База полезных знаний

Защита учётной записи (Credential Guard)

Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.

Содержание:

Credential Guard

Credential Guard предоставляет следующие возможности:

Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS.

Основанный на виртуализации процесс LSA

Если включён Credential Guard, более старые варианты NTLM или Kerberos (то есть NTLM v1, MS-CHAPv2 и т. д.) больше не поддерживаются.

Поскольку Credential Guard основан на виртуализации, для него требуется определённая аппаратная поддержка. В следующей таблице приведены некоторые из этих требований:

 
Требования Описание
Windows Server 2016 S Защита учётных данных доступна на всех Windows Server 2016 SKU, за исключением Nano Server (поскольку Nano Server поддерживает только удалённое управление).
Версия прошивки UEFI 2.3.1 или выше и безопасная загрузка Чтобы убедиться, что прошивка использует UEFI версии 2.3.1 или выше и безопасную загрузку, вы можете проверить её на соответствие требованиям приложением System.Fundamentals.Firmware.CS.UEFISecureBoot.
ConnectedStandby Program.
 Расширения виртуализации  Для поддержки безопасности на основе виртуализации необходимы следующие расширения виртуализации:
  • Intel VT-x или AMD-V
  • Second Level Address Translation
 x64 архитектура  Функции, которые использует защита на основе виртуализации в гипервизоре Windows, могут работать только на 64-битном ПК.
 VT-d или AMD-Vi IOMMU  IOMMU повышает устойчивость системы к атакам на память.
 TPM версии 1.2 или 2.0  Внимание: Если у вас нет установленного TPM, Credential Guard по-прежнему будет включён, но ключи, используемые для его шифрования, не будут защищены TPM.
 Прошивка обновлена для реализации Secure MOR  Credential Guard требует, чтобы защищённый бит MOR помог предотвратить определённые атаки на память.
 Физический ПК или ВМ  Credential Guard поддерживается как на физических машинах, так и на виртуальных. Для виртуальной машины Hypervisor должен поддерживать вложенную виртуализацию.

Самый простой способ получить Credential Guard для вашей организации - включить её с помощью групповой политики и выбрать машины на своём предприятии, для которых вы хотите её применить.

В консоли управления групповыми политиками создайте новую групповую политику или отредактируйте существующую. Затем перейдите в раздел «Конфигурация компьютера> Административные шаблоны> Система> Защита устройства».

Дважды нажмите «Включить защиту на основе виртуализации», а затем в открывшемся диалоговом окне выберите параметр «Включено». В диалоговом окне «Выбор уровня безопасности платформы» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA». В списке «Конфигурация учётных данных» выберите «Включено с блокировкой UEFI» и нажмите «ОК». Если вы хотите удалённо отключить Credential Guard, в списке настроек Credential Guard вместо «Enabled With UEFI Lock», выберите «Enabled Without Lock».

Параметры групповой политики для Credential Guard

Подробнее. Для получения дополнительной информации перейдите на страницу https://technet.microsoft.com/library/mt483740(v=vs.85).aspx.

Удалённая защита учётных данных

Удалённая защита учётной записи, обеспечивает защиту от кражи ваших учётных данных при дистанционном подключении к системе через сеанс удалённого рабочего стола.

Когда пользователь пытается получить доступ к удалённому рабочему столу на удалённом хосте, запрос Kerberos перенаправляется для аутентификации обратно на исходный узел. Учётные данные, на удалённом хосте больше не существуют. Если удалённый хост (то есть, компьютер конечного пользователя или сервер) имеет вредоносный код, удалённый credential guard смягчит это злонамеренное воздействие, так как учётные данные на удалённый хост передаваться не будут.

К удалённой защите учётных данных существуют некоторые требования:

Чтобы включить защиту удалённых учётных данных, настройте её с помощью групповой политики и разверните в своих сетях.

Чтобы настроить это с помощью групповой политики, откройте консоль управления групповыми политиками, а затем перейдите к «Конфигурация компьютера > Административные шаблоны > Система > Делигирование учётных данных». Далее дважды щёлкните «Restrict Delegation To Remote Servers», а затем выберите «Require Remote Credential Guard». Наконец, нажмите «ОК» и, чтобы вывести групповую политику, запустите gpupdate/force. (также вы можете включить удалённую защиту учётных данных с помощью ключа реестра — посмотрите следующую ссылку «Подробнее».)

Подробнее. Чтобы узнать больше о развёртывании защиты удалённых учётных данных, перейдите на https://technet.microsoft.com/itpro/windows/keep-secure/remote-credential-guard.

Exit mobile version