Windows Credential Guard er en sikkerhedsfunktion, der sikrer godkendelseslegitimationsoplysninger mod ondsindede angreb. Det forhindrer hackere i at manipulere med systemværktøjer eller køre ondsindede koder på din computer. Denne funktion er tilgængelig på Enterprise og Pro varianter af Windows 10 og Windows 11. Du bør overveje at aktivere Credential Guard, hvis du håndterer eller tilgår følsomme data lokalt eller eksternt på et Windows-domæne eller en arbejdsgruppe.
Hvad er Credential Guard helt præcist?
Når du starter din computer, godkender en proces kaldet Local Security Authority Server Service (LSASS) loginoplysningerne og giver dig adgang. LSASS gemmer også disse legitimationsoplysninger (krypterede adgangskoder, NT hashes, LM hashes og Kerberos billetter) i hukommelsen under aktive sessioner, så du ikke behøver at indtaste din adgangskode igen, hver gang du skal foretage ændringer eller få adgang til filer.
At gemme legitimationsoplysningerne i hukommelsen under sessioner er praktisk sammenlignet med alternativet: manuel identitetsgodkendelse ved hvert trin. Indrømmet, indtastning af autentificeringslegitimationsoplysninger nu og da forbedrer sikkerheden. Men godkendelsesoplysningerne er lange, især i deres hash-formede former. Det ville især være ubelejligt, hvis du skulle foretage en ændring hurtigt og særligt frustrerende, hvis du lavede en fejl og skulle indtaste en adgangskode igen. Og hvis du skal skrive adgangskoden ned et sted, kan det potentielt øge din sikkerhedsrisiko. LSASS håndterer godkendelser, så din enhedsbrug er effektiv.
Men som du kan forestille dig, med alt, der opbevarer værdifulde, følsomme data, er LSASS en jackpot for hackere. De kan kompromittere LSASS igennem legitimationsstjælende angreb ved hjælp af værktøjer som Mimikatz, Crackmapexec og Lsassy. Hackere bruger disse værktøjer til at slette, erstatte eller ændre den rigtige systemfil (lsass.exe).
Der er måder at stoppe tyveri af legitimationsoplysninger, før en hacker gør enorm skade, og det er muligt at stoppe et angreb, når du først har opdaget det. Det er dog bedre at forhindre angrebet i første omgang. Credential Guard beskytter mod ondsindede angreb ved at skabe en isoleret LSASS-proces (LSAIso), der gemmer godkendelsesdata sikkert.
Hvorfor du bør aktivere Credential Guard på din pc
Sikkerhedsfunktionen isolerer login-legitimationsoplysninger fra resten af systemets hukommelse såvel som hovedprocessen (lsass.exe), der håndterer godkendelse. Så det er i bund og grund en sort boks.
Du bør bruge Credential Guard, hvis du har flere computere, der er en del af et domæne eller en arbejdsgruppe. Hvorfor? En angriber, der kompromitterer en enhed med admin-loginoplysninger, kan kompromittere hele netværket. Aktivering af denne funktion forhindrer effektivt en hacker i at få total kontrol over følsomme oplysninger, hvis de kompromitterer et system.
Dit system skal opfylde kravene
Windows Credential Guard er eksklusivt til Enterprise- og Pro-varianterne i Windows 10 og 11. Nyere versioner af Windows-servere har også denne sikkerhedsfunktion, men enheden skal opfylde strenge hardware- og softwarekrav.
Til at begynde med skal enheden have en 64-bit CPU (for at understøtte virtualiseringsbaseret sikkerhed) og sikker opstart. Microsoft anbefaler også at have Trusted Platform Module (TPM) version 1.2 eller 2.0 og UEFI-lås (for at forhindre angribere i at omgå sikkerhedsopsætningen med regedit). Du kan tjekke basiskrav baseret på den computer eller server, du vil beskytte.
Sådan aktiveres Credential Guard på Windows
Din computer eller server vil have Credential Guard aktiveret som standard, hvis den opfylder Microsofts basiskrav. For at kontrollere, om denne sikkerhedsfunktion allerede er aktiveret, skal du trykke på Start skriv derefter "msinfo32.exe". Vælg Systemoplysninger > Systemoversigt. Du bør se "Virtualiseringsbaserede sikkerhedstjenester kører" og "Credential Guard, Hypervisor enforced Code Integrity" ved siden af hinanden.
Hvis Credential Guard ikke er aktiveret på din computer, kan du aktivere funktionen på tre hovedmåder: gennem gruppepolitik, redigering af Windows-registreringsdatabasen eller ved at bruge Microsoft Intune. Der er også mulighed for at aktivere Credential Guard med UEFI-lås, hvis du er en superbruger. De fleste administratorer vil finde det nemmere at aktivere denne funktion med gruppepolitik.
Sådan deaktiveres Credential Guard på Windows
På trods af dets anvendelighed til at forhindre tyveri af legitimationsoplysninger og Pass the Hash-angreb, vil Credential Guard få nogle tjenester og protokoller til at bryde. For eksempel forhindrer aktivering af sikkerhedsfunktionen dig i at bruge Windows To Go, Kerberos ubegrænset delegering og DES-kryptering.
Du kan heller ikke bruge tredjeparts sikkerhedssupportudbydere (SSP'er), fordi de er sårbare over for angreb, der stjæler legitimationsoplysninger. Wi-Fi- og VPN-endepunkter baseret på MS-CHAPv2 er lige så sårbare og vil blive deaktiveret, når du aktiverer Credentials Guard.
Hvis du har brug for nogle af de førnævnte funktioner, kan du deaktivere Credential Guard, så længe du har brug for det. Men sørg for at indstille en påmindelse om at genaktivere den.
Deaktivering med Group Policy Editor
Din første mulighed er at deaktivere Credential Guard ved at ændre indstillingerne for gruppepolitik.
For at gøre dette skal du trykke på Start og skriv "gpedit", og vælg derefter Rediger gruppepolitik. Gå til Computerkonfiguration > Administrative skabeloner > System > Device Guard > Slå virtualiseringsbaseret sikkerhed til > Indstillinger. Indstil "Credential Guard Configuration" til handicappet, klik Okay for at gemme ændringen og derefter genstarte din computer.
Deaktivering med Regedit
Denne mulighed er fantastisk, hvis du har aktiveret Defender Credential Guard ved hjælp af en anden metode end UEFI Lock og Group Policy. For at deaktivere Credential Guard med Regedit skal du trykke på Start og skriv "regedit". Vælg Registreringseditor. Naviger først til filstien HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags og indstil værdien til "0".
Derefter skal du navigere tilbage til HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags og indstille værdien til "0".
Du kan også følge med Microsofts instruktioner for at deaktivere Credential Guard med UEFI-lås eller deaktivere sikkerhedsfunktionen på en virtuel maskine.
Aktivering af Credential Guard er kun en forebyggelse
Tommelfingerreglen er at installere et hegn omkring din have inden plantning, især hvis du bor i et område med husdyr på fri fod. Det hegn ville være ubrugeligt, hvis du allerede har geder på din ejendom - i så fald skal du jage dem ud.
Det samme princip gælder for sikring af dine følsomme logindata. Når den er aktiveret, forhindrer Credential Guard hackere i at stjæle dine data. Det ville dog være ineffektivt, hvis angriberen allerede har etableret sig i dit netværk eller kompromitteret enheden. Så hvis du beslutter dig for at bruge denne sikkerhedsfunktion på en ny arbejdscomputer, skal du sørge for, at den er aktiveret, før computeren tilslutter sig Windows-domænet eller -arbejdsgruppen.
