Mlinzi wa Uthibitishaji ni nini na jinsi ya kuangalia ikiwa umeamilishwa

Kulinda vitambulisho katika Windows kumekuwa kazi muhimu kwa kampuni yoyote inayochukua usalama wa mtandao kwa uzito. Kila wakati mtumiaji anapoingia, vitambulisho huzalishwa na kuhifadhiwa. siri za uthibitishaji zenye thamani kubwa (hashes, tiketi, tokeni, n.k.) ambazo, zikianguka mikononi mwa mshambuliaji, humruhusu kuzunguka mtandao kana kwamba ni mtumiaji halali. Hapa ndipo Walinzi wa Uthibitishaji wanapohusika.

Kilinda Uthibitishaji cha Windows Defender ni kipengele cha usalama kinachotumia Usalama unaotegemea uhalisia pepe (VBS) kutenganisha siri hizo na kuzuia mfumo endeshi "wa kawaida" au programu hasidi yenye marupurupu ya juu kuzifikia. Ingawa si risasi ya fedha na haitoi aina zote za vitambulisho au vekta zote za mashambulizi, inapunguza kwa kiasi kikubwa ufanisi wa mbinu za kawaida kama vile Pass-the-Hash na Tiketi ya Kupitishapamoja na zana kama Mimikatz katika matukio mengi.

Kilinda Uthibitishaji cha Windows Defender ni nini hasa?

Credential Guard ni kipengele cha Windows kilichoundwa ili Linda sifa za kikoa na siri zingine za uthibitishaji Teknolojia hii inalinda dhidi ya mashambulizi yanayojaribu kuyasoma moja kwa moja kutoka kwenye kumbukumbu ya mfumo. Ilionekana kwa mara ya kwanza katika Windows 10 Enterprise na Windows Server 2016, na bado ipo katika matoleo ya baadaye ya Windows 11 na Windows Server.

Kwa ujumla, Walinzi wa Uthibitishaji hutegemea VBS kutekeleza sehemu ya mchakato wa usalama katika mazingira yaliyotengwa na hypervisor, tofauti na mfumo mkuu wa uendeshaji. Badala ya siri zinazokaa moja kwa moja katika kumbukumbu ya mchakato wa jadi wa Mamlaka ya Usalama wa Mitaa (LSA) (lsass.exe), huhifadhiwa katika mchakato uliolindwa na huru, ambao kwa kawaida husimamiwa na LsaIso.exe, ambayo inaweza kufikiwa tu kwa msimbo ulio na upendeleo na unaoaminika zaidi.

Mgawanyiko huu unalenga kuzuia programu hasidi ambayo imepata marupurupu ya msimamizi kutoka kwa tupa kumbukumbu ya LSASS kutoa hashes za NTLM, tiketi za Kerberos, au sifa zilizohifadhiwa katika Kidhibiti cha Hati. Mbinu si kubadilisha itifaki za uthibitishaji, bali ni ili kuhakikisha mahali na jinsi vitambulisho vinavyohifadhiwa kwenye kumbukumbu.

Siri na huduma zinalindwa na Walinzi wa Hati miliki

Kipengele hiki hulinda aina mbalimbali za sifa ambazo kwa kawaida zimekuwa shabaha kuu ya washambuliaji. Miongoni mwa siri ambazo Walinzi wa Uthibitishaji huhifadhi zinalindwa, kimsingi, ni zile zinazohusiana na:

• NTLMHaraka za nenosiri la NTLM zinazotumika kwa uthibitishaji.
• KerberosHasa, Tiketi ya Kutoa Tiketi (TGT) ambayo hukuruhusu kuomba tiketi zingine za huduma.
• Meneja wa Hati miliki: vitambulisho vya kikoa vilivyohifadhiwa na programu na huduma.
• Ingia za ndani na za mbali ambayo inategemea sifa za kikoa.

Katika matoleo ya awali ya Windows, siri hizi zilibaki kwenye kumbukumbu ya mchakato. LSASS kwa njia inayoweza kufikiwa kwa urahisi kwa mshambuliaji mwenye haki za juu. Kwa kuwa na Walinzi wa Uthibitishaji, mchakato wa LSA pekee unaendeshwa ambao haufichui siri hizo moja kwa moja kwa zana zinazojaribu kusoma kumbukumbu ya mfumo endeshi wa kawaida.

Jinsi usalama unaotegemea uboreshaji (VBS) na hali salama pepe (VSM) hufanya kazi

Ufunguo wa Credential Guard ni VBS, teknolojia inayotumia kipaza sauti cha Windows kuunda mazingira ya utekelezaji yaliyotengwa ndani ya mashine hiyo hiyo halisi. Ndani ya mazingira hayo, ambayo mara nyingi huitwa Hali Salama Pepe (VSM), huduma za usalama huendesha zinazosimamia siri za uthibitishaji.

Wakati Mlinzi wa Uthibitishaji anafanya kazi, siri huhifadhiwa kwenye kumbukumbu ndani ya VSM na sio kwenye nafasi ya kawaida ya kumbukumbu ya mfumo endeshiKidhibiti cha hypervisor huhakikisha kwamba ni msimbo wenye upendeleo na uthibitisho wa hali ya juu pekee unaoweza kuufikia. Kwa njia hii, hata kama mshambuliaji atafanikiwa kuathiri mfumo endeshi na upendeleo wa msimamizi, nafasi zake za kusoma siri hizo moja kwa moja hupunguzwa sana.

Kwenye vifaa vya kisasa vinavyojumuisha TPM 2.0 inayoendana, data inayoendelea ya VSM inaweza kufichwa kwa njia fiche Ufunguo mkuu wa VSMUfunguo huu huhifadhiwa na kulindwa na TPM na mfumo wake mkuu wa uaminifu katika kiwango cha programu dhibiti. Kwa hivyo, hata kama mtu atajaribu kuharibu mchakato wa kuwasha au kutengeneza diski kwa njia ya nakala, Hutaweza kufikia siri zilizolindwa nje ya mazingira yaliyothibitishwa..

Pia ni muhimu kutambua kwamba Credential Guard kwa kawaida haihifadhi data kama ifuatayo kwenye diski: NTLM hash au TGTHizi huzaliwa upya katika kila kuingia na hupotea kati ya kuwasha upya, kwa hivyo hazitegemei moja kwa moja kitufe kikuu cha VSM au TPM ili kubaki salama baada ya kuzima.

Vikwazo na sifa ambazo Walinzi wa Uthibitishaji hawalindi

Licha ya faida zake, Credential Guard ina mipaka iliyo wazi ambayo inahitaji kueleweka Ili kuepuka kujiamini kupita kiasi. Kuna sifa na mtiririko wa uthibitishaji ambao uko nje ya wigo wake wa ulinzi au ambao haufanyi kazi kwa njia ile ile wakati kipengele kinatumika.

Kwa upande mmoja, wakati Ulinzi wa Uthibitishaji umewezeshwa, itifaki fulani za zamani kama vile NTLMv1, MS-CHAPv2, Digest na CredSSP Hawawezi kutumia vitambulisho kutoka kwa kipindi ambacho tayari kimeingia. Hii ina maana kwamba kuingia mara moja (SSO) kwa kutumia itifaki hizi huacha kufanya kazi. Programu zinazotegemea hizo zinaweza kulazimika kuomba jina la mtumiaji na nenosiri tena au kutumia vitambulisho vilivyohifadhiwa kwenye duka la Windows. ambazo katika visa hivi hazilindwa na Walinzi wa Hati.

Zaidi ya hayo, kuna mbinu za usimamizi wa sifa ambazo haziko nje kabisa ya wigo wa kipengele hiki, kama vile:

• Programu ya mtu wa tatu ambayo huhifadhi nywila au tokeni nje ya miundombinu ya kawaida ya Windows.
• Akaunti za ndani na akaunti za Microsoft, ambazo hazifurahii aina moja ya kutengwa kama vitambulisho vya kikoa.
• Hifadhidata za Saraka Amilifu Imehifadhiwa kwenye vidhibiti vya kikoa vya Seva ya Windows. Kinga ya Uthibitishaji hailindi moja kwa moja hifadhidata ya Saraka Active au mabomba ya uingiaji wa uthibitishaji katika huduma kama vile Lango la Kompyuta ya Mbali.
• Waandishi wa funguo na vifaa vingine vya kunasa ingizo: ikiwa mshambuliaji atarekodi mipigo ya vitufe, anaweza kuiba nenosiri kabla hata halijahifadhiwa katika LSASS au kwenye kisanduku cha mchanga.
• Mashambulizi ya kimwili kwa vifaa (kwa mfano, ufikiaji wa kumbukumbu ya moto au usomaji wa diski kwa kutumia mbinu za hali ya juu).

Ikumbukwe pia kwamba Credential Guard haimzuii mshambuliaji ambaye tayari ana programu hasidi kwenye mashine kupata ufikiaji. Tumia haki za vitambulisho halali ambazo zilipatikana kwa njia mbadala. Kwa mfano, ikiwa msimamizi ataingia kwenye mashine ambayo tayari imeathiriwa, mshambuliaji anaweza kutumia kipindi chake kinachoendelea kufanya vitendo kwa ruhusa zake, hata kama hawezi kutoa hashi ya NTLM kutoka kwenye mazingira yaliyowekwa kwenye sandbox.

Kwa upande mwingine, vitambulisho vya kuingia vilivyohifadhiwa kwenye akiba Kuingia kwa Windows (mara nyingi huitwa "kuingia kwa akiba") pia hakujaangukia katika kundi la vitambulisho vinavyoweza kutumika tena kwenye kompyuta zingine. Huhifadhiwa kwenye sajili ya ndani na hutumika tu kuthibitisha kuingia wakati kikoa hakipatikani. Hizi zinasimamiwa na sera ya usalama "Kuingia kwa mwingiliano: Idadi ya kuingia kwa awali kwenye akiba" na Hazilindwa mahususi na Walinzi wa Uthibitishaji.

Hatimaye, Vocha za huduma za Kerberos Hazilindwa na Credential Guard, ingawa TGT inalindwa. Na Credential Guard inapokuwa hai, Kerberos haitaruhusu ugawaji usio na kikomo au usimbaji fiche wa DES, si kwa ajili ya vitambulisho vilivyoanzishwa wala kwa ajili ya vitambulisho vilivyoombwa au vilivyohifadhiwa.

Faida dhidi ya mashambulizi ya wizi wa sifa

Lengo kuu la Walinzi wa Uthibitishaji ni kukomesha mashambulizi ya "wizi na utumiaji tena" wa vitambulisho, haswa:

• Pass-the-Hash: utumiaji tena wa hashi za NTLM zilizoibiwa ili kuthibitisha kwenye mifumo mingine.
• Pitisha Tiketi: matumizi mabaya ya tiketi za Kerberos (TGT au huduma) zilizopatikana kutoka kwa mashine iliyoathiriwa.

Kwa kutenga siri katika VSM na kuweka mipaka kwa ni nani anayeweza kuzifikia, mbinu nyingi zinazotumia zana kama Mimikatz huzuiwa. tupa kumbukumbu ya LSASSKatika mazingira yasiyo na Walinzi wa Uthibitishaji, Mimikatz inaweza kutoa hashi za NTLM na tikiti za Kerberos bila shida sana mara tu mshambuliaji anapokuwa na haki za msimamizi. Kwa kuwa Walinzi wa Uthibitishaji wamewezeshwa, mchakato wa LSA uliotengwa huzuia siri hizi kupatikana katika kumbukumbu inayoweza kupatikana kutoka kwa mfumo wa kawaida wa uendeshaji.

Hata hivyo, ni muhimu kuelewa kwamba Walinzi wa Uthibitishaji si salama. Mimikatz na zana zinazofanana bado zinaweza, kwa mfano, nasa vitambulisho wakati vinaingizwaIkiwa mfumo tayari umeathiriwa na mtumiaji aliyepewa upendeleo anaingia baadaye, mwandishi wa Mimikatz ameonya kwamba ikiwa mshambuliaji atapata udhibiti wa mwisho kabla ya msimamizi kuingiza vitambulisho vyake, bado kuna njia za kuviiba. Zaidi ya hayo, Walinzi wa Uthibitishaji hawalindi dhidi ya matumizi mabaya ya vitambulisho kwa... watumiaji halali wa ndaniIkiwa mtu ameidhinisha ufikiaji wa rasilimali, teknolojia hii haitamzuia kunakili data nyeti.

Imewezeshwa kwa chaguo-msingi katika Windows 11 na Seva ya Windows

Katika matoleo ya hivi karibuni ya mfumo, Microsoft imepiga hatua zaidi na kuwezesha mchanganyiko wa VBS na Walinzi wa Hati miliki kwenye vifaa fulani. Kuanzia na Windows 11, toleo la 22H2, na Windows Server 2025, kompyuta zinazokidhi mahitaji ya chini kabisa huwa na vipengele hivi vilivyowezeshwa kiotomatiki.

Mpangilio wa kiwandani kwa kawaida hufanywa bila kufuli la UEFIHii ina maana kwamba wasimamizi wanaweza kuzima Credential Guard kwa mbali ikiwa wanaona ni muhimu, kwa mfano, kutokana na kutolingana muhimu na programu ya zamani. Credential Guard inapowashwa, VBS pia huwashwa kiotomatiki.

Ni muhimu kujua kwamba ikiwa timu tayari ina Walinzi wa Uthibitishaji imezimwa waziwazi Kabla ya kusasisha hadi toleo la Windows ambapo kipengele hiki kimewezeshwa kwa chaguo-msingi, hali ya "kuzima" huhifadhiwa baada ya kusasisha. Sera dhahiri daima huchukua kipaumbele kuliko tabia chaguo-msingi baada ya kuanzisha upya.

Mahitaji ya vifaa, programu dhibiti, na programu

Ili Walinzi wa Uthibitishaji watoe ulinzi mzuri, kifaa lazima kifuate mahitaji ya chini kabisa ya vifaa, programu dhibiti, na mfumo endeshiKadiri vifaa vitakavyokuwa vya kisasa na kamili, ndivyo kiwango cha ulinzi kinachoweza kufikiwa kinavyoongezeka.

Mahitaji muhimu ni pamoja na:

• CPU ya biti 64, pamoja na usaidizi wa uboreshaji wa vifaa.
• Usalama unaotegemea uhalisia pepe imeamilishwa (VBS).
• Boot salama imewezeshwa na kusanidiwa.

Kwa kuongezea, ingawa si lazima kila wakati, inashauriwa sana kuwa na:

• TPM (Moduli ya Jukwaa Linaloaminika) Toleo la 1.2 au 2.0, iwe ni la kipekee au la programu dhibiti, ili kuunganisha ulinzi kwenye vifaa na kuhifadhi funguo kuu kwa usalama.
• Kufuli la UEFIambayo huzuia mshambuliaji kuzima Kinga ya Uthibitishaji kwa kurekebisha tu maingizo ya Usajili au mabadiliko ya usanidi wa kiwango cha chini.

Timu zinazokidhi mahitaji haya ya msingi zinaweza kustahiki ukadiriaji wa ziada wa usalama na viwango vya juu vya ulinzi dhidi ya vitisho vinavyojaribu kutumia mnyororo wa buti au ufikiaji wa kumbukumbu moja kwa moja.

Kutumia Kinga ya Uthibitishaji kwenye mashine pepe za Hyper-V

Kinga ya Uthibitishaji inaweza pia kulinda siri ndani ya mashine pepe zinazoendesha kwenye Hyper-V, kama vile inavyofanya kwenye vifaa halisi. Inapowezeshwa katika VM, siri hutengwa kutokana na mashambulizi yanayotokana na ndani ya mashine hiyo hiyo pepe.

Hata hivyo, kuna mambo muhimu: Walinzi wa Uthibitishaji hawatoi ulinzi dhidi ya mashambulizi ya juu ya upendeleo yanayoanzishwa kutoka mwenyeji kwamba VM inaendesha. Yaani, msimamizi mwenyeji au mshambuliaji anayedhibiti mfumo wa kimwili wa msingi bado anaweza kuwa na chaguo za ujanja.

Ili Kinga ya Uthibitishaji ifanye kazi kwenye mashine pepe ya Hyper-V, angalau yafuatayo yanahitajika:

• Mwenyeji wa Hyper-V mwenye IOMMU (kitengo cha usimamizi wa kumbukumbu ya ingizo/matokeo) kinaoana.
• Mashine pepe ya Kizazi cha 2, ambayo inasaidia kuwasha salama kwa UEFI na viendelezi vinavyohitajika.

Kutoka kwa seva mwenyeji, inawezekana hata kuzima Credential Guard kwa VM maalum kwa kutumia PowerShell, na amri inayofanana na Seti-VMSecurity -Usaidizi wa MtandaoniUsaidizi wa MtandaoniOptOut $kweli, ikielekeza jina la mashine pepe.

Leseni na matoleo ya Windows yanayolingana

Credential Guard haipatikani katika matoleo yote ya Windows. Microsoft imeihifadhi kwa matoleo yanayolenga zaidi biashara na elimu, ikiacha matoleo fulani ya kitaalamu ya kawaida.

Kuhusu utangamano na toleo la Windows, kwa ujumla, yafuatayo yanatumika:

• Biashara ya Windows- Inasaidia Walinzi wa Hati miliki.
• Elimu ya Windows: inaendana.
• Elimu/SE ya Windows Pro na Windows Pro: usijumuishe usaidizi wa moja kwa moja kwa Walinzi wa Uthibitishaji.

Kuhusu haki za leseni, utendaji kazi unahusishwa na usajili wa biashara na kiwango cha elimu. Miongoni mwa leseni ambazo Ndiyo, wanatoa haki za matumizi Walinzi wa Hati miliki ni pamoja na:

• Windows Enterprise E3
• Windows Enterprise E5
• Elimu ya Windows A3
• Elimu ya Windows A5

Leseni zingine, kama vile Windows Pro au Pro Education Standard, hazijumuishi haki hizi kwa chaguo-msingi. Kwa maelezo zaidi kuhusu kila leseni inajumuisha nini na ni hali gani inashughulikia, inashauriwa kupitia hati rasmi. Leseni ya Windows.

Athari kwenye programu na itifaki za uthibitishaji

Kuanzisha Walinzi wa Hati miliki kuna matokeo ya moja kwa moja katika baadhi ya Itifaki za uthibitishaji wa zamani na utendaji fulani ya Kerberos na NTLM, ambazo programu nyingi za zamani bado hutumia. Kabla ya kusambazwa kwa wingi, ni muhimu kutambua mahitaji na kujaribu utangamano.

Programu zitaacha kufanya kazi ipasavyo ikiwa zinahitaji yoyote kati ya uwezo ufuatao:

• Usaidizi kwa Usimbaji fiche wa DES katika Kerberos.
• Uwasilishaji wa Kerberos bila vikwazo.
• Uchimbaji wa Kerberos TGT kutoka kwa mfumo.
• Matumizi ya NTLMv1 kama itifaki ya uthibitishaji.

Matukio mengine si lazima yavunje programu, lakini yanavuruga kuongeza hatari ya kuambukizwa ya sifa ikiwa bado zinatumika:

• Uthibitishaji usio dhahiri unaonasa au kutumia tena vitambulisho vya maandishi wazi.
• Ugawaji wa sifa bila ulinzi wa kutosha.
• Itifaki kama vile MS-CHAPv2 y Sifa ya SSPambayo inaweza kumlazimisha mtumiaji kuingiza vitambulisho ambavyo huhifadhiwa kwa njia isiyo salama sana.

Baadhi ya huduma au programu zinazojaribu unganisha moja kwa moja mchakato uliotengwa LSAIso.exe Zinaweza kusababisha matatizo ya utendaji au hitilafu ikiwa hazijaundwa kufanya kazi na mfumo huu mpya. Kinyume chake, huduma zinazotegemea Kerberos kwa chaguo-msingi, kama vile SMB hushiriki au miunganisho ya Kompyuta ya Mbali iliyosanidiwa vizuri, Wanapaswa kuendelea kufanya kazi kama kawaida wakati Kilinda Uthibitishaji kimewezeshwa.

Jinsi ya kuwezesha Walinzi wa Uthibitishaji katika mazingira ya kampuni

Mapendekezo ya usalama ni kuwezesha Walinzi wa Uthibitishaji. kabla ya kuunganisha kifaa kwenye kikoa au kabla ya mtumiaji wa kikoa kuingia kwa mara ya kwanza, ili siri zisihifadhiwe kamwe bila ulinzi ulioimarishwa. Ikiwa itaamilishwa baada ya mashine kutumika kwa muda, baadhi ya vitambulisho vinaweza kuwa tayari vimeathiriwa.

Kuna njia kadhaa kuu za kuwezesha Walinzi wa Uthibitishaji kwenye kundi la vifaa vya Windows:

• Microsoft Intune / MDM.
• Agizo la Sera ya Kikundi (GPO).
• Usanidi wa Usajili wa Moja kwa Moja.

Usanidi kwa kutumia sera za Microsoft Intune na MDM

Katika mazingira yanayodhibitiwa na Intune, usanidi unaweza kutekelezwa kupitia wasifu wa usalama au sera maalum. Mtiririko wa kawaida wa kazi unahusisha kuunda sera ya ulinzi wa akaunti au sawa na kuweka vigezo vya Washa VBS na ubainishe usanidi wa Credential Guard.

Unapotumia CSP (Mtoa Huduma za Usanidi) kama vile DeviceGuard, funguo husika ni pamoja na:

• Jina la usanidi: “Washa usalama unaotegemea uboreshaji wa data”. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityAina ya data: nambari kamili. Thamani: 1 ili kuwezesha.
• Jina la usanidi: “Usanidi wa Walinzi wa Hati”. OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsAina ya data: nambari kamili. Thamani za kawaida:
  • 1: imewezeshwa na kufuli ya UEFI.
  • 2: imewezeshwa bila kuzuia.

Mara tu sera hiyo ikishatumika kwa kundi linalohitajika la vifaa au watumiaji, ni muhimu kuanzisha upya kompyuta ili hypervisor na mazingira ya VSM yaanzishwe kwa usahihi na Walinzi wa Uthibitishaji waweze kufanya kazi.

Kuwezesha kwa kutumia Sera ya Kikundi (GPO)

Katika vikoa vinavyotegemea Saraka Amilifu, njia ya kawaida ya kusanidi Walinzi wa Uthibitishaji ni kupitia Mhariri wa Sera ya KikundiInaweza kusanidiwa katika Kihariri cha Sera cha Eneo la Kila Kompyuta na katika GPO zilizounganishwa na OU au kikoa kizima.

Njia ya kawaida ya usanidi ni:

Usanidi wa kifaa → Violezo vya utawala → Mfumo → Kinga ya Kifaa

Ndani ya njia hiyo, unahitaji kuhariri sera ya "Wezesha usalama unaotegemea uboreshaji wa data" na kuweka hali yake kuwa ImewezeshwaKatika menyu kunjuzi ya “Mipangilio ya Walinzi wa Uthibitishaji”, unaweza kuchagua kati ya “Imewezeshwa na kufuli ya UEFI” au “Imewezeshwa bila kufuli,” kulingana na kiwango kinachohitajika cha kizuizi. Baada ya kusasisha sera na kuwasha upya, ulinzi utaanza kutumika.

Usanidi wa hali ya juu kupitia Usajili

Kwa matukio maalum au otomatiki, inawezekana pia kusanidi Kinga ya Uthibitishaji kwa kudhibiti moja kwa moja Usajili wa WindowsFunguo muhimu zaidi ni:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Mfafanua: EnableVirtualizationBasedSecurity (REG_DWORD). Thamani: 1 ili kuamsha VBS.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Mfafanua: RequirePlatformSecurityFeatures (REG_DWORD). Thamani za kawaida:
  • 1 kwa matumizi katika buti salama pekee.
  • 3 kutumia ulinzi wa kuwasha salama na DMA.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Mfafanua: LsaCfgFlags (REG_DWORD). Thamani:
  • 1Washa Kilinda Uthibitishaji kwa kutumia kufuli ya UEFI.
  • 2Washa Kilinda Uthibitishaji bila kufunga.

Baada ya kutumia mabadiliko haya, unahitaji kuanzisha upya mashine kwa ajili ya usanidi mpya kuanza kutumika na mazingira yaliyolindwa kuanza.

Jinsi ya kuangalia kama Credential Guard inaendelea kufanya kazi

Kosa la kawaida ni kuzingatia tu kama mchakato LsaIso.exe Inaonekana katika Kidhibiti Kazi, ikidokeza kwamba Kilinda Uthibitishaji kinafanya kazi. Microsoft haipendekezi njia hii kama ukaguzi kamili, kama inavyoweza haionyeshi kwa usahihi hali halisi ya ulinzi.

Badala yake, kuna njia tatu zaidi za kuaminika za kuangalia hali ya Walinzi wa Uthibitishaji:

• Zana Taarifa ya mfumo (msinfo32.exe).
• Makomando wa PowerShell.
• Mapitio ya matukio katika Kitazamaji cha Matukio.

Ukiwa na Taarifa za Mfumo, endesha tu msinfo32.exeChagua “Muhtasari wa Mfumo” na uchague sehemu ya “Huduma za Usalama Zinazoendeshwa kwa Kutumia Uhalisia Pepe”. Ikiwa “Mlinzi wa Uthibitishaji” ameorodheshwa miongoni mwa huduma zinazotumika, inamaanisha kwamba Kipengele hiki kinafanya kazi kweli..

Kupitia PowerShell, unaweza kuendesha amri:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Thamani iliyorejeshwa itaonyesha hali ya utekelezaji:

• 0: Kilinda Uthibitishaji kimezimwa (haifanyi kazi).
• 1Walinzi wa Hati miliki wamewezeshwa na wanafanya kazi.

Zaidi ya hayo, matukio yanayohusiana yanaweza kukaguliwa katika Kitazamaji cha Matukio, kwa kuchuja kwa Windows Logs\System kutokana na asili ya matukio WinInitUchambuzi wa mara kwa mara wa matukio haya, pamoja na maswali ya WMI au ukaguzi wa usalama, husaidia kuthibitisha afya na hali ya utekelezaji katika meli nzima.

Chaguo za kuzima Kilinda Uthibitishaji

Ingawa si bora kwa upande wa usalama, wakati mwingine ni muhimu Zima Mlinzi wa Uthibitishaji kutokana na masuala ya utangamano na programu muhimu au itifaki za zamani ambazo haziwezi kubadilishwa kwa muda mfupi.

Utaratibu wa kuzima kipengele hiki hutofautiana kulingana na jinsi kilivyowezeshwa awali. Kwa ujumla, unapaswa:

• Rejesha usanidi uliotumika na Intune, GPO, au Registry, ukirudisha thamani za VBS na LsaCfgFlags kwenye hali yao ya kuzimwa.
• Anzisha upya kifaa ili kuacha kupakia vipengele vya usalama vinavyotegemea uboreshaji.

Ikiwa Kinga ya Uthibitishaji ilisanidiwa na Kufunga kwa UEFIMambo yanakuwa magumu zaidi kwa sababu sehemu ya hali huhifadhiwa katika vigeu vya EFI ndani ya programu dhibiti. Katika hali hii, pamoja na kutendua usanidi katika Windows, ni muhimu kuendesha mfululizo wa amri na bcdedit kutoka kwa kidokezo cha amri kilichoinuliwa ili kupakia zana maalum ya usanidi (SecConfig.efi) wakati wa kuanzisha biashara.

Mtiririko kawaida huwa kama ifuatavyo:

• Weka kizigeu cha muda cha EFI kwa kutumia mountvol na uinakili SecConfig.efi.
• Unda kiingilio cha chaja ya mfumo ukitumia bcdedit /createakielekeza kwa SecConfig.efi.
• Sanidi mfuatano wa muda wa kuwasha ili kutekeleza ingizo hilo kwenye kuwasha upya kunakofuata na uipe chaguo hilo ZIMA-LSA-ISO.
• Anzisha upya mashine na, wakati ujumbe wa awali unapoonekana, Thibitisha mabadiliko ya usanidi wa UEFI ili kuzima kuendelee.

Bila uthibitisho huu, programu dhibiti haitarekodi mabadiliko na Kilinda Uthibitishaji kitabaki kimefungwa katika kiwango cha UEFI, hata kama usanidi umebadilishwa ndani ya mfumo endeshi.

Katika mashine pepe, mwenyeji wa Hyper-V anaweza kuzima matumizi ya VBS na Credential Guard kwa VM maalum kwa kutumia amri ya PowerShell Seti-VMSecurity pamoja na chaguo linalolingana la kutengwa.

Katika baadhi ya mazingira, imeonekana kwamba baada ya masasisho fulani ya Windows, kompyuta zilizotumia uthibitishaji wa Remote Desktop kwa kutumia SSO au mbinu za zamani huanza kuonyesha ujumbe ambao vitambulisho havitumiki tenaKatika visa vingi kati ya hivi, suluhisho la muda ambalo limetumika limekuwa kuzima Credential Guard kutoka kwa sera ya kikundi cha ndani (GPEDIT.msc), kuelekea Usanidi wa Kompyuta → Violezo vya Utawala → Mfumo → Kinga ya Kifaa → "Washa usalama unaotegemea uboreshaji" na kuweka alama kwenye chaguo la usanidi wa Credential Guard kama "Imezimwa".

Walinzi wa Uthibitishaji wamejiimarisha kama sehemu muhimu ya mikakati ya ulinzi wa utambulisho katika Windows, hasa katika mazingira yenye Saraka Amilifu pana na akaunti nyeti sana. VBS, TPM, na kutengwa kwa kumbukumbuTeknolojia hii hufanya maisha kuwa magumu zaidi kwa washambuliaji wanaojaribu kusogea pembeni kwa kuiba sifa kutoka kwa kumbukumbu za sehemu za mwisho na seva, mradi tu inakamilishwa na mazoea mazuri, zana za ufuatiliaji, na usimamizi mzuri wa programu na itifaki za zamani.