Cad é Garda Creidiúna agus conas a sheiceáil an bhfuil sé gníomhachtaithe

Tá cosaint dintiúir i Windows ina thasc ríthábhachtach d'aon chuideachta a ghlacann cibearshlándáil dáiríre. Gach uair a logálann úsáideoir isteach, gintear agus stóráiltear dintiúir. rúin fíordheimhnithe thar a bheith luachmhar (haiseanna, ticéid, comharthaí, srl.) a ligeann dóibh, má thiteann siad i lámha ionsaitheora, bogadh timpeall an líonra amhail is dá mba úsáideoir dlisteanach iad. Seo go díreach an áit a dtagann Garda Creidiúna i bhfeidhm.

Is gné slándála é Garda Dintiúr Windows Defender a bhaineann leas as an Slándáil bunaithe ar fhíorúlaíocht (VBS) chun na rúin sin a leithlisiú agus cosc ​​a chur ar an gcóras oibriúcháin "gnáth" nó ar bhogearraí mailíseacha le pribhléidí ardaithe rochtain a fháil orthu. Cé nach réiteach iontach é agus nach gclúdaíonn sé gach cineál dintiúir ná gach veicteoir ionsaithe, laghdaíonn sé go mór éifeachtacht na dteicnící clasaiceacha amhail Pas-an-Hash agus Pas-an-Ticéadchomh maith le huirlisí cosúil le Mimikatz i go leor cásanna.

Cad go díreach atá i gceist le Garda Dintiúirí Windows Defender?

Is gné de Windows é Credential Guard atá deartha chun Cosain dintiúir fearainn agus rúin fíordheimhnithe eile Cosnaíonn an teicneolaíocht seo i gcoinne ionsaithe a dhéanann iarracht iad a léamh go díreach ó chuimhne an chórais. Tháinig sé chun cinn den chéad uair i Windows 10 Enterprise agus Windows Server 2016, agus tá sé fós i láthair i leaganacha níos déanaí de Windows 11 agus Windows Server.

Go ginearálta, braitheann Credential Guard ar VBS chun cuid den phróiseas slándála a fhorghníomhú i... timpeallacht atá scartha ón hipearfhaireoir, ar leithligh ón bpríomhchóras oibriúcháin. In ionad na rúin atá ina gcónaí go díreach i gcuimhne an phróisis thraidisiúnta Údarás Slándála Áitiúil (LSA) (lsass.exe), stóráiltear iad i bpróiseas cosanta agus neamhspleách, a mbainistítear de ghnáth ag LsaIso.exe, nach féidir rochtain a fháil air ach leis an gcód is pribhléidí agus is iontaofa.

Tá sé mar aidhm ag an scaradh seo cosc ​​a chur ar bhogearraí mailíseacha a bhfuil pribhléidí riarthóra faighte acu ó bheith simplí dumpáil an chuimhne LSASS chun haiseanna NTLM, ticéid Kerberos, nó dintiúir atá stóráilte sa Bhainisteoir Dintiúir a bhaint amach. Ní hé an cur chuige na prótacail fíordheimhnithe a athrú, ach chun a chinntiú cá háit agus conas a stóráiltear dintiúir sa chuimhne.

Rúin agus seirbhísí atá faoi chosaint ag an nGarda Dintiúr

Cosnaíonn an ghné cineálacha éagsúla dintiúir a bhí ina sprioc phríomhúil d’ionsaitheoirí go traidisiúnta. I measc na rúin a choinníonn Credential Guard faoi chosaint tá, go príomha, na rúin a bhaineann le:

• NTLMHaiseanna pasfhocal NTLM a úsáidtear le haghaidh fíordheimhnithe.
• KerberosGo sonrach, an Ticéad Deonaithe Ticéad (TGT) a ligeann duit ticéid seirbhíse eile a iarraidh.
• Bainisteoir Dintiúirdintiúir fearainn atá stóráilte ag feidhmchláir agus seirbhísí.
• Logálacha áitiúla agus iargúlta a bhraitheann ar dhintiúir fearainn.

I leaganacha níos luaithe de Windows, bhí na rúin seo ina gcónaí i gcuimhne an phróisis. LSASS ar bhealach inrochtana d’ionsaitheoir a bhfuil pribhléidí ardaithe aige. Agus Credential Guard cumasaithe, ritheann próiseas LSA scoite nach nochtann na rúin sin go díreach d’uirlisí atá ag iarraidh cuimhne an chórais oibriúcháin chaighdeánaigh a léamh.

Conas a oibríonn slándáil bunaithe ar fhíorúlaíocht (VBS) agus mód slán fíorúil (VSM)

Is é VBS eochair Credential Guard, teicneolaíocht a úsáideann hipearfhaireoir Windows chun cruthú timpeallachtaí forghníomhaithe scoite laistigh den mheaisín fisiceach céanna. Laistigh den timpeallacht sin, ar a dtugtar Mód Slán Fíorúil (VSM) go minic, ritheann seirbhísí slándála a bhainistíonn rúin fíordheimhnithe.

Nuair a bhíonn Garda Dintiúir gníomhach, stóráiltear rúin sa chuimhne laistigh de VSM agus ní sa spás cuimhne gnáthchórais oibriúcháinCinntíonn an hipearfhaireoir nach féidir ach le cód fíoraithe agus pribhléideach ard rochtain a fháil orthu. Ar an mbealach seo, fiú má éiríonn le hionsaitheoir an córas oibriúcháin a chur i mbaol le pribhléidí riarthóra, laghdaítear a seans go léifidh siad na rúin sin go díreach.

Ar chrua-earraí nua-aimseartha lena n-áirítear TPM 2.0 comhoiriúnach, is féidir sonraí buana VSM a chriptiú le Eochair mháistir VSMStóráiltear agus cosnaítear an eochair seo ag an TPM agus a mheicníochtaí fréamhacha muiníne ag leibhéal an fhirmware. Mar thoradh air sin, fiú má dhéanann duine iarracht cur isteach ar an bpróiseas tosaithe nó diosca a chlónáil, Ní bheidh tú in ann rochtain a fháil ar rúin chosanta lasmuigh de thimpeallacht fhíoraithe..

Tá sé tábhachtach a thabhairt faoi deara freisin nach stórálann Credential Guard sonraí mar seo a leanas ar dhiosca de ghnáth: Hais NTLM nó TGTAthghintear iad seo ag gach logáil isteach agus cailltear iad idir atosaithe, mar sin ní bhraitheann siad go díreach ar phríomheochair an VSM ná ar an TPM le fanacht slán tar éis múchadh.

Teorainneacha agus dintiúir nach gcosnaíonn Credential Guard

In ainneoin a buntáistí, tá Credential Guard ag teorainneacha soiléire nach mór a thuiscint Chun rómhuinín a sheachaint. Tá dintiúir agus sreafaí fíordheimhnithe ann nach bhfuil faoi raon feidhme a chosanta nó nach n-oibríonn ar an mbealach céanna nuair a bhíonn an ghné gníomhach.

Ar thaobh amháin, nuair a bhíonn Credential Guard cumasaithe, bíonn prótacail oidhreachta áirithe amhail NTLMv1, MS-CHAPv2, Digest agus CredSSP Ní féidir leo dintiúir a úsáid ó sheisiún atá logáilte isteach cheana féin. Ciallaíonn sé seo go stopann síniú isteach aonair (SSO) leis na prótacail seo ag obair. B’fhéidir go mbeadh ar fheidhmchláir a bhraitheann orthu ainm úsáideora agus pasfhocal a iarraidh arís nó dintiúir atá stóráilte i stór Windows a úsáid. nach bhfuil faoi chosaint ag an nGarda Dintiúr sna cásanna seo.

Ina theannta sin, tá modhanna bainistíochta dintiúr ann nach dtagann faoi raon feidhme na feidhme seo ar chor ar bith, amhail:

• Bogearraí tríú páirtí a stórálann pasfhocail nó comharthaí lasmuigh den bhonneagar caighdeánach Windows.
• Cuntais áitiúla agus cuntais Microsoft, nach bhfuil an cineál céanna aonraithe acu agus atá ag dintiúir fearainn.
• Bunachair shonraí Active Directory atá á óstáil ar rialtóirí fearainn Windows Server. Ní chosnaíonn Credential Guard an bunachar sonraí Active Directory ná na píblínte iontrála dintiúir go díreach i seirbhísí amhail an Geata Deisce Cianda.
• Logálaithe Eochracha agus gléasanna gabhála ionchuir eile: má thaifeadann an t-ionsaitheoir buillí eochracha, is féidir leo an focal faire a ghoid sula stóráiltear é fiú in LSASS nó sa bhosca gainimh.
• Ionsaithe fisiciúla don trealamh (mar shampla, rochtain the ar chuimhne nó léamh diosca ag baint úsáide as teicnící ardteicneolaíochta).

Ba chóir a thabhairt faoi deara freisin nach gcuireann Credential Guard cosc ​​ar ionsaitheoir a bhfuil malware ar an meaisín cheana féin rochtain a fháil. Bain úsáid as pribhléidí dintiúir bhailí a fuarthas ar bhealaí malartacha. Mar shampla, má logálann riarthóir isteach i meaisín atá i mbaol cheana féin, is féidir leis an ionsaitheoir leas a bhaint as a seisiún gníomhach chun gníomhartha a dhéanamh lena gceadanna, fiú mura bhfuil siad in ann an hais NTLM a bhaint as an timpeallacht bosca gainimh.

Ar an láimh eile, an dintiúir logála isteach taisceáilte Ní thagann logálacha isteach Windows (ar a dtugtar "logálacha isteach taisceáilte" go minic) isteach sa chatagóir dintiúir in-athúsáidte ar ríomhairí eile. Stóráiltear iad sa chlárlann áitiúil agus ní úsáidtear iad ach chun logálacha isteach a bhailíochtú nuair nach bhfuil an fearann ​​ar fáil. Bainistítear iad seo leis an mbeartas slándála "Logáil isteach idirghníomhach: Líon na logálacha isteach roimhe seo le taisceadh" agus Níl siad faoi chosaint shonrach ag an nGarda Creidiúna.

Ar deireadh, an Dearbháin seirbhíse Kerberos Níl siad faoi chosaint ag Credential Guard, cé go bhfuil TGT. Agus nuair a bhíonn Credential Guard gníomhach, ní cheadóidh Kerberos tarmligean neamhshrianta ná criptiú DES, i gcás dintiúir tionscnaithe ná i gcás dintiúir iarrtha nó sábháilte.

Buntáistí i gcoinne ionsaithe goid dintiúir

Is é príomhchuspóir Credential Guard ná ionsaithe "goid agus athúsáid" dintiúir a stopadh, go háirithe:

• Pas-an-Hashathúsáid haiseanna NTLM goidte chun fíordheimhniú a dhéanamh ar chórais eile.
• Pas an Ticéadmí-úsáid ticéid Kerberos (TGT nó seirbhís) a fuarthas ó mheaisín a ndearnadh comhréiteach air.

Trí rúin a leithlisiú i VSM agus teorainn a chur le cé a fhéadfaidh rochtain a fháil orthu, cuirtear bac ar go leor de na teicnící a bhaineann leas as uirlisí cosúil le Mimikatz. dumpáil an chuimhne LSASSI dtimpeallacht gan Credential Guard, is féidir le Mimikatz haiseanna NTLM agus ticéid Kerberos a bhaint amach gan mórán deacrachta a luaithe a bhíonn pribhléidí riarthóra ag an ionsaitheoir. Agus Credential Guard cumasaithe, cuireann an próiseas LSA scoite cosc ​​ar na rúin seo a bheith ar fáil sa chuimhne atá inrochtana ón gcóras oibriúcháin caighdeánach.

