"Windows 10" įdiegė keletą naujų saugumo funkcijų. Vienas naujas saugumo elementas, kuris buvo pridėtas, vadinamas Credential Guard, kuris padeda apsaugoti išvestinius domeno kredencialus.
Credential Guard sistemoje "Windows 10"
"Credential Guard" yra viena iš pagrindinių saugumo funkcijų, prieinama "Windows 10". Tai leidžia apsaugoti nuo įsilaužimo domeno kredencialus, taip užkertant kelią įsilaužimams perimti įmonių tinklus. Kartu su tokiomis funkcijomis kaip "Device Guard" ir "Secure Boot", "Windows 10" yra saugesnė nei bet kuri ankstesnė "Windows" operacinė sistema.
Kas yra "Credential Guard" funkcija "Windows 10"
Kaip rodo jo pavadinimas, ši "Windows 10" funkcija apsaugo įgaliojimus tinklo naudotojų srityse ir tarp jų. Nors ankstesnės "Microsoft" operacinės sistemos naudojamos vartotojo vardų ir slaptažodžių saugojimui vietinėse RAM atmintinėse, Kredential Guard sukuria virtualus konteineris ir saugo visas domeno paslaptis toje virtualioje talpykloje, prie kurios operacinė sistema negali tiesiogiai pasiekti. Jums nereikia išorinės virtualizacijos. Ši funkcija naudoja "Hyper-V", kurią galite konfigūruoti "Programų ir funkcijų" programėlėje valdymo skydelyje.
Kai anksčiau kompiuteriai įsilaužė į "Windows" operacinę sistemą, jie galėjo gauti prieigą prie hash, naudojamo naudotojo įgaliojimams šifruoti, nes jie būtų saugomi vietinėje RAM be didelės apsaugos. Naudojant "Credential Manager", kredencialai saugomi virtualioje talpykloje, taigi net jei įsilaužėlis pakenks sistemai, jie negalės pasiekti hash. Tokiu būdu jie negali įsiskverbti į kompiuterius tinkle.
Trumpai tariant, "Credential Guard" funkcija yra "Windows 10" padidina domeno kredencialų ir susijusių maišų saugumą kad įsilaužėliams būtų beveik neįmanoma susipažinti su slaptumu ir pritaikyti jį kitiems kompiuteriams. Taigi bet kokia atakos galimybė yra sustojama tik prie įėjimo. Negaliu pasakyti, kad "Credential Guard" yra nepažeista, bet tai tikrai padidina saugumo lygį, kad jūsų kompiuteris ir tinklas būtų saugūs.
Kalbant apie ankstesnių "Windows" versijų "Credential Guards", "Windows 10" neleidžia keletą protokolų, kurie gali leisti įsilaužtiems kompiuteriams pasiekti virtualų konteinerį, kuriame saugomi maišytieji kredencialai. Tačiau ši funkcija nėra prieinama visiems kompiuteriams.
Skaitykite: "Remote Credential Guard" apsaugo "Remote Desktop" įgaliojimus.
Kvalifikacijos apsaugos sistemos reikalavimai
Yra keletas apribojimų, ypač jei esate nešiojamieji kompiuteriai. Net "Ultrabooks", kurie nepalaiko Patikimos platformos modulis (TPM) negalima paleisti "Credential Guard", nors knygoje veikia "Windows 10 Enterprise".
Credential Guard veikia tik "Windows 10 Enterprise Edition". Jei naudojate "Pro" arba "Education", jūs negalėsite naudotis šia funkcija.
Jūsų mašina turėtų būti remti "Secure Boot" ir 64 bitų virtualizavimą. Tai palieka visus 32 bitų kompiuterius iš šios funkcijos taikymo srities.
Tai nereiškia, kad jūs turite atnaujinti visus savo kompiuterius vienu metu. Galite naudoti bet kuriuos kompiuterius, kurie atitinka reikalavimus, sukurdami subdomeną ir įdėdami nesuderinamus kompiuterius į subdomeną. Kai konfigūruosite aukščiausius domenus naudodami Credential Guard, o nesuderinami kompiuteriai yra mažesniuose domenuose, saugumas vis tiek bus pakankamai geras, kad sukliudytų įsibrovimo bandymus.
Kvalifikacinio saugumo ribos
Nors tam tikri aparatūros reikalavimai egzistuoja "Credential Guard" versijoje "Windows 10 Enterprise Edition", funkcija saugo ne viską. Jūs neturėtumėte tikėtis šių iš Kredential Guard:
- Vietinių ir "Microsoft" paskyrų apsauga
- Trečiųjų šalių programinės įrangos tvarkomų įgaliojimų apsauga
- Apsauga nuo pagrindinių įrašų.
Kredentialų apsaugos tarnyba užtikrins apsaugą nuo tiesioginių įsilaužimų bandymų ir kenkėjiškos programinės įrangos, norinčios gauti leidimus. Jei kredencialinė informacija jau yra pavogta, kol jūs negalėsite įgyvendinti Credential Guard, tai netrukdo hakerams naudoti maišos kodą kituose to paties domeno kompiuteriuose.
Norėdami gauti papildomos informacijos ir scenarijus, skirtus valdyti "Credential Guard" funkciją "Windows 10", apsilankykite "TechNet".
Rytoj mes pamatysime, kaip įjungti "Credential Guard", naudodami grupės politiką.
