Windows Credential Guard är en säkerhetsfunktion som säkrar autentiseringsuppgifterna mot skadliga attacker. Det förhindrar hackare från att manipulera systemverktyg eller köra skadliga koder på din dator. Den här funktionen är tillgänglig på Enterprise och Pro-versionerna av Windows 10 och Windows 11. Du bör överväga att aktivera Credential Guard om du hanterar eller kommer åt känsliga data lokalt eller på distans på en Windows-domän eller arbetsgrupp.
Vad är Credential Guard exakt?
När du startar din dator autentiserar en process som kallas Local Security Authority Server Service (LSASS) inloggningsuppgifterna och ger dig åtkomst. LSASS lagrar också dessa referenser (krypterade lösenord, NT-haschar, LM-haschar och Kerberos-biljetter) i minnet under aktiva sessioner, så du behöver inte ange ditt lösenord igen varje gång du behöver göra ändringar eller komma åt filer.
Att spara referenserna i minnet under sessioner är praktiskt jämfört med alternativet: manuell identitetsautentisering vid varje steg. Visst, att ange autentiseringsuppgifter då och då förbättrar säkerheten. Men autentiseringsuppgifterna är långa, särskilt i sina hashade former. Det skulle vara särskilt obekvämt om du måste göra en ändring snabbt och särskilt frustrerande om du gjorde ett misstag och måste ange ett lösenord igen. Och om du måste skriva ner lösenordet någonstans kan detta potentiellt öka din säkerhetsrisk. LSASS hanterar autentiseringar, så din enhetsanvändning är effektiv.
Men som du kan föreställa dig, med allt som lagrar värdefull, känslig data, är LSASS en jackpott för hackare. De kan kompromissa med LSASS legitimationsstöldattacker med hjälp av verktyg som Mimikatz, Crackmapexec och Lsassy. Hackare använder dessa verktyg för att ta bort, ersätta eller ändra den verkliga systemfilen (lsass.exe).
Det finns sätt att stoppa autentiseringsstöld innan en hacker gör enorm skada, och det är möjligt att stoppa en attack när du har upptäckt den. Det är dock bättre att förhindra attacken i första hand. Credential Guard skyddar mot skadliga attacker genom att skapa en isolerad LSASS-process (LSAIso) som lagrar autentiseringsdata säkert.
Varför du bör aktivera Credential Guard på din dator
Säkerhetsfunktionen isolerar inloggningsuppgifter från resten av systemets minne såväl som huvudprocessen (lsass.exe) som hanterar autentisering. Så det är i huvudsak en svart låda.
Du bör använda Credential Guard om du har flera datorer som ingår i en domän eller arbetsgrupp. Varför? En angripare som äventyrar en enhet med administratörsinloggningsuppgifter kan äventyra hela nätverket. Att aktivera den här funktionen förhindrar effektivt en angripare från att få total kontroll över känslig information om de äventyrar ett system.
Ditt system måste uppfylla kraven
Windows Credential Guard är exklusivt för Enterprise och Pro-versionerna av Windows 10 och 11. Senaste versioner av Windows-servrar har också denna säkerhetsfunktion, men enheten måste uppfylla strikta hård- och mjukvarukrav.
Till att börja med måste enheten ha en 64-bitars CPU (för att stödja virtualiseringsbaserad säkerhet) och säker uppstart. Microsoft rekommenderar också att ha Trusted Platform Module (TPM) version 1.2 eller 2.0 och UEFI-lås (för att förhindra angripare från att kringgå säkerhetsinställningen med regedit). Du kan kontrollera grundläggande krav baserat på den dator eller server du vill skydda.
Hur man aktiverar Credential Guard på Windows
Din dator eller server kommer att ha Credential Guard aktiverat som standard om den uppfyller Microsofts baslinjekrav. För att kontrollera om denna säkerhetsfunktion redan är aktiverad, tryck på Start skriv sedan "msinfo32.exe". Välj Systeminformation > Systemsammanfattning. Du bör se "Virtualiseringsbaserade säkerhetstjänster körs" och "Credential Guard, Hypervisor enforced Code Integrity" bredvid varandra.
Om Credential Guard inte är aktiverat på din dator kan du aktivera funktionen på tre huvudsakliga sätt: genom grupprincip, redigering av Windows-registret eller med Microsoft Intune. Det finns också möjlighet att aktivera Credential Guard med UEFI-lås om du är en avancerad användare. De flesta administratörer kommer att tycka att det är lättare att aktivera den här funktionen med gruppolicy.
Hur man inaktiverar Credential Guard på Windows
Trots dess användbarhet för att förhindra autentiseringsstöld och Pass the Hash-attacker, kommer Credential Guard att få vissa tjänster och protokoll att gå sönder. Om du till exempel aktiverar säkerhetsfunktionen hindrar du dig från att använda Windows To Go, Kerberos obegränsad delegering och DES-kryptering.
Du kan inte heller använda tredjepartsleverantörer av säkerhetssupport (SSP: er) eftersom de är sårbara för attacker mot autentiseringsstöld. Wi-Fi- och VPN-slutpunkter baserade på MS-CHAPv2 är lika sårbara och kommer att inaktiveras när du aktiverar Credentials Guard.
Om du behöver några av de ovannämnda funktionerna kan du inaktivera Credential Guard hur länge du behöver. Men se till att ställa in en påminnelse för att återaktivera den.
Inaktivera med grupprincipredigerare
Ditt första alternativ är att inaktivera Credential Guard genom att ändra grupprincipinställningarna.
För att göra detta, tryck Start och skriv "gpedit" och välj sedan Redigera gruppolicy. Gå till Datorkonfiguration > Administrativa mallar > System > Device Guard > Aktivera virtualiseringsbaserad säkerhet > Alternativ. Ställ in "Konfiguration av Credential Guard" till Inaktiverad, klick OK för att spara ändringen och starta sedan om datorn.
Inaktiverar med Regedit
Det här alternativet är bra om du har aktiverat Defender Credential Guard med en annan metod än UEFI Lock och Group Policy. För att inaktivera Credential Guard med Regedit, tryck Start och skriv "regedit". Välj Registerredigerare. Navigera först till filsökvägen HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags och ställ in värdet på "0".
Gå sedan tillbaka till HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags och ställ in värdet på "0".
Du kan också följa Microsofts instruktioner för att inaktivera Credential Guard med UEFI-lås eller inaktivera säkerhetsfunktionen på en virtuell maskin.
Att aktivera Credential Guard är bara ett förebyggande
Tumregeln är att installera ett staket runt din trädgård innan du planterar, speciellt om du bor i ett område med boskap på fri fot. Det stängslet skulle vara värdelöst om du redan har getter på din fastighet - i så fall måste du jaga ut dem.
Samma princip gäller för att skydda dina känsliga inloggningsuppgifter. När den är aktiverad förhindrar Credential Guard hackare från att stjäla din data. Det skulle dock vara ineffektivt om angriparen redan har etablerat sig i ditt nätverk eller äventyrat enheten. Så om du bestämmer dig för att använda den här säkerhetsfunktionen på en ny arbetsdator, se till att den är aktiverad innan datorn går med i Windows-domänen eller arbetsgruppen.