Mar sin féin, tá sé tábhachtach a thuiscint nach bhfuil Credential Guard dosháraithe. Is féidir le Mimikatz agus uirlisí comhchosúla fós, mar shampla, dintiúir á ngabháil agus iad á gcur isteachMá tá an córas i mbaol cheana féin agus má logálann an t-úsáideoir pribhléideach isteach ina dhiaidh sin, thug údar Mimikatz rabhadh má fhaigheann an t-ionsaitheoir smacht ar an gcríochphointe sula gcuireann an riarthóir a gcuid dintiúir isteach, go bhfuil bealaí ann fós chun iad a ghoid. Ina theannta sin, ní chosnaíonn Credential Guard i gcoinne úsáid mailíseach dintiúir ag... úsáideoirí inmheánacha dlisteanachaMura bhfuil rochtain údaraithe ag duine ar acmhainn, ní chuirfidh an teicneolaíocht seo cosc ​​​​orthu sonraí íogaire a chóipeáil.

Cumasaithe de réir réamhshocraithe i Windows 11 agus Windows Server

I leaganacha le déanaí den chóras, chuaigh Microsoft céim eile chun cinn agus chuir sé ar chumas an teaglaim de VBS agus Garda Dintiúr ar fheistí áirithe. Ag tosú le Windows 11, leagan 22H2, agus Windows Server 2025, bíonn na gnéithe seo cumasaithe go huathoibríoch ar ríomhairí a chomhlíonann na híosriachtanais.

De ghnáth déantar an socrú monarchan gan glas UEFICiallaíonn sé seo gur féidir le riarthóirí Credential Guard a dhíchumasú go cianda má mheasann siad go bhfuil sé riachtanach, mar shampla, mar gheall ar neamh-chomhoiriúnacht chriticiúil le feidhmchlár oidhreachta. Nuair a bhíonn Credential Guard cumasaithe, cuirtear VBS i ngníomh go huathoibríoch freisin.

Tá sé tábhachtach a fhios má bhí Garda Dintiúr ag foireann cheana féin díchumasaithe go sainráite Sula ndéantar uasghrádú chuig leagan de Windows ina bhfuil an ghné cumasaithe de réir réamhshocraithe, coinnítear an staid "díchumasaithe" i ndiaidh an uasghrádaithe. Bíonn tosaíocht i gcónaí ag an mbeartas sainráite thar an iompar réamhshocraithe tar éis atosaithe.

Riachtanais crua-earraí, firmware agus bogearraí

Chun go dtairgfidh Credential Guard cosaint éifeachtach, ní mór don fheiste cloí leis na ceanglais riachtanais íosta crua-earraí, firmware agus córais oibriúcháinDá nua-aimseartha agus dá iomláine an crua-earraí, is ea is airde an leibhéal cosanta is féidir a bhaint amach.

Áirítear leis na príomhriachtanais:

• LAP 64-giotán, le tacaíocht fíorúlaithe crua-earraí.
• Slándáil bunaithe ar fhíorúlaíocht gníomhachtaithe (VBS).
• Tosaithe Slán cumasaithe agus cumraithe.

Ina theannta sin, cé nach bhfuil sé éigeantach i gcónaí, moltar go láidir go mbeadh:

• TPM (Modúl Ardáin Iontaofa) leagan 1.2 nó 2.0, bíodh sé ar leithligh nó le bogearraí, chun cosaint a nascadh le crua-earraí agus eochracha máistir a stóráil go slán.
• Glas UEFIrud a chuireann cosc ​​ar ionsaitheoir Credential Guard a dhíchumasú trí iontrálacha Clárlainne nó athruithe cumraíochta ísealleibhéil a mhodhnú go simplí.

D’fhéadfadh foirne a chomhlíonann na bunriachtanais seo a bheith incháilithe rátálacha slándála breise agus leibhéil níos airde cosanta i gcoinne bagairtí a dhéanann iarracht leas a bhaint as an slabhra tosaithe nó rochtain dhíreach ar chuimhne.

Ag baint úsáide as Credential Guard ar mheaisíní fíorúla Hyper-V

Is féidir le Credential Guard rúin a chosaint laistigh de mheaisíní fíorúla atá ag rith ar Hyper-V freisin, díreach mar a dhéanann sé ar chrua-earraí fisiciúla. Nuair a bhíonn sé cumasaithe i Meaisín Fíorúil, déantar rúin a leithlisiú ó ionsaithe a thagann ó laistigh den mheaisín fíorúil céanna sin.

Mar sin féin, tá mionsonraí tábhachtacha ann: ní sholáthraíonn Credential Guard cosaint i gcoinne ionsaithe pribhléide ardaithe a sheoltar ón óstach a ritheann an Meaisín Fíorúil. Is é sin le rá, d’fhéadfadh roghanna ionramhála a bheith ag an riarthóir óstach nó ag ionsaitheoir a rialaíonn an córas fisiceach bunúsach fós.

Chun go bhfeidhmeoidh Credential Guard ar mheaisín fíorúil Hyper-V, tá gá leis na nithe seo a leanas ar a laghad:

• Óstach Hyper-V le IOMMU (aonad bainistíochta cuimhne ionchuir/aschuir) comhoiriúnach.
• Meaisín fíorúil de Glúin 2, a thacaíonn le tosaithe slán UEFI agus na síntí riachtanacha.

Ón óstach, is féidir fiú Credential Guard a dhíchumasú do VM ar leith ag baint úsáide as PowerShell, le hordú cosúil le Socraigh-VMSecurity -RoghnúOutSlándálaBasaitheArFhíorúlaithe $fíor, ag pointeáil chuig ainm an mheaisín fhíorúil.

Ceadúnais agus eagráin Windows comhoiriúnacha

Níl Credential Guard ar fáil i ngach eagrán de Windows. Tá sé curtha in áirithe ag Microsoft do na leaganacha atá níos dírithe ar ghnó agus ar oideachas, agus fágtar roinnt eagrán caighdeánach gairmiúla ar lár.

Maidir le comhoiriúnacht de réir eagrán Windows, go ginearálta, baineann an méid seo a leanas:

• Windows Fiontar- Tacaíonn sé le Garda Dintiúir.
• Oideachas Windows: comhoiriúnach.
• Windows Pro agus Windows Pro Education/SE: ní chuimsíonn siad tacaíocht dhíreach do Credential Guard.

Maidir le cearta ceadúnaithe, tá feidhmiúlacht ceangailte le síntiúis ar leibhéal fiontraíochta agus oideachais. I measc na gceadúnas a Sea, deonaíonn siad cearta úsáide Áirítear leis an nGarda Dintiúir:

• Windows Fiontar E3
• Windows Fiontar E5
• Windows Education A3
• Windows Education A5

Ní chuimsíonn ceadúnais eile, amhail Windows Pro nó Pro Education Standard, na cearta seo de réir réamhshocraithe. Chun tuilleadh eolais a fháil faoi na rudaí a chuimsíonn gach ceadúnas agus na cásanna a chumhdaítear leis, moltar duit an doiciméadacht oifigiúil a athbhreithniú. Ceadúnú Windows.

Tionchar ar fheidhmchláir agus prótacail fíordheimhnithe

Bíonn iarmhairtí díreacha ag baint le Garda Creidiúna a ghníomhachtú i roinnt cásanna prótacail fíordheimhnithe oidhreachta agus feidhmiúlachtaí áirithe de Kerberos agus NTLM, a úsáideann go leor feidhmchlár oidhreachta fós. Sula ndéantar imscaradh mais, tá sé ríthábhachtach riachtanais a aithint agus comhoiriúnacht a thástáil.

Scoirfidh na feidhmchláir de bheith ag obair i gceart má bhíonn aon cheann de na cumais seo a leanas ag teastáil uathu:

• Tacaíocht do Criptiú DES i Kerberos.
• Toscaireacht Kerberos gan srianta.
• Eastóscadh Kerberos TGT ón gcóras.
• Úsáid NTLMv1 mar phrótacal fíordheimhnithe.

Ní gá go mbrisfidh cásanna eile an feidhmchlár, ach déanann siad amhlaidh. an riosca nochta a mhéadú dintiúir má tá siad fós in úsáid:

• Fíordheimhniú intuigthe a ghabhann nó a athúsáideann dintiúir téacs simplí.
• Tarmligean dintiúir gan coimircí leordhóthanacha.
• Prótacail amhail MS-CHAPv2 y CredSSPrud a d’fhéadfadh a chur iallach ar an úsáideoir dintiúir a iontráil a stóráiltear ansin ar bhealach nach bhfuil chomh slán.

Roinnt seirbhísí nó feidhmchláir a dhéanann iarracht nasc díreach leis an bpróiseas scoite LSAIso.exe Is féidir leo fadhbanna feidhmíochta nó mífheidhmeanna a chruthú mura bhfuil siad deartha chun oibriú leis an tsamhail nua seo. Os a choinne sin, seirbhísí a bhraitheann ar Kerberos de réir réamhshocraithe, amhail scaireanna SMB nó naisc Deisce Cianda dea-chumraithe, Ba chóir dóibh leanúint ar aghaidh ag feidhmiú de ghnáth. nuair a bhíonn Credential Guard cumasaithe.

Conas Garda Dintiúr a chumasú i dtimpeallachtaí corparáideacha

Is é an moladh slándála ná Garda Dintiúr a chumasú. sula gcuirtear gléas leis an bhfearann nó sula logálann úsáideoir fearainn isteach den chéad uair, ionas nach stóráiltear rúin riamh gan chosaint fheabhsaithe. Má ghníomhaítear é tar éis don mheaisín a bheith in úsáid ar feadh tamaill, d'fhéadfadh roinnt dintiúir a bheith curtha i mbaol cheana féin.

Tá roinnt príomhmhodhanna ann chun Credential Guard a chumasú ar chabhlach de ghléasanna Windows:

• Microsoft Intune / MDM.
• Ordú Beartais Ghrúpa (GPO).
• Cumraíocht Chlárlainne Dhíreach.

Cumraíocht ag baint úsáide as beartais Microsoft Intune agus MDM

I dtimpeallacht atá bainistithe ag Intune, is féidir cumraíochtaí a imscaradh trí phróifílí slándála nó beartais saincheaptha. Baineann an sreabhadh oibre tipiciúil le polasaí cosanta cuntais nó a chomhionann a chruthú agus na paraiméadair a shocrú le haghaidh... Gníomhachtaigh VBS agus sainmhínigh cumraíocht an Gharda Creidiúna.

Agus CSP (Soláthraí Seirbhíse Cumraíochta) amhail DeviceGuard á úsáid, áirítear na heochracha ábhartha seo a leanas:

• Ainm cumraíochta: “Cumasaigh slándáil bunaithe ar fhíorúlaíocht”. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityCineál sonraí: slánuimhir. Luach: 1 a chumasú.
• Ainm na cumraíochta: “Cumraíocht an Gharda Dintiúirí”. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsCineál sonraí: slánuimhir. Luachanna tipiciúla:
  • 1cumasaithe le glas UEFI.
  • 2: cumasaithe gan bhac.

Nuair a bheidh an polasaí curtha i bhfeidhm ar an ngrúpa gléasanna nó úsáideoirí atá ag teastáil, is gá atosú an ríomhaire ionas go ndéantar an hipearfheisteoir agus an timpeallacht VSM a thosú i gceart agus go dtiocfaidh Credential Guard i bhfeidhm.

Cumasú ag baint úsáide as Polasaí Grúpa (GPO)

I bhfearann ​​atá bunaithe ar Active Directory, is é an bealach clasaiceach chun Credential Guard a chumrú ná tríd an Eagarthóir Polasaí GrúpaIs féidir é a chumrú in Eagarthóir Beartas Áitiúil gach ríomhaire agus i nGPOanna atá nasctha le hUanna Eagraithe Oibre nó leis an bhfearann ​​​​iomlán araon.

Is é an cosán cumraíochta caighdeánach ná:

Cumraíocht gléasanna → Teimpléid riaracháin → Córas → Garda Gléasanna

Laistigh den chonair sin, ní mór duit an polasaí "Cumasaigh slándáil bunaithe ar fhíorúlú" a chur in eagar agus a stádas a shocrú go CumasaitheSa roghchlár anuas “Credential Guard Settings”, is féidir leat rogha a dhéanamh idir “Enabled with UEFI lock” nó “Enabled without lock,” ag brath ar an leibhéal srianta atá uait. Tar éis an nuashonraithe beartais agus atosú, beidh an chosaint gníomhach.

Cumraíocht ardleibhéil tríd an gClárlann

I gcás cásanna nó uathoibrithe sonracha, is féidir Credential Guard a chumrú freisin tríd an ionramháil dhíreach a dhéanamh ar an Clárlann WindowsIs iad na heochracha is ábhartha ná:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Eochair: EnableVirtualizationBasedSecurity (REG_DWORD). Luach: 1 chun VBS a ghníomhachtú.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Eochair: RequirePlatformSecurityFeatures (REG_DWORD). Luachanna tipiciúla:
  • 1 le húsáid i mbuaite slán amháin.
  • 3 chun tosaithe slán agus cosaint DMA a úsáid.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Eochair: LsaCfgFlags (REG_DWORD). Luachanna:
  • 1Cumasaigh Garda Dintiúr le glas UEFI.
  • 2Cumasaigh Credential Guard gan ghlasáil.

Tar éis na hathruithe seo a chur i bhfeidhm, ní mór duit atosú an meaisín chun go dtiocfaidh an chumraíocht nua i bhfeidhm agus go dtosóidh an timpeallacht chosanta.

Conas a sheiceáil an bhfuil Credential Guard ag rith i ndáiríre

Botún coitianta is ea díriú go hiomlán ar cibé an bhfuil an próiseas LsaIso.exe Feictear é i mBainisteoir Tascanna, rud a thugann le fios go bhfuil Garda Creidiúna gníomhach. Ní mholann Microsoft an modh seo mar sheiceáil chinntitheach, mar d'fhéadfadh sé... ní léiríonn siad staid iarbhír na cosanta go cruinn.

Ina áit sin, tá trí mhodh níos iontaofa ann chun stádas an Gharda Creidiúna a sheiceáil:

• Uirlis Faisnéis chórais (msinfo32.exe).
• Commandos de PowerShell.
• Athbhreithniú ar imeachtaí sa Amharcóir Imeachtaí.

Le Faisnéis Córais, rith go simplí msinfo32.exeRoghnaigh “Achoimre ar an gCóras” agus seiceáil an réimse “Seirbhísí Slándála Bunaithe ar Fhíorúlú a Rith”. Má tá “Garda Creidiúna” liostaithe i measc na seirbhísí gníomhacha, ciallaíonn sé sin go Tá an fheidhm ag obair i ndáiríre..

Trí PowerShell, is féidir leat an t-ordú seo a rith:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Léireoidh an luach a chuirtear ar ais stádas an fhorghníomhaithe:

• 0Garda Dintiúrtha díchumasaithe (níl sé ag rith).
• 1Tá Garda Dintiúrtha cumasaithe agus ag feidhmiú.

Ina theannta sin, is féidir imeachtaí gaolmhara a athbhreithniú san Amharcóir Imeachtaí, ag scagadh de réir Windows Logs\System mar gheall ar bhunús na n-imeachtaí WinInitCuidíonn anailís thréimhsiúil ar na himeachtaí seo, in éineacht le fiosrúcháin WMI nó iniúchtaí slándála, le sláinte agus stádas an chur i bhfeidhm a dheimhniú ar fud an chabhlaigh ar fad.

Roghanna chun Garda Dintiúr a dhíchumasú

Cé nach bhfuil sé idéalach ó thaobh sábháilteachta de, bíonn sé riachtanach uaireanta Díghníomhachtaigh Garda Dintiúir mar gheall ar shaincheisteanna comhoiriúnachta le feidhmchláir ríthábhachtacha nó le prótacail oidhreachta nach féidir a athsholáthar sa ghearrthéarma.

