Cài đặt và cấu hình Windows Defender Credential Guard

Comments

Windows Defender Credential Guard là gì?

Credential Guard là một trong những tính năng bảo mật chính được tích hợp sẵn trên Windows 10 trở lên. Tính năng này cho phép bảo vệ máy tính của bạn khỏi những cuộc tấn công các thông tin miền, do đó ngăn chặn tin tặc kiểm soát Enterprise Networks.
Cùng với các tính năng như Device Guard, Secure Boot, và Credential Guard, Windows có lẽ là phiên bản Windows có độ bảo mật cao hơn so với các phiên bản Windows trước.

Trên các phiên bản hệ điều hành trước của Microsoft tính năng này được sử dụng để lưu trữ ID và mật khẩu cho tài khoản người dùng trên nội bộ bộ nhớ RAM, Credential Guard tạo một Virtual Container và lưu trữ tất cả Domain Secrets trong Virtual Container mà hệ điều hành không thể truy cập trực tiếp được. Tính năng này sử dụng Hyper V mà bạn có thể cấu hình được trong mục Program and Features trên Control Panel.

Các tính năng và giải pháp sau được cung cấp

  • Bảo mật phần cứng: NTLM, Kerberos và Credential Manager tận dụng các tính năng bảo mật của nền tảng, bao gồm Secure Boot và ảo hóa, để bảo vệ thông tin xác thực.
  • Bảo mật dựa trên ảo hóa: Windows NTLM và thông tin đăng nhập có nguồn gốc Kerberos, cũng như các bí mật khác chạy trong môi trường bảo vệ được cách ly khỏi hệ điều hành đang chạy.
  • Bảo vệ tốt hơn trước các mối đe dọa liên tục nâng cao: Khi thông tin đăng nhập domain Credential Manager, NTLM và thông tin xác thực có nguồn gốc từ Kerberos được bảo vệ bằng cách sử dụng bảo mật dựa trên ảo hóa, các kỹ thuật và công cụ tấn công nhằm đánh cắp thông tin xác thực, được sử dụng trong nhiều cuộc tấn công có chủ đích, sẽ bị chặn.
    Phần mềm độc hại chạy trong hệ điều hành có đặc quyền quản trị không thể trích xuất các bí mật được bảo vệ bằng bảo mật dựa trên ảo hóa. Mặc dù Windows Defender Credential Guard là một biện pháp giảm thiểu mạnh mẽ, nhưng những cuộc tấn công liên tục có khả năng sẽ chuyển sang các kỹ thuật tấn công mới, do đó bạn cũng nên kết hợp nhiều chiến lược và kiến trúc bảo mật khác.

Nói tóm lại, tính năng Credential Guard trên Windows giúp tăng cường độ bảo mật các thông tin miền và các hash liên quan, tránh được các cuộc tấn công của tin tặc.

Một số yêu cầu và hạn chế

  • Credential Guard chỉ có sẵn trên phiên bản Windows 10 Enterprise. Do đó nếu bạn sử dụng phiên bản Pro hoặc Education, bạn không thể truy cập và kích hoạt được tính năng này trên máy tính Windows 10 của mình.
  • Thiết bị của bạn hỗ trợ Secure Boot và Virtualization 64-bit (CPU 64-bit, tiện ích mở rộng ảo hóa CPU cộng với Extended Page Tables, Windows Hypervisor – không yêu cầu cài đặt tính năng Hyper-V Windows).
  • TPM (ưu tiên – cung cấp liên kết với phần cứng) phiên bản 1.2 và 2.0 được hỗ trợ, Discrete hoặc Firmware.
  • Khóa UEFI (ưu tiên – ngăn kẻ tấn công vô hiệu hóa bằng một thay đổi registry key đơn giản).
    Một số hạn chế của Credential Guard:
  • Không thể bảo vệ tài khoản Local và tài khoản Microsoft.
  • Không thể bảo vệ các thông tin bên ứng dụng, phần mềm thứ 3.
  • Không thể bảo vệ chống Key Loggers.

Hướng dẫn cấu hình trên Windows Server

  1. Tại Máy DC1, vào run gõ lệnh GPMC.MSC để vào Group Policy Management.
  2. Cửa sổ Group Policy Management, chọn  Forest: thaikiet.local > Domains > thaikiet.local, phải chuột vào OU HCM chọn Create a GPO in this domain, and Link it here
  3. Cửa sổ New GPO, trong phần Name nhập vào CredentialGuard_GPO, ấn OKWindows Defender Credential Guard
  4. Phải chuột vào CredentialGuard_GPO vừa tạo chọn Edit
  5. Cửa sổ Group Policy Management Editor, chọn Computer Configuration\Policies\Administrative Templates\System\Device Guard.
  6. Cửa sổ bên phải double click vào Turn On Virtualization Based Security.
  7. Cửa sổ Turn On Virtualization Based Security chọn Enable và các thông tin sau:
    • Select Platform Security Level: chọn Secure Boot and DMA Protection.
    • Credential Guard Configuration: chọn Enabled with UEFI lock.
    • Secure Launch Configuration: chọn Enabled, ấn OK
  8. Đóng cửa sổ Group Policy Management Editor.
  9. Đóng cửa sổ Group Policy Management
  10. Vào CMD chạy lênh gpupdate /force và khởi động lại máy

Tham khảo Manage Windows Defender Credential Guard | Device Guard and Credential Guard hardware readiness tool

5/5 - (2 bình chọn)
TRƯƠNG THÁI KIỆT

TRƯƠNG THÁI KIỆT

https://thaikiet.com

thaikiet.com là nơi lưu trữ những kiến thức tổng hợp và chia sẻ cá nhân về Mạng Máy Tính, Quản Trị Hệ Thống và Bảo Mật. Với tiêu chí là cùng chia sẽ cùng thành công!

Mail: [email protected]

Bài viết cùng chuyên mục

Ngăn chặn user cài đặt phần mềm trong Domain

Ngăn chặn user cài đặt phần mềm trong Domain

Trong thực tế, khi các bạn đã xây dựng hệ thống DC, vẫn có 1 số phần mềm có thể cài đặt được bởi quyền của user như zalo..., bạn có thể chặn người dùng cài đặt bằng các bước đơn giản bên dưới. Mở...

Di chuyển thư mục lưu trữ active directory trên DC

Di chuyển thư mục lưu trữ active directory trên DC

Khi chúng tôi cài đặt thư mục hoạt động, nó cung cấp tùy chọn chọn đường dẫn thư mục để sao chép các tệp cơ sở dữ liệu thư mục hoạt động (Thư mục NTDS). Lời khuyên của tôi là luôn sử dụng một phân...

0 Comments

0 Lời bình

Gửi Lời bình

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

eleven + 15 =