Credential Guard
Credential Guard — технологія для захисту секретів, що використовує засоби забезпечення безпеки на основі віртуалізації, з наданням доступу тільки привелійованому програмному забезпеченню. Несанкціонований доступ до цих даних може призвести до атак Pass-The-Hash та Pass-The-Ticket, ціллю яких є крадіжка облікових даних.
Можливості ред.
- Апаратна безпека. Для підвищення рівню безпеки вилучених облікових записів домену Credential Guard використовує функції безпеки платформи, включаючи безпечне завантаження та віртуалізацію.
- Засіб забезпечення безпеки на основі віртуалізації. Служби Windows, які керують вилученими обліковими записами домену та іншими секретами, що виконуються в захищеному середовищі, яке ізольоване від операційної системи, що використовується.
- Покращений захист від ціленаправлених стійких загроз. Захист вилучених облікових записів за допомогою засобу забезпечення безпеки на основі віртуалізації дозволяє блокувати атаки, що направлені на кражу облікових даних, а також інструменти, які використовуються в багатьох інших ціленаправлених атаках. Вірусні програми, які працюють в операційній системі з правами адміністратора, не можуть отримати доступ до секретів, захищених з використанням засобу забезпечення безпеки на основі віртуалізації. Не дивлячись на те, що Credential Guard забезпечує надійний захист, з часом в стійких загрозах, можуть використовуватись нові методи атак, тому крім цього засобу захисту, рекомендується використовувати Device Guard та інші архітектури та стратегії захисту безпеки.
- Керованість. Credential Guard можна керувати за допомогою групових політик, WMI ,командного рядку та PowerShell.
Принцип роботи ред.
Credential Guard ізолює секрети, які в попередніх версіях Windows зберігалась в локальній системі безпеки (LSA), за допомогою засобу забезпечення безпеки на основі віртуалізації. До Windows 10 для збереження секретів використовувалась LSA, яка зберігала їх в пам'яті процесів. З появою Credential Guard процес LSA в операційній системі став взаємодіяти з новим компонентом — ізольованим процесом LSA, яка відповідає за збереження та захист секретів. Дані, збережені в ізольованому процесі LSA захищені за допомогою засобу забезпечення безпеки на основі віртуалізації та недоступні для решти операційної системи. LSA в операційні системі взаємодіє з ізольованим процесом LSA за допомогою віддалених викликів процедур (RPC).
З міркувань безпеки, в ізольованому процесі LSA не зберігаються драйвери пристроїв. Він зберігає тільки невелику групу бінарних файлів операційної системи, які необхідні для забезпечення безпеки. Всі ці двійкові файли підписані сертифікатом, який є довіреним для засобу забезпечення безпеки на основі віртуалізації, а перед запуском файлу в захищеному середовищі ці підписи перевіряються.
З використанням вилучених облікових записів за замовчуванням Credential Guard також не дозволяє застосовувати застарівші версії протоколів перевірки достовірності NTLM та Kerberos, а також набори шифрування, в тому числі NTLMv1, MS-CHAPv2, а також найбільш слабкі типи шифрування Kerberos, такі як DES.
Вимоги до апаратного та програмного забезпечення ред.
Для використання можливостей Credential Guard комп'ютер має відповідати наступним вимогам до апаратного та програмного забезпеченням.
| Вимога | Опис |
|---|---|
| Windows 10 Enterprise | Комп'ютер має працювати від управлінням Windows 10 Enterprise. |
| Мікропрограмне забезпеченням UEFI версії 2.3.1 або старше та підтримка безпечного завантеження | Для того, щоб перевірити, що мікропрограмне забезпечення використовує UEFI 2.3.1 або більш пізньої версії та безпечне завантаження, можна виконати перевірку на відповідність вимогам Програми сумісності обладнання для Windows. |
| Розширення віртуалізації | Для підтримки засобу забезпеченням безпеки на основі віртуалізації, необхідні наступні розширення віртуалізації: |
| Архітектура x64 | Функції, які засіб забезпечення безпеки на основі віртуалізації використовує в низькорівневій оболонці Windows, можуть працювати лише на 64-розрядних архітектура. |
| Модуль IOMMU | В Windows 10 модуль IOMMU підвищує стійкість системи до атака пам'яті. |
| Довірений платформений модуль (TPM) версії 1.2 або 2.0 | TPM версій 1.2 та 2.0 забезпечує захист ключів шифрування, які зберігаються в вбудованому програмному забезпеченні. TPM 1.2 не підтримується в Windows 10 (білд 10240); однак він підтримується в Windows 10 версії 1511 (білд 10586) та більш пізніх версіях. Якщо TPM не встановлено, Credential Guard досі буде увімкнено, але ключі, які використовуються для шифрування Credential Guard не будуть захищені модулем TPM. |
| Процес безпечного оновлення мікропрограмного забезпечення | Для того, щоб переконатись, що мікропрограмне забезпечення підтримує процес безпечного оновлення, його можна перевірити на відповідності вимогам можна за допомогою Програми сумісності обладнання для Windows. |
| Мікропрограмне забезпечення оновлено для реалізації безпечного MOR [Архівовано 26 січня 2019 у Wayback Machine.] | Для роботи Credential Guard вимагає безпечний біт MOR, який дозволяє запобігти деякі атаки на пам'ять. |
| Фізичний комп'ютер | Credential Guard не вдастся використати на віртуальній машині, запущеній на ПК під управлінням Windows 10. |
Джерела ред.
- datbaze.ru [Архівовано 26 січня 2019 у Wayback Machine.]
- microsoft.com [Архівовано 26 січня 2019 у Wayback Machine.]
- Introducing Windows 10 for IT Professionals Technical Overview [Архівовано 18 січня 2019 у Wayback Machine.]
| На цю статтю не посилаються інші статті Вікіпедії. Будь ласка розставте посилання відповідно до прийнятих рекомендацій. |