Athraíonn an nós imeachta chun an ghné a dhíchumasú ag brath ar an gcaoi ar cumasaíodh í ar dtús. Go ginearálta, ba chóir duit:

• Cuir an chumraíocht a chuir Intune, GPO, nó an Clárlann i bhfeidhm ar ais, ag cur luachanna VBS agus LsaCfgFlags ar ais chuig a staid dhíchumasaithe.
• Atosaigh an gléas chun stop a chur le luchtú comhpháirteanna slándála bunaithe ar fhíorúlaíocht.

Má chumraíodh Credential Guard le Glas UEFIÉiríonn rudaí beagán níos casta mar go bhfuil cuid den stát stóráilte in athróga EFI laistigh den fhirmchlár. Sa chás seo, chomh maith leis an chumraíocht a chealú i Windows, is gá sraith orduithe a rith le bcdedit ó leid ordaithe ardaithe chun uirlis chumraíochta speisialta a luchtú (SecConfig.efi) le linn tosaithe.

De ghnáth bíonn an sreabhadh mar seo a leanas:

• Suiteáil deighilt shealadach EFI ag baint úsáide as mountvol agus cóipeáil é SecConfig.efi.
• Cruthaigh iontráil luchtaire córais le bcdedit /createag pointeáil chuig SecConfig.efi.
• Cumraigh seicheamh tosaithe sealadach chun an iontráil sin a fhorghníomhú ar an gcéad atosú eile agus an rogha a thabhairt dó DÍCHUMASAIGH-LSA-ISO.
• Atosaigh an meaisín agus, nuair a thaispeántar an teachtaireacht réamh-thosaithe, Deimhnigh an t-athrú cumraíochta UEFI ionas go leanfaidh an díghníomhachtú ar aghaidh.

Gan an deimhniú seo, ní thaifeadfaidh an fhirmchlár an t-athrú agus fanfaidh Credential Guard faoi ghlas ag leibhéal UEFI, fiú má tá an chumraíocht modhnaithe laistigh den chóras oibriúcháin.

I meaisíní fíorúla, is féidir leis an óstach Hyper-V úsáid VBS agus Credential Guard a dhíchumasú le haghaidh VM ar leith ag baint úsáide as an ordú PowerShell. Socraigh-VMSecurity leis an rogha eisiaimh chomhfhreagrach.

I roinnt timpeallachtaí, tugadh faoi deara, tar éis nuashonruithe áirithe de Windows, go dtosaíonn ríomhairí a d'úsáid fíordheimhniú Deisce Cianda le SSO nó modhanna oidhreachta ag taispeáint teachtaireachtaí a níl na dintiúir bailí a thuilleadhI go leor de na cásanna seo, ba é an réiteach sealadach a cuireadh i bhfeidhm ná Credential Guard a dhíchumasú ón mbeartas grúpa áitiúil (GPEDIT.msc), ag nascleanúint chuig Cumraíocht Ríomhaire → Teimpléid Riaracháin → Córas → Device Guard → “Cas air slándáil atá bunaithe ar fhíorúlaíocht” agus an rogha chumraíochta Credential Guard a mharcáil mar “Díchumasaithe”.

Tá Credential Guard tar éis é féin a bhunú mar chomhpháirt lárnach de straitéisí cosanta aitheantais i Windows, go háirithe i dtimpeallachtaí ina bhfuil Active Directory fairsing agus cuntais phribhléideacha an-íogaire. VBS, TPM, agus aonrú cuimhneDéanann an teicneolaíocht seo an saol i bhfad níos deacra d’ionsaitheoirí atá ag iarraidh bogadh go cliathánach trí dhintiúir a ghoid ó chuimhne chríochphointí agus freastalaithe, ar choinníoll go gcomhlánaítear í le dea-chleachtais, uirlisí monatóireachta, agus bainistíocht réasúnta ar fheidhmchláir agus prótacail oidhreachta.