Credentials guard как включить
Перейти к содержимому

Credentials guard как включить

  • автор:

Отключить или включить защиту учетных записей в Windows 10

Сегодня, в этом посте, мы увидим, как включить или включить функцию Credential Guard в Windows 10 с помощью групповой политики. Credential Guard — одна из основных функций безопасности, доступных в Windows 10. Она позволяет защитить от взлома учетных данных домена, тем самым не позволяя хакерам принимать корпоративные сети.

Включить защиту учетных данных

Учетная запись доступен только в Windows 10 Enterprise Edition, Поэтому, если вы используете Pro или Education, вы не сможете увидеть эту функцию в своей версии Windows. Кроме того, ваша машина должна поддерживать Secure Boot и 64-битную виртуализацию.

Чтобы включить или включить Credential Guard, откройте Run, введите gpedit.msc и нажмите «Ввод», чтобы открыть редактор групповой политики.

Теперь перейдите к следующему параметру:

Computer Configuration > Administrative Templates > System > Device Guard

Теперь дважды щелкните Включить безопасность на основе виртуализации, а затем выберите Включено.

Затем в разделе «Параметры» выберите Уровень безопасности платформы поле, выберите Безопасная загрузка или же Безопасная загрузка и защита DMA.

в Конфигурация учетных данных поле, нажмите Включено с блокировкой UEFI и затем ОК.

Если вы хотите отключить Credential Guard удаленно, выберите Включено без блокировки.

Нажмите «Применить / ОК» и выйдите.

Вы должны помнить, что Credential Guard предложит защиту от попыток прямого взлома и вредоносного ПО, запрашивающего учетную информацию. Если учетная информация уже украдена до того, как вы сможете внедрить Credential Guard, это не помешает хакерам использовать хэш-ключ на других компьютерах того же домена.

Учетная запись Remote Credential Guard в Windows 10 защищает учетные данные удаленного рабочего стола.

Как включить или отключить учетную охрану в Windows 10?

Credential Guard — это функция, которая использует защиту на основе виртуализации для разделения определенных секретов, чтобы сделать их доступными только для привилегированного программного обеспечения. Секреты всегда поддаются кибер-угрозам из-за возрастающей степени взлома. Следовательно, несанкционированный доступ вреден для интересов учетных данных и секретов, и они часто уступают место кражам, таким как Pass-the-Hash или Pass-The-Ticket. Это когда учетная охрана входит в игру. Основная функция защиты учетных данных — предотвращать эти атаки, защищая хэши паролей NTLM и билеты на подачу билетов в Kerberos.

Credential Guard предлагает следующие функции и решения:

  • Аппаратная защита Credential Guard повышает безопасность учетных данных производного домена, используя преимущества безопасности платформы, в том числе Secure Boot и виртуализацию.
  • Безопасность на основе виртуализации Windows службы, управляющие учетными данными производного домена и другими секретами, работают в защищенной среде, изолированной от работающей операционной системы.
  • Улучшенная защита от передовых постоянных угроз. Обеспечение защиты учетных данных производного домена с использованием защиты на основе виртуализации блокирует методы и инструменты атаки воровства, используемые во многих атаках. Вредоносная программа, работающая в операционной системе с правами администратора, не может извлекать секреты, защищенные безопасностью на основе виртуализации. Хотя Credential Guard является мощным смягчением, постоянные атаки угроз, скорее всего, перейдут на новые методы атаки, и вы также должны включить Device Guard и другие стратегии и архитектуры безопасности.

Шаг, чтобы включить или отключить учетную защиту в Windows 10

1. откройте Cortana, введите Windows Особенности. Теперь прокрутите вниз и проверьте Hyper-V Hypervisor в Hyper-V и нажмите OK. Если ваша версия более ранняя, чем Enterprise Build 1607, найдите Hyper-V Hypervisor в Hyper-V, установите флажок Изолированный режим пользователя и нажмите OK.

выберите пользователя

2. Теперь нажмите Windows+ R, чтобы открыть окно «Выполнить». Теперь введите gpedit.msc.

3. Перейти к следующему местоположению Конфигурация компьютераАдминистративные шаблоныSystemDevice Guard.
4. В правой панели устройства Guard дважды нажмите на «Включить политику безопасности на основе виртуализации», чтобы отредактировать ее,
5. Чтобы включить защиту учетных данных, выберите enable else selct Disable.

Credentials guard как включить

VMware Workstation and Device/Credential Guard are not compatible.

✅ VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.

🔥 Не запускается виртуальные машины VMware что делать?

Способ 1 — Отключаем Hyper-V
  1. Запускаем командную строку WIN + R
  2. Вводим команду cmd которая нам откроет терминал в котором мы вводим следующую команду
  1. Заходим в настройки и в меню выбираем Обновление и Безопасность
    VMware Workstation and Device/Credential Guard are not compatible.
  2. Переходим в меню Безопасность Windows и выбираем Безопасность Устройства
    VMware Workstation and Device/Credential Guard are not compatible.
  3. Далее переходим в Безопасность устройства и в пункте Изоляция ядра нажимаем на ссылку
    VMware Workstation and Device/Credential Guard are not compatible.
  4. переводим ползунок в режим Откл закрываем и перезагружаем компьютер
    VMware Workstation and Device/Credential Guard are not compatible.
  5. Если этот способ не помог, переходим ко второй инструкции
Способ 3 — Отключаем Credential Guard
  1. Запускаем командную строку WIN + R
  2. Вводим команду gpedit.msc которая нам откроет — Редактор локальной и групповой политики
  3. Длаее идем в ветку: Конфигурация компьютера => Административные шаблоны => Система => Device Guard
  4. Открываем службу Включить средство обеспечения безопасности на основе виртуализации и нам надо ее отключить
    Управление Credential Guard в Защитнике Windows
  5. на этом закрываем Редактор локальной и групповой политики
  6. Запускаем командную строку WIN + R
  7. Вводим команду appwiz.cpl которая нам откроет Программы и компоненты и тут выбираем меню Включение или отключение компонентов Windows
    VMware Workstation and Device/Credential Guard are not compatible.
  8. В открывшемся окне снимаем галку с пункта Hyper-V
    VMware Workstation and Device/Credential Guard are not compatible.
  9. Перезагружаем компьютер

Защита учётной записи (Credential Guard)

Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.

Credential Guard

Credential Guard предоставляет следующие возможности:

  • Безопасность оборудования. Повышает безопасность учётных записей производного домена, используя для этого преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию.
  • Безопасность на основе виртуализации. Службы Windows, которые управляют учётными данными производного домена и другими секретами, выполняются в защищённой среде, изолированной от операционной системы.
  • Улучшенная защита от самых современных постоянных угроз. Обеспечивает учётные данные производных доменов с помощью безопасности на основе виртуализации. Блокирует атаки на учётные данные и инструменты, используемые в многих других атаках. Вредоносные программы, выполняющимися в ОС с административными привилегиями не могут извлечь секреты, которые находятся под защитой безопасности на основе виртуализации.
  • Управляемость. Управление с помощью групповой политики, WMI, из командной строки и Windows PowerShell.

Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS.

процесс-LSA

Основанный на виртуализации процесс LSA

Если включён Credential Guard, более старые варианты NTLM или Kerberos (то есть NTLM v1, MS-CHAPv2 и т. д.) больше не поддерживаются.

Поскольку Credential Guard основан на виртуализации, для него требуется определённая аппаратная поддержка. В следующей таблице приведены некоторые из этих требований:

  • Intel VT-x или AMD-V
  • Second Level Address Translation

Самый простой способ получить Credential Guard для вашей организации — включить её с помощью групповой политики и выбрать машины на своём предприятии, для которых вы хотите её применить.

В консоли управления групповыми политиками создайте новую групповую политику или отредактируйте существующую. Затем перейдите в раздел «Конфигурация компьютера> Административные шаблоны> Система> Защита устройства».

Дважды нажмите «Включить защиту на основе виртуализации», а затем в открывшемся диалоговом окне выберите параметр «Включено». В диалоговом окне «Выбор уровня безопасности платформы» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA». В списке «Конфигурация учётных данных» выберите «Включено с блокировкой UEFI» и нажмите «ОК». Если вы хотите удалённо отключить Credential Guard, в списке настроек Credential Guard вместо «Enabled With UEFI Lock», выберите «Enabled Without Lock».

параметры-групповой-политики

Параметры групповой политики для Credential Guard

Удалённая защита учётных данных

Удалённая защита учётной записи, обеспечивает защиту от кражи ваших учётных данных при дистанционном подключении к системе через сеанс удалённого рабочего стола.

Когда пользователь пытается получить доступ к удалённому рабочему столу на удалённом хосте, запрос Kerberos перенаправляется для аутентификации обратно на исходный узел. Учётные данные, на удалённом хосте больше не существуют. Если удалённый хост (то есть, компьютер конечного пользователя или сервер) имеет вредоносный код, удалённый credential guard смягчит это злонамеренное воздействие, так как учётные данные на удалённый хост передаваться не будут.

К удалённой защите учётных данных существуют некоторые требования:

  • Пользователь должен быть присоединён к домену Active Directory или сервер удалённого рабочего стола должен быть присоединён к домену с доверительными отношениями к клиентскому устройству.
  • Пользователь должен использовать аутентификацию Kerberos.
  • Пользователь должен работать как минимум на Windows 10, версии 1607 или Windows Server 2016.
  • Требуется классическое приложение Windows для удалённого рабочего стола. Приложение Remote Desktop Universal Windows Platform не поддерживает Remote Credential Guard.

Чтобы включить защиту удалённых учётных данных, настройте её с помощью групповой политики и разверните в своих сетях.

Чтобы настроить это с помощью групповой политики, откройте консоль управления групповыми политиками, а затем перейдите к «Конфигурация компьютера > Административные шаблоны > Система > Делигирование учётных данных». Далее дважды щёлкните «Restrict Delegation To Remote Servers», а затем выберите «Require Remote Credential Guard». Наконец, нажмите «ОК» и, чтобы вывести групповую политику, запустите gpupdate/force. (также вы можете включить удалённую защиту учётных данных с помощью ключа реестра — посмотрите следующую ссылку «Подробнее».)

Похожие публикации:
  1. Function native code что за файл
  2. Rnwf msm helper class как исправить
  3. В чем целесообразность разбиения множества пользователей на группы
  4. Время за которое маятник совершает

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *