Windows 10 представила несколько новых функций безопасности. Одна новая функция безопасности, которая была добавлена, называется Credential Guard, которая помогает защитить производные учетные данные домена.
Учетная запись в Windows 10
Credential Guard - одна из основных функций безопасности, доступных в Windows 10. Она позволяет защитить от взлома учетных данных домена, тем самым не позволяя хакерам принимать корпоративные сети. Наряду с такими функциями, как Device Guard и Secure Boot, Windows 10 более безопасна, чем любая предыдущая операционная система Windows.
Что такое функция Credential Guard в Windows 10
Как видно из названия, эта функция в Windows 10 защищает учетные данные внутри и между доменами пользователя в сети. Хотя предыдущие операционные системы Microsoft, используемые для хранения идентификатора и пароля для учетных записей пользователей в локальной RAM, Credential Guard создает виртуальный контейнер и сохраняет все секреты домена в этом виртуальном контейнере, к которым операционная система не может получить доступ напрямую. Вам не нужна внешняя виртуализация. Эта функция использует Hyper-V, которую вы можете настроить в апплете «Программы и компоненты» на панели управления.
Когда хакеры ранее скомпрометировали операционную систему Windows, они могли получить доступ к хэшу, используемому для шифрования учетных данных пользователя, поскольку он будет храниться в локальной памяти без большой защиты. С Credential Manager учетные данные хранятся в виртуальном контейнере, поэтому даже если хакеры компрометируют систему, они не могут получить доступ к хэшу. Таким образом, они не могут проникнуть в компьютеры в сети.
Короче говоря, функция Credential Guard в Windows 10 повышает безопасность учетных данных домена и связанных с ним хэшей так что хакеры становятся практически недоступными для доступа к тайне и применяются к другим компьютерам. Таким образом, любая возможность атаки останавливается только при входе. Я не буду говорить, что Credential Guard является нерушимым, но он уверен в повышении уровня безопасности, чтобы ваш компьютер и сеть были в безопасности.
Против учетных записей в предыдущих версиях Windows, один в Windows 10 запрещает несколько протоколов, которые могут позволить хакерам добраться до виртуального контейнера, где хранятся хешированные учетные данные. Однако эта функция недоступна для всех компьютеров.
Читать: Remote Credential Guard защищает учетные данные удаленного рабочего стола.
Требования к системе проверки учетных данных
Есть несколько ограничений - особенно если вы используете бюджетные ноутбуки. Даже Ultrabooks, которые не поддерживают Модуль надежной платформы (TPM) не может запустить Credential Guard, хотя книга работает под управлением Windows 10 Enterprise.
Credential Guard работает только в Enterprise Edition для Windows 10. Если вы используете Pro или Education, вы не сможете использовать эту функцию.
Ваша машина должна быть поддержка Secure Boot и 64-разрядная виртуализация, Это оставляет все 32-разрядные компьютеры недоступными для этой функции.
Это не означает, что вам необходимо одновременно обновить все компьютеры. Вы можете использовать любые компьютеры, соответствующие требованиям после создания поддомена, и помещать несовместимые компьютеры в поддомену. Когда вы настраиваете верхние домены с помощью Credential Guard, а несовместимые компьютеры находятся в нижнем поддомене, безопасность все равно будет достаточно хороша, чтобы помешать попыткам взлома учетных данных.
Пределы защиты учетных записей
Хотя некоторые аппаратные требования существуют для Credential Guard в Windows 10 Enterprise Edition, не все должно быть защищено этой функцией. Вы не должны ожидать от Credential Guard следующего:
- Защита локальных и учетных записей Microsoft
- Защита учетных данных, управляемых сторонним программным обеспечением
- Защита от ключевых регистраторов.
Credential Guard предлагает защиту от попыток прямого взлома и вредоносного ПО, запрашивающего учетную информацию. Если учетная информация уже украдена до того, как вы сможете внедрить Credential Guard, это не помешает хакерам использовать хэш-ключ на других компьютерах того же домена.
Для получения дополнительной информации и сценариев для управления функцией Credential Guard в Windows 10 посетите TechNet.
Завтра мы увидим, как включить Credential Guard с помощью групповой политики.
