Windows Kimlik Bilgisi Koruması, kimlik doğrulama bilgilerini kötü amaçlı saldırılara karşı koruyan bir güvenlik özelliğidir. Bilgisayar korsanlarının sistem araçlarını kurcalamasını veya bilgisayarınızda kötü amaçlı kodlar çalıştırmasını engeller. Bu özellik, Windows 10 ve Windows 11'in Enterprise ve Pro modellerinde mevcuttur. Hassas verileri bir Windows etki alanında veya çalışma grubunda yerel olarak veya uzaktan yönetiyorsanız veya bunlara erişiyorsanız, Credential Guard'ı etkinleştirmeyi düşünmelisiniz.
Kimlik Bilgisi Koruması Tam Olarak Nedir?
Bilgisayarınızı başlattığınızda, Yerel Güvenlik Yetkilisi Sunucu Hizmeti (LSASS) adı verilen bir işlem, oturum açma kimlik bilgilerini doğrular ve size erişim izni verir. LSASS ayