹ የዊንዶውስ 11 እና የዊንዶውስ ሰርቨር ስሪቶች ውስጥ ይገኛል።

በአጠቃላይ ሲታይ፣ Credential Guard የደህንነት ሂደቱን በከፊል በ VBS ላይ ተግባራዊ ለማድረግ ይተማመናል። በሃይፐርቪዘር የተነጠለ አካባቢከዋናው ኦፕሬቲንግ ሲስተም የተለየ። በባህላዊው የአካባቢ ደህንነት ባለስልጣን (LSA) ሂደት ውስጥ በቀጥታ ከሚኖሩት ሚስጥሮች ይልቅ (lsass.exe)፣ በተጠበቀ እና ገለልተኛ ሂደት ውስጥ የተከማቹ ናቸው፣ ብዙውን ጊዜ የሚተዳደሩት በ LsaIso.exe, ይህም በጣም መብት ባለው እና በታመነ ኮድ ብቻ ሊደረስበት ይችላል።

ይህ መለያየት የአስተዳዳሪ መብቶችን በቀላሉ ያገኘ ማልዌርን ለመከላከል ያለመ ነው የLSASS ማህደረ ትውስታን አስወግድ በCredential Manager ውስጥ የተከማቹ የNTLM ሃሾችን፣ የKerberos ቲኬቶችን ወይም ምስክርነቶችን ለማውጣት። አቀራረቡ የማረጋገጫ ፕሮቶኮሎችን መቀየር ሳይሆን ምስክርነቶች በማህደረ ትውስታ ውስጥ የት እና እንዴት እንደሚቀመጡ ደህንነት ለመጠበቅ.

በCredential Guard የተጠበቁ ሚስጥሮች እና አገልግሎቶች

ይህ ባህሪ በተለምዶ ለአጥቂዎች ዋና ኢላማ የነበሩ የተለያዩ የምስክር ወረቀቶችን ይከላከላል። Credential Guard ከሚጠብቃቸው ሚስጥሮች መካከል በዋናነት ከሚከተሉት ጋር የተያያዙ ናቸው፡

• ኤንቲኤምኤልለማረጋገጫነት የሚያገለግሉ የNTLM የይለፍ ቃል ሃሾች።
• ከርቤሮስበተለይም፣ ሌሎች የአገልግሎት ትኬቶችን እንዲጠይቁ የሚያስችልዎትን የቲኬት ስጦታ ትኬት (TGT)።
• የምስክርነት አስተዳዳሪ፦ በመተግበሪያዎች እና አገልግሎቶች የተከማቹ የጎራ ምስክርነቶች።
• አካባቢያዊ እና የርቀት መግቢያዎች በጎራ ምስክርነቶች ላይ የተመሰረቱ።

በቀደሙት የዊንዶውስ ስሪቶች ውስጥ፣ እነዚህ ምስጢሮች በሂደቱ ማህደረ ትውስታ ውስጥ ይኖሩ ነበር። LSASS ተደራሽ በሆነ መንገድ ከፍ ያለ መብት ላለው አጥቂ። የCredential Guard ነቅቶ እያለ፣ እነዚያን ምስጢሮች መደበኛውን የስርዓተ ክወና ማህደረ ትውስታ ለማንበብ ለሚሞክሩ መሳሪያዎች በቀጥታ የማያጋልጥ የተገለለ የLSA ሂደት ይሰራል።

ቨርቹዋላይዜሽን-ተኮር ደህንነት (VBS) እና ቨርቹዋል ሴኩሪቲ ሞድ (VSM) እንዴት እንደሚሰሩ

የCredential Guard ቁልፍ የሆነው VBS ሲሆን የዊንዶውስ ሃይፐርቪዘርን ለመፍጠር የሚጠቀምበት ቴክኖሎጂ ነው። የተለዩ የማስፈጸሚያ አካባቢዎች በተመሳሳይ አካላዊ ማሽን ውስጥ። በዚያ አካባቢ፣ ብዙ ጊዜ ምናባዊ ሴኩሪቲ ሞድ (VSM) በመባል የሚታወቀው፣ የማረጋገጫ ሚስጥሮችን የሚያስተዳድሩ የደህንነት አገልግሎቶች ይሰራሉ።

የCredential Guard ንቁ ሲሆን፣ ምስጢሮች በVSM ውስጥ ባለው ማህደረ ትውስታ ውስጥ ይቀመጣሉ እንጂ በVSM ውስጥ አይቀመጡም። መደበኛ የክወና ስርዓት ማህደረ ትውስታ ቦታሃይፐርቪዘሩ ከፍተኛ መብት የተሰጣቸው እና የተረጋገጠ ኮድ ብቻ ሊደርሱባቸው እንደሚችሉ ያረጋግጣል። በዚህ መንገድ፣ አንድ አጥቂ የስርዓተ ክወናውን ከአስተዳዳሪ መብቶች ጋር ቢያበላሽም፣ እነዚያን ምስጢሮች በቀጥታ የማንበብ እድላቸው በእጅጉ ይቀንሳል።

ተኳሃኝ የሆነ TPM 2.0ን በሚያካትት ዘመናዊ ሃርድዌር ላይ፣ የVSM ቋሚ ውሂብ በ የቪኤስኤም ዋና ቁልፍይህ ቁልፍ በቲፒኤም እና በጽኑዌር ደረጃ ባለው የእምነት ስልቶች ተከማችቶ የተጠበቀ ነው። በዚህም ምክንያት፣ አንድ ሰው የማስነሻ ሂደቱን ለማበላሸት ወይም ዲስክን ለመቅዳት ቢሞክርም፣ ከተረጋገጠ አካባቢ ውጭ የተጠበቁ ምስጢሮችን ማግኘት አይችሉም።.

እንዲሁም Credential Guard የሚከተሉትን መረጃዎች በዲስክ ላይ እንደማያከማች ልብ ማለት ያስፈልጋል፡ የNTLM ሃሽ ወይም TGTእነዚህ በእያንዳንዱ መግቢያ ላይ እንደገና የሚፈጠሩ እና ዳግም በሚነሱበት ጊዜ መካከል የሚጠፉ ናቸው፣ ስለዚህ ከተዘጋ በኋላ ደህንነቱ የተጠበቀ ሆኖ ለመቆየት በቀጥታ በVSM ማስተር ቁልፍ ወይም በTPM ላይ አይመሰረቱም።

የCredential Guard ጥበቃ የማያደርጋቸው ገደቦች እና ምስክርነቶች

ምንም እንኳን ጥቅሞቹ ቢኖሩም፣ የCredential Guard ግልጽ የሆኑ ገደቦችን መረዳት ያስፈልጋል ከመጠን በላይ በራስ መተማመንን ለማስወገድ። ከጥበቃ ወሰን ውጭ የሚወድቁ ወይም ባህሪው ንቁ በሚሆንበት ጊዜ በተመሳሳይ መንገድ የማይሰሩ የምስክር ወረቀቶች እና የማረጋገጫ ፍሰቶች አሉ።

በአንድ በኩል፣ የCredential Guard ሲነቃ፣ እንደ NTLMv1፣ MS-CHAPv2፣ Digest እና CredSSP አስቀድሞ ከገባ ክፍለ ጊዜ የተገኙ ምስክርነቶችን መጠቀም አይችሉም። ይህ ማለት ከእነዚህ ፕሮቶኮሎች ጋር አንድ ጊዜ በመለያ መግባት (SSO) መስራት ያቆማል ማለት ነው። በእነሱ ላይ የተመሰረቱ መተግበሪያዎች የተጠቃሚ ስም እና የይለፍ ቃል እንደገና መጠየቅ ወይም በዊንዶውስ ማከማቻ ውስጥ የተከማቹ ምስክርነቶችን መጠቀም ሊኖርባቸው ይችላል። በእነዚህ አጋጣሚዎች በCurential Guard የማይጠበቁ.

በተጨማሪም፣ ከዚህ ተግባር ወሰን ውጭ የሆኑ የምስክርነት አስተዳደር ዘዴዎች አሉ፣ ለምሳሌ፡

• የሶስተኛ ወገን ሶፍትዌር የይለፍ ቃሎችን ወይም ቶከኖችን ከመደበኛ የዊንዶውስ መሠረተ ልማት ውጭ የሚያከማች።
• አካባቢያዊ መለያዎች እና የማይክሮሶፍት መለያዎች, እነዚህም እንደ የጎራ ማረጋገጫዎች አይነት ማግለል አይወዱም።
• አክቲቭ ዳይሬክተሪ የውሂብ ጎታዎች በዊንዶውስ ሰርቨር ጎራ መቆጣጠሪያዎች ላይ ተስተናግዷል። Credential Guard እንደ Remote Desktop Gateway ባሉ አገልግሎቶች ውስጥ ያሉ የActive Directory የውሂብ ጎታዎችን ወይም የምስክርነት መግቢያ ቧንቧዎችን በቀጥታ አይጠብቅም።
• የቁልፍ ሎገሮች እና ሌሎች የግቤት ቀረጻ መሳሪያዎች፡ አጥቂው የቁልፍ ጭነቶችን ከመዘገበ፣ የይለፍ ቃሉን በLSASS ወይም በአሸዋ ሳጥኑ ውስጥ ከመቀመጡ በፊት እንኳን ሊሰርቁት ይችላሉ።
• አካላዊ ጥቃቶች ወደ መሳሪያዎቹ (ለምሳሌ፣ ትኩስ ማህደረ ትውስታ መዳረሻ ወይም የላቀ ቴክኒኮችን በመጠቀም የዲስክ ንባብ)።

እንዲሁም Credential Guard በማሽኑ ላይ ማልዌር ያለው አጥቂ መዳረሻ እንዳያገኝ እንደማያግደው ልብ ሊባል ይገባል። ትክክለኛ የምስክር ወረቀቶችን መብቶች ተጠቀም እነዚህ በተለዋጭ መንገዶች የተገኙ ናቸው። ለምሳሌ፣ አንድ አስተዳዳሪ አስቀድሞ በተጠለፈ ማሽን ውስጥ ከገባ፣ አጥቂው የNTLM ሃሽ ከአሸዋ ሳጥን አካባቢ ማውጣት ባይችልም እንኳ በፈቃዶቹ እርምጃዎችን ለመውሰድ ንቁ ክፍለ ጊዜውን መጠቀም ይችላል።

በሌላ በኩል ደግሞ፣ የተሸጎጡ የመግቢያ ምስክርነቶች የዊንዶውስ መግቢያዎች (ብዙውን ጊዜ "የተሸጎጡ መግቢያዎች" ይባላሉ) በሌሎች ኮምፒውተሮች ላይ እንደገና ጥቅም ላይ ሊውሉ የሚችሉ ምስክርነቶች ምድብ ውስጥ አይወድቁም። በአካባቢያዊ መዝገብ ቤት ውስጥ የሚቀመጡ ሲሆን ጎራው በማይገኝበት ጊዜ መግቢያዎችን ለማረጋገጥ ብቻ ያገለግላሉ። እነዚህ የሚተዳደሩት በደህንነት ፖሊሲ "በይነተገናኝ መግቢያ፡ ወደ መሸጎጫ የገቡ ቀደም ሲል የገቡ ቁጥሮች ብዛት" እና በCredential Guard በተለይ ጥበቃ አይደረግላቸውም።.

በመጨረሻም፣ የከርቤሮስ የአገልግሎት ቫውቸሮች ምንም እንኳን TGT ቢሆንም በCredential Guard ጥበቃ አይጠበቁም። እና Credential Guard ንቁ በሚሆንበት ጊዜ፣ Kerberos ያልተገደበ ውክልና ወይም የDES ምስጠራን አይፈቅድም፣ ለተጀመሩ ምስክርነቶችም ሆነ ለተጠየቁ ወይም ለተቀመጡ ምስክርነቶች።

የምስክር ወረቀት ስርቆት ጥቃቶች ላይ ያሉ ጥቅሞች

የCredential Guard ዋና ዓላማ የCredential "ስርቆት እና እንደገና ጥቅም ላይ ማዋል" ጥቃቶችን ማስቆም ነው፣ በተለይም፡

• ፓስ-ዘ-ሃሽ: በሌሎች ስርዓቶች ላይ ለማረጋገጥ የተሰረቁ የNTLM ሃሾችን እንደገና መጠቀም።
• ቲኬቱን ማለፍ፦ ከተበላሸ ማሽን የተገኘ የከርቤሮስ ቲኬቶችን (TGT ወይም አገልግሎት) አላግባብ መጠቀም።

በቪኤስኤም ውስጥ ያሉ ምስጢሮችን በማግለል እና ማን ሊደርስባቸው እንደሚችል በመገደብ፣ እንደ ሚሚካትዝ ያሉ መሳሪያዎችን የሚጠቀሙባቸው ብዙ ቴክኒኮች ታግደዋል። የLSASS ማህደረ ትውስታን አስወግድየCredential Guard በሌለበት አካባቢ፣ ሚሚካትዝ አጥቂው የአስተዳዳሪ መብቶችን ካገኘ በኋላ የNTLM ሃሾችን እና የKerberos ቲኬቶችን ብዙ ችግር ሳያጋጥመው ማውጣት ይችላል። የCredential Guard ሲነቃ፣ የተገለለው የLSA ሂደት እነዚህ ሚስጥሮች ከመደበኛው ኦፕሬቲንግ ሲስተም ተደራሽ በሆነ ማህደረ ትውስታ ውስጥ እንዳይገኙ ይከላከላል።

ቢሆንም፣ የCredential Guard የማይበገር እንዳልሆነ መረዳት አስፈላጊ ነው። ሚሚካትዝ እና ተመሳሳይ መሳሪያዎች አሁንም፣ ለምሳሌ፣ ማስረጃዎችን እየገቡ እያለ ይያዙስርዓቱ አስቀድሞ ከተጣለ እና ልዩ ተጠቃሚ በኋላ ላይ ከገባ፣ የሚሚካትዝ ደራሲ አጥቂው አስተዳዳሪው የምስክር ወረቀቶቹን ከመግባቱ በፊት የመጨረሻውን ነጥብ መቆጣጠር ከቻለ፣ አሁንም እነሱን ለመስረቅ መንገዶች እንዳሉ አስጠንቅቋል። በተጨማሪም፣ የCredential Guard የምስክር ወረቀቶቹን በተንኮል ከመጠቀም አይከላከልም... ሕጋዊ የውስጥ ተጠቃሚዎችአንድ ሰው ወደ አንድ ሀብት የመድረስ ፍቃድ ካለው፣ ይህ ቴክኖሎጂ ሚስጥራዊ መረጃዎችን ከመቅዳት አያግደውም።

በዊንዶውስ 11 እና በዊንዶውስ ሰርቨር በነባሪነት ነቅቷል

በቅርብ ጊዜ በስርዓቱ ስሪቶች ውስጥ፣ ማይክሮሶፍት አንድ እርምጃ ወደፊት ሄዶ የ... ቪቢኤስ እና የምስክር ወረቀት ጠባቂ በተወሰኑ መሳሪያዎች ላይ። ከዊንዶውስ 11፣ ስሪት 22H2 እና ዊንዶውስ ሰርቨር 2025 ጀምሮ፣ ዝቅተኛውን መስፈርት የሚያሟሉ ኮምፒውተሮች እነዚህን ባህሪያት በራስ-ሰር ያነቃሉ።

የፋብሪካው አቀማመጥ በተለምዶ ይከናወናል ያለ UEFI መቆለፊያይህ ማለት አስተዳዳሪዎች Credential Guard አስፈላጊ ነው ብለው ካሰቡት በርቀት ማሰናከል ይችላሉ ማለት ነው፣ ለምሳሌ፣ ከአሮጌ መተግበሪያ ጋር ባለው ወሳኝ ተኳሃኝነት አለመጣጣም ምክንያት። Credential Guard ሲነቃ፣ VBS በራስ-ሰር ይነቃል።

አንድ ቡድን አስቀድሞ የCredential Guard ባለቤት ከሆነ ማወቅ አስፈላጊ ነው። በግልጽ ተሰናክሏል ባህሪው በነባሪነት የነቃበት ወደ ዊንዶውስ ስሪት ከማሻሻልዎ በፊት፣ ከማሻሻያው በኋላ "የተሰናከለ" ሁኔታ ይጠበቃል። ግልጽ የሆነው ፖሊሲ ሁልጊዜ ከዳግም ማስነሳት በኋላ ከነባሪው ባህሪ ቅድሚያ ይሰጣል።

የሃርድዌር፣ የጽኑዌር እና የሶፍትዌር መስፈርቶች

የCredential Guard ውጤታማ ጥበቃ እንዲያቀርብ፣ መሳሪያው የሚከተሉትን መስፈርቶች ማሟላት አለበት ዝቅተኛ የሃርድዌር፣ የጽኑዌር እና የኦፕሬቲንግ ሲስተም መስፈርቶችሃርድዌርው በዘመናዊ እና በተሟላ ቁጥር፣ ሊደረስበት የሚችል የመከላከያ ደረጃ ይጨምራል።

ቁልፍ መስፈርቶች የሚከተሉትን ያካትታሉ፡

• 64-ቢት ሲፒዩከ ጋር የሃርድዌር ምናባዊ ድጋፍ.
• በቨርቹዋልላይዜሽን ላይ የተመሰረተ ደህንነት ገቢር የተደረገ (VBS)።
• ደህንነቱ የተጠበቀ ቡት ነቅቶ እና ተዋቅሯል።

በተጨማሪም፣ ሁልጊዜ ግዴታ ባይሆንም፣ የሚከተሉትን ማድረግ በጥብቅ ይመከራል፡

• TPM (የታመነ መድረክ ሞዱል) ስሪት 1.2 ወይም 2.0፣ ወይም የተለየ ወይም ፈርምዌር፣ ጥበቃን ከሃርድዌር ጋር ለማገናኘት እና ዋና ቁልፎችን ደህንነቱ በተጠበቀ ሁኔታ ለማከማቸት።
• የUEFI መቆለፊያይህም አንድ አጥቂ የመዝገብ ግቤቶችን ወይም ዝቅተኛ ደረጃ የውቅር ለውጦችን በማሻሻል ብቻ የCredential Guard ን እንዳያሰናክል ይከላከላል።

እነዚህን መሰረታዊ መስፈርቶች የሚያሟሉ ቡድኖች የሚከተሉትን መስፈርቶች ማሟላት ይችላሉ ተጨማሪ የደህንነት ደረጃዎች እና የቡት ሰንሰለቱን ወይም ቀጥተኛ የማህደረ ትውስታ መዳረሻን ለመጠቀም ከሚሞክሩ ስጋቶች ከፍተኛ የመከላከያ ደረጃዎች።

በ Hyper-V ምናባዊ ማሽኖች ላይ የCredential Guard አጠቃቀም

Credential Guard እንዲሁም በHyper-V ላይ በሚሰሩ ምናባዊ ማሽኖች ውስጥ ያሉ ምስጢሮችን መጠበቅ ይችላል፣ ልክ እንደ አካላዊ ሃርድዌር። በVM ውስጥ ሲነቃ፣ ምስጢሮች ከሚከተሉት ጥቃቶች ተለይተዋል። በዚያው ምናባዊ ማሽን ውስጥ.

ሆኖም ግን፣ አስፈላጊ የሆኑ ልዩነቶች አሉ፡ የCertential Guard ከከፍተኛ መብቶች ጥቃቶች የሚሰነዘሩ ጥቃቶችን አይከላከልም። አስተናጋጅ ቪኤም የሚሰራው ያ ነው። ማለትም፣ የአስተናጋጅ አስተዳዳሪው ወይም መሰረታዊውን አካላዊ ስርዓት የሚቆጣጠር አጥቂ አሁንም የማታለል አማራጮች ሊኖሩት ይችላል።

Credential Guard በ Hyper-V ምናባዊ ማሽን ላይ እንዲሰራ ቢያንስ የሚከተሉት ያስፈልጋሉ፦

• የ Hyper-V አስተናጋጅ ከ ጋር IOMMU (የግብዓት/ውጤት ማህደረ ትውስታ አስተዳደር ክፍል) ተኳሃኝ።
• ምናባዊ ማሽን ትውልድ 2ደህንነቱ የተጠበቀ የ UEFI ማስነሻ እና አስፈላጊ ቅጥያዎችን የሚደግፍ።

ከአስተናጋጁ፣ PowerShell ን በመጠቀም ለተወሰነ VM Credential Guard ን ማሰናከል እንኳን ይቻላል፣ ከሚከተሉት ጋር ተመሳሳይ የሆነ ትዕዛዝ አለው። Set-VMSecurity -VirtualizationBasedSecurityOptOut $trueወደ ምናባዊ ማሽኑ ስም እየጠቆመ።

ተኳሃኝ የዊንዶውስ ፈቃዶች እና እትሞች

Credential Guard በሁሉም የዊንዶውስ እትሞች ላይ አይገኝም። ማይክሮሶፍት የተወሰኑ መደበኛ ፕሮፌሽናል እትሞችን ሳይጨምር ለንግድ እና ለትምህርት ተኮር ስሪቶች ቦታ ሰጥቶታል።

በዊንዶውስ እትም ውስጥ ያለውን ተኳሃኝነት በተመለከተ፣ በአጠቃላይ ሲታይ የሚከተሉት ተግባራዊ ይሆናሉ፡

• የዊንዶውስ ኢንተርፕራይዝ- የክሬዲት ጠባቂን ይደግፋል።
• የዊንዶውስ ትምህርት: ተኳሃኝ።
• ዊንዶውስ ፕሮ እና ዊንዶውስ ፕሮ ትምህርት/SE: ለክሬደንሻል ጓድ ቀጥተኛ ድጋፍ አያካትቱ።

የፈቃድ መብቶችን በተመለከተ፣ ተግባራዊነት ከኢንተርፕራይዝ እና ከትምህርት ደረጃ የደንበኝነት ምዝገባዎች ጋር የተቆራኘ ነው። ከእነዚህ ፈቃዶች መካከል አዎ፣ የአጠቃቀም መብቶችን ይሰጣሉ የምስክር ወረቀት ጠባቂው የሚከተሉትን ያካትታል:

• የዊንዶውስ ኢንተርፕራይዝ ኢ3
• የዊንዶውስ ኢንተርፕራይዝ ኢ5
• የዊንዶውስ ትምህርት A3
• የዊንዶውስ ትምህርት A5

እንደ ዊንዶውስ ፕሮ ወይም ፕሮ ኤጁኬሽን ስታንዳርድ ያሉ ሌሎች ፈቃዶች እነዚህን መብቶች በነባሪነት አያካትቱም። እያንዳንዱ ፈቃድ ምን እንደሚያካትት እና ምን ሁኔታዎችን እንደሚሸፍን የበለጠ ዝርዝር መረጃ ለማግኘት፣ ኦፊሴላዊውን ሰነድ መገምገም ይመከራል። የዊንዶውስ ፈቃድ አሰጣጥ.

በማረጋገጫ መተግበሪያዎች እና ፕሮቶኮሎች ላይ ያለው ተጽእኖ

የክሬዲት ጥበቃን ማግበር በአንዳንድ ሰዎች ላይ ቀጥተኛ መዘዝ ያስከትላል የቆዩ የማረጋገጫ ፕሮቶኮሎች እና የተወሰኑ ተግባራት ብዙ የቆዩ አፕሊኬሽኖች አሁንም የሚጠቀሙባቸውን የከርቤሮስ እና የNTLM። የጅምላ ማሰማራት ከመጀመራቸው በፊት መስፈርቶችን መለየት እና ተኳሃኝነትን መሞከር ወሳኝ ነው።

አፕሊኬሽኖቹ ከሚከተሉት ችሎታዎች ውስጥ አንዱን የሚያስፈልጋቸው ከሆነ በትክክል መስራት ያቆማሉ፡

• ድጋፍ ለ በኬርቤሮስ ውስጥ የDES ምስጠራ.
• የከርቤሮስ ውክልና ያለ ገደብ.
• ማውጣት ከርቤሮስ TGT ከስርዓቱ።
• አጠቃቀም NTLMv1 እንደ ማረጋገጫ ፕሮቶኮል።

ሌሎች ሁኔታዎች አፕሊኬሽኑን ሙሉ በሙሉ አይጥሱም ነገር ግን ይህንን ያደርጋሉ የመጋለጥ አደጋን ይጨምራል የምስክር ወረቀቶች አሁንም ጥቅም ላይ እየዋሉ ከሆነ፡

• ግልጽ የጽሑፍ ማስረጃዎችን የሚይዝ ወይም እንደገና ጥቅም ላይ የሚውል ግልጽ ያልሆነ ማረጋገጫ።
• በቂ ጥበቃ ሳይደረግባቸው የምስክር ወረቀቶችን ማስተላለፍ።
• እንደ ፕሮቶኮሎች MS-CHAPv2 y ክሬዲትኤስፒይህም ተጠቃሚው ደህንነቱ ባልተጠበቀ ሁኔታ የተቀመጡ ምስክርነቶችን እንዲያስገባ ሊያስገድደው ይችላል።

የሚሞክሩ አንዳንድ አገልግሎቶች ወይም መተግበሪያዎች የተገለለውን ሂደት በቀጥታ ያገናኙ LSAIso.exe ከዚህ አዲስ ሞዴል ጋር እንዲሰሩ ካልተነደፉ የአፈጻጸም ችግሮችን ወይም ብልሽቶችን ሊያስከትሉ ይችላሉ። በተቃራኒው፣ በነባሪነት በKerberos ላይ የተመሰረቱ አገልግሎቶች፣ ለምሳሌ SMB ማጋራቶች ወይም በሚገባ የተዋቀሩ የርቀት ዴስክቶፕ ግንኙነቶች፣ በተለመደው መንገድ መስራታቸውን መቀጠል አለባቸው። የCredential Guard ሲነቃ።

በኮርፖሬት አካባቢዎች ውስጥ የCrediential Guard ን እንዴት ማንቃት እንደሚቻል

የደህንነት ምክሩ የCredential Guard ን ማንቃት ነው። አንድን መሳሪያ ወደ ጎራ ከመቀላቀልዎ በፊት ወይም የጎራ ተጠቃሚ ለመጀመሪያ ጊዜ ከመግባቱ በፊት፣ ምስጢሮች ያለተሻሻለ ጥበቃ በጭራሽ አይከማቹም። ማሽኑ ለተወሰነ ጊዜ ጥቅም ላይ ከዋለ በኋላ ከተነቃ፣ አንዳንድ ምስክርነቶች ቀድሞውኑ ተጎድተው ሊሆን ይችላል።

በዊንዶውስ መሳሪያዎች ላይ Credential Guard ን ለማንቃት በርካታ ዋና ዋና ዘዴዎች አሉ፡

• የማይክሮሶፍት ኢንቱኔ/ኤምዲኤም.
• የቡድን የፖሊሲ ትዕዛዝ (GPO)።
• የቀጥታ መዝገብ ቤት ውቅር።

የማይክሮሶፍት ኢንቱኔ እና ኤምዲኤም ፖሊሲዎችን በመጠቀም ውቅር

በIntune-የሚተዳደር አካባቢ ውስጥ፣ ውቅሮች በደህንነት መገለጫዎች ወይም በብጁ መመሪያዎች በኩል ሊተገበሩ ይችላሉ። የተለመደው የስራ ፍሰት የመለያ ጥበቃ ፖሊሲ ወይም ተመጣጣኝ መፍጠር እና ለሚከተሉት መለኪያዎችን ማዘጋጀትን ያካትታል። VBSን ያግብሩ እና የCertential Guard ውቅርን ይግለጹ.

እንደ DeviceGuard ያለ CSP (የኮንፊገሬሽን አገልግሎት አቅራቢ) ሲጠቀሙ፣ ተዛማጅ ቁልፎች የሚከተሉትን ያካትታሉ፦

• የውቅር ስም፡ “ቨርቹዋልላይዜሽን ላይ የተመሠረተ ደህንነትን አንቃ”። OMA-URI፡ ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityየውሂብ አይነት፡ ኢንቲጀር። እሴት፡ 1 ለማንቃት።
• የውቅር ስም፡ “የCredential Guard ውቅር”። OMA-URI፡ ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsየውሂብ አይነት፡ ኢንቲጀር። የተለመዱ እሴቶች፡
  • 1: በUEFI መቆለፊያ ነቅቷል።
  • 2: ሳያግድ ነቅቷል።

መመሪያው አንዴ ለተፈለገው የመሳሪያዎች ወይም የተጠቃሚዎች ቡድን ከተተገበረ በኋላ አስፈላጊ ነው ኮምፒተርውን እንደገና ያስጀምሩ ስለዚህ ሃይፐርቪዞሩ እና የVSM አካባቢ በትክክል እንዲጀምሩ እና የCredential Guard ስራ ላይ እንዲውል።

የቡድን ፖሊሲ (GPO) በመጠቀም ማንቃት

በActive Directory-based ጎራዎች ውስጥ፣ Credential Guard ን የማዋቀር ክላሲክ መንገድ በ በኩል ነው የቡድን መመሪያ አርታኢበእያንዳንዱ ኮምፒውተር የአካባቢ ፖሊሲ አርታኢ እና ከ OUs ወይም ከጠቅላላው ጎራ ጋር በተገናኙ GPOዎች ውስጥ ሊዋቀር ይችላል።

መደበኛው የውቅር መንገድ የሚከተለው ነው፦

የመሣሪያ ውቅር → የአስተዳደር አብነቶች → ስርዓት → የመሣሪያ ጠባቂ

በዚያ መንገድ ውስጥ፣ "ቨርቹዋልላይዜሽን-ተኮር ደህንነትን አንቃ" የሚለውን ፖሊሲ ማርትዕ እና ሁኔታውን ወደ ነቅቷልበ"የማረጋገጫ ጥበቃ ቅንብሮች" ተቆልቋይ ምናሌ ውስጥ፣ በሚፈለገው የገደብ ደረጃ ላይ በመመስረት "በUEFI መቆለፊያ ነቅቷል" ወይም "ያለመቆለፊያ ነቅቷል" መካከል መምረጥ ይችላሉ። የፖሊሲ ዝማኔ እና ዳግም ማስጀመር ከተደረገ በኋላ ጥበቃው ንቁ ይሆናል።

በመዝገብ ቤት በኩል የላቀ ውቅር

ለተወሰኑ ሁኔታዎች ወይም አውቶሜሽኖች፣ በቀጥታ በማዛባት Credential Guard ን ማዋቀርም ይቻላል። የዊንዶውስ መዝገብ ቤትበጣም ተገቢዎቹ ቁልፎች የሚከተሉት ናቸው፡

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  የይለፍ ቃል: EnableVirtualizationBasedSecurity (REG_DWORD)። እሴት፡ 1 VBSን ለማግበር።
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  የይለፍ ቃል: RequirePlatformSecurityFeatures (REG_DWORD)። የተለመዱ እሴቶች፡
  • 1 ደህንነቱ በተጠበቀ ቡት ላይ ብቻ ጥቅም ላይ የሚውል።
  • 3 ደህንነቱ የተጠበቀ ቡት እና የዲኤምኤ ጥበቃን ለመጠቀም።
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  የይለፍ ቃል: LsaCfgFlags (REG_DWORD)። እሴቶች፡
  • 1የ UEFI መቆለፊያን በመጠቀም የ Credential Guard ን ያንቁ።
  • 2ሳይቆለፍ የCredential Guardን ያንቁ።

እነዚህን ለውጦች ከተተገበሩ በኋላ የሚከተሉትን ማድረግ ያስፈልግዎታል ማሽኑን እንደገና ያስጀምሩ አዲሱ ውቅር ተግባራዊ እንዲሆን እና የተጠበቀው አካባቢ እንዲጀመር።

የCredential Guard በትክክል እየሰራ መሆኑን እንዴት ማረጋገጥ እንደሚቻል

የተለመደው ስህተት በሂደቱ ላይ ብቻ ማተኮር አለመቻሉ ነው። LsaIso.exe በተግባር አስተዳዳሪ ውስጥ ይታያል፣ ይህም የCredential Guard ንቁ መሆኑን ይጠቁማል። ማይክሮሶፍት ይህንን ዘዴ እንደ የመጨረሻ ቼክ አድርጎ አይመክረውም፣ ምክንያቱም ይህ ሊሆን ይችላል ትክክለኛውን የጥበቃ ሁኔታ በትክክል አያንፀባርቅም.

በምትኩ፣ የCredential Guard ሁኔታን ለማረጋገጥ ሶስት ተጨማሪ አስተማማኝ ዘዴዎች አሉ፡

• መሳሪያ የስርዓት መረጃ (msinfo32.exe).
• የኮማንዶዎች PowerShell.
• በ ውስጥ የተከናወኑ ክስተቶች ግምገማ የክስተት ተመልካች.

በስርዓት መረጃ፣ በቀላሉ ያሂዱ msinfo32.exe“የስርዓት ማጠቃለያ” የሚለውን ይምረጡ እና “በቨርቹዋልላይዜሽን ላይ የተመሰረቱ የደህንነት አገልግሎቶችን ማስኬድ” የሚለውን መስክ ያረጋግጡ። “Credential Guard” ከንቁ አገልግሎቶች መካከል ከተዘረዘረ፣ ይህ ማለት ያ ማለት ነው ተግባሩ በእውነቱ እየሰራ ነው።.

በ PowerShell በኩል የሚከተለውን ትዕዛዝ ማስኬድ ይችላሉ፦

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

የተመለሰው እሴት የአፈጻጸም ሁኔታን ያሳያል፦

• 0: የCredential Guard ተሰናክሏል (እየሄደ አይደለም)።
• 1የCredential Guard ነቅቶ እና ተግባራዊ ሆኗል።

በተጨማሪም፣ ተዛማጅ ክስተቶች በክስተት መመልከቻ ውስጥ ሊገመገሙ ይችላሉ፣ በማጣራት በ Windows Logs\System በክስተቶች አመጣጥ ምክንያት ዊንኢኒትየእነዚህ ክስተቶች ወቅታዊ ትንተና፣ ከ WMI ጥያቄዎች ወይም የደህንነት ኦዲቶች ጋር ተዳምሮ፣ ይረዳል። የአፈፃፀም ጤናን እና ሁኔታውን ያረጋግጡ በመላው መርከቧ ላይ።

የCredential Guard ን ለማሰናከል አማራጮች

ምንም እንኳን ከደህንነት አንፃር ተስማሚ ባይሆንም፣ አንዳንድ ጊዜ አስፈላጊ ነው የክሬዲት ጥበቃን ያሰናክሉ በአጭር ጊዜ ውስጥ ሊተኩ የማይችሉ ወሳኝ አፕሊኬሽኖች ወይም የቆዩ ፕሮቶኮሎች የተኳሃኝነት ችግሮች ስላሉ።

ባህሪውን የማሰናከል ሂደቱ መጀመሪያ ላይ እንዴት እንደነቃ ይለያያል። በአጠቃላይ የሚከተሉትን ማድረግ አለብዎት፦

• የVBS እና LsaCfgFlags እሴቶችን ወደ የአካል ጉዳተኛ ሁኔታቸው በመመለስ በኢንቱኔ፣ ጂፒኦ ወይም ሬጂስትሪ የተተገበረውን ውቅር ይመልሱ።
• በቨርቹዋልላይዜሽን ላይ የተመሰረቱ የደህንነት ክፍሎችን መጫን ለማቆም መሳሪያውን እንደገና ያስጀምሩ።

የCredential Guard ከተዋቀረ የ UEFI መቆለፊያየክፍለ ግዛቱ ክፍል በ firmware ውስጥ በ EFI ተለዋዋጮች ውስጥ ስለሚከማች ነገሮች ትንሽ የበለጠ የተወሳሰቡ ይሆናሉ። በዚህ ሁኔታ፣ በዊንዶውስ ውስጥ ያለውን ውቅር ከመቀልበስ በተጨማሪ፣ ተከታታይ ትዕዛዞችን ከ ጋር ማስኬድ ያስፈልጋል። ቢሲዲትድ ከፍ ካለ የትዕዛዝ ጥያቄ ወደ ልዩ የውቅር መሣሪያ ለመጫን (SecConfig.efi) ጅምር ወቅት።

ፍሰቱ ብዙውን ጊዜ እንደዚህ ነው፦

• ጊዜያዊ የ EFI ክፍልፍልን በመጠቀም ይጫኑ mountvol እና ኮፒ ያድርጉት SecConfig.efi.
• የስርዓት ቻርጀር ግቤት ይፍጠሩ በ bcdedit /createወደ SecConfig.efi.
• በሚቀጥለው ዳግም ማስነሳት ላይ ያንን ግቤት ለማስፈጸም ጊዜያዊ የማስነሻ ቅደም ተከተል ያዋቅሩ እና አማራጩን ያስተላልፉ DASABLE-LSA-ISO.
• ማሽኑን እንደገና ያስጀምሩ እና የቅድመ-ማስጀመሪያ መልእክት ሲመጣ፣ የ UEFI ውቅር ለውጥን ያረጋግጡ ስለዚህ ማቦዘን እንዲቀጥል።

ይህ ማረጋገጫ ከሌለ፣ firmware ለውጡን አይመዘግብም እና የCredential Guard በUEFI ደረጃ ተቆልፎ ይቆያል፣ ምንም እንኳን ውቅሩ በኦፕሬቲንግ ሲስተም ውስጥ ቢሻሻልም።

በምናባዊ ማሽኖች ውስጥ፣ የ Hyper-V አስተናጋጁ የ PowerShell ትዕዛዝን በመጠቀም ለተወሰነ VM የVBS እና Credential Guard አጠቃቀምን ማሰናከል ይችላል። Set-VMSecurity ከተዛማጅ የማግለል አማራጭ ጋር።

በአንዳንድ አካባቢዎች፣ የተወሰኑ የዊንዶውስ ዝመናዎችን ካደረጉ በኋላ፣ የርቀት ዴስክቶፕ ማረጋገጫን ከSSO ወይም ከድሮ ዘዴዎች ጋር የተጠቀሙ ኮምፒውተሮች የሚከተሉትን መልዕክቶች ማሳየት እንደሚጀምሩ ተስተውሏል። የምስክር ወረቀቶቹ ከአሁን በኋላ ልክ አይደሉምበብዙዎቹ በእነዚህ አጋጣሚዎች፣ ተግባራዊ የሆነው ጊዜያዊ መፍትሔ Credential Guardን ከአካባቢያዊ የቡድን ፖሊሲ (GPEDIT.msc) ማሰናከል፣ ወደ ኮምፒውተር ውቅር → የአስተዳደር አብነቶች → ስርዓት → የመሣሪያ ጥበቃ → “ቨርቹዋልላይዜሽን ላይ የተመሠረተ ደህንነትን ያብሩ” እና የCredential Guard ውቅር አማራጩን “ተሰናክሏል” ብሎ ምልክት ማድረግ ነው።

Credential Guard በዊንዶውስ ውስጥ በተለይም ሰፊ Active Directory እና ከፍተኛ ሚስጥራዊነት ባላቸው መለያዎች ባሉባቸው አካባቢዎች ውስጥ እራሱን እንደ ቁልፍ የማንነት ጥበቃ ስልቶች አካል አድርጎ አቋቁሟል። ቪቢኤስ፣ ቲፒኤም እና የማህደረ ትውስታ ማግለልይህ ቴክኖሎጂ ከመጨረሻ ነጥቦች እና ሰርቨሮች ማህደረ ትውስታ ምስክርነቶችን በመስረቅ ወደ ጎን ለመንቀሳቀስ ለሚሞክሩ አጥቂዎች ህይወትን በጣም አስቸጋሪ ያደርገዋል፣ ይህም በጥሩ ልምዶች፣ በክትትል መሳሪያዎች እና በአሮጌ አፕሊኬሽኖች እና ፕሮቶኮሎች ምክንያታዊ አስተዳደር የተሟላ ከሆነ ነው።