В современном цифровом мире одной из самых опасных и распространенных угроз является кража учетных данных (credentials theft). Злоумышленники используют такие атаки, как Pass-the-Hash (PtH) и Pass-the-Ticket (PtT), чтобы получить хэши паролей и билеты Kerberos, необходимые для несанкционированного доступа к сети. Microsoft Defender Credential Guard — это критически важная функция безопасности Windows 11, которая изолирует эти секреты для предотвращения подобных атак. В этой статье мы подробно рассмотрим требования и пошаговые инструкции по включению и настройке Credential Guard в Windows 11 Pro.
Принцип работы и требования Credential Guard
Что такое Credential Guard?
Credential Guard использует безопасность на основе виртуализации (VBS), чтобы создать изолированную среду для критически важного процесса Local Security Authority Subsystem Service (LSASS). В этой изолированной области хранятся и защищаются хэши паролей NTLM и билеты Kerberos (TGT), делая их недоступными для вредоносного ПО, работающего в основной операционной системе, даже с правами администратора.
— Защита: Изолирует секреты от остальной части ОС.
— Результат: Предотвращает кражу учетных данных при атаках Pass-the-Hash и Pass-the-Ticket.
Аппаратные и программные требования
Для активации Credential Guard на устройстве должны быть соблюдены строгие требования, связанные с безопасностью на основе виртуализации (VBS). Хотя Credential Guard часто ассоциируется с корпоративными версиями, его можно и нужно настроить в Windows 11 Pro, начиная с версии 22H2, где он может быть включен по умолчанию, если соблюдены требования.
— Процессор: 64-разрядный процессор с поддержкой расширений виртуализации (Intel VT-x или AMD-V) и SLAT (Second Level Address Translation).
— TPM: Модуль TPM 1.2 или 2.0 (для защиты ключей, используемых VBS).
— Прошивка: Прошивка UEFI (не Legacy BIOS).
— Безопасная загрузка: Должен быть включен Secure Boot (Безопасная загрузка).
— Hyper-V: Должна быть установлена или включена Платформа виртуализации Hyper-V (HypervisorPlatform), необходимая для VBS.
Проверка статуса Credential Guard
Чтобы убедиться, что Credential Guard активен, выполните следующее:
— Нажмите Win + R, введите msinfo32 и нажмите Enter.
— В разделе «Сведения о системе» найдите пункт «Безопасности на основе виртуализации».
— Если напротив него указано «Credential Guard», значит функция активна.
Включение Credential Guard через Групповые политики (GPO)
Самый надежный способ управления Credential Guard в Windows 11 Pro — через редактор локальной групповой политики (gpedit.msc).
Шаг 1: Активация безопасности на основе виртуализации (VBS)
Credential Guard не может работать без предварительно включенной VBS.
— Нажмите Win + R, введите gpedit.msc и нажмите Enter.
— Перейдите: Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard.
— Дважды щелкните по параметру «Включить средство обеспечение безопасности на основе виртуализации».
— Установите значение «Включено».
— В поле «Выбор уровня безопасности платформы» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA» (если поддерживается оборудованием).
Шаг 2: Настройка Credential Guard
В том же окне настройте параметр Credential Guard Configuration:
— Выберите один из двух вариантов:
1. Включена с блокировкой UEFI: Обеспечивает максимальную защиту, предотвращая удаленное или простое отключение функции (требует локального присутствия и сброса настроек UEFI/BIOS для отключения). Рекомендуется.
2. Включена без блокировки: Позволяет удаленно отключить Credential Guard через GPO или реестр. Это менее безопасно, но более гибко для администрирования.
— Нажмите «Применить» и «ОК».
Шаг 3: Перезагрузка
Для применения настроек VBS и Credential Guard требуется перезагрузка компьютера.
Включение Credential Guard через Реестр (Альтернативный метод)
Если по какой-то причине вы не можете использовать GPO, можно настроить Credential Guard напрямую через Реестр Windows. Для этого необходимо внести изменения в два ключевых раздела.
1. Включение VBS
— Откройте Редактор реестра (regedit.exe).
— Перейдите к пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
— Создайте или измените параметр DWORD (32-бит):
— Имя: EnableVirtualizationBasedSecurity
— Значение: 1 (для включения VBS).
2. Включение Credential Guard
— Перейдите к пути: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
— Создайте или измените параметр DWORD (32-бит):
— Имя: LsaCfgFlags
— Значение:
— 1 (для включения Credential Guard с блокировкой UEFI).
— 2 (для включения Credential Guard без блокировки).
Пример настройки Credential Guard с блокировкой UEFI через LsaCfgFlags:
reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v LsaCfgFlags /t REG_DWORD /d 1 /f
— После внесения изменений также требуется перезагрузка.
Совместимость и известные проблемы
Включение Credential Guard значительно повышает безопасность, но может вызвать проблемы совместимости с некоторыми устаревшими протоколами и приложениями.
Ограничения и протоколы
При включенном Credential Guard не поддерживаются следующие устаревшие протоколы аутентификации:
— NTLMv1
— MS-CHAPv2
— Протоколы Digest и CredSSP (могут влиять на некоторые сценарии удаленного рабочего стола/RDP).
— Неограниченное делегирование Kerberos.
— Проблема единого входа (SSO): Приложения или сервисы, которые используют эти устаревшие методы, могут потребовать повторный ввод учетных данных или полностью потерять функцию единого входа (SSO).
— Виртуальные машины: Если вы используете виртуальные машины (например, VMware Workstation или VirtualBox), VBS и Credential Guard могут блокировать их работу. В таких случаях может потребоваться их отключение или специальная настройка, которая отключает VBS для гостевой ОС.
Как проверить ошибки Credential Guard
Если после включения Credential Guard возникают проблемы, проверьте системные журналы:
— Откройте Просмотр событий (eventvwr.msc).
— Перейдите: Журналы приложений и служб -> Microsoft -> Windows -> NTLM -> Operational
— В этом журнале вы можете найти события, связанные с блокировкой NTLMv1 и другими протоколами, что поможет диагностировать проблемы с SSO и приложениями.
Отключение Credential Guard (При необходимости)
Если Credential Guard был включен «без блокировки UEFI», вы можете отключить его удаленно через GPO или реестр.
Отключение через GPO
— Вернитесь к параметру «Включить средство обеспечение безопасности на основе виртуализации» в gpedit.msc.
— Установите значение «Отключено» (Disabled).
— После применения GPO и двух перезагрузок Credential Guard будет отключен.
Отключение через Реестр
— Установите значение 0 для ключей, которые вы ранее меняли:
— HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard -> EnableVirtualizationBasedSecurity = 0.
— HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa -> LsaCfgFlags = 0.
Credential Guard является важным шагом в обеспечении безопасности современных систем Windows 11 Pro. Изолируя критические секреты ОС, он эффективно защищает от наиболее распространенных и опасных атак, связанных с кражей учетных данных. Несмотря на строгие аппаратные требования и потенциальные проблемы совместимости с устаревшим ПО, его включение настоятельно рекомендуется для всех, кто заботится о своей цифровой безопасности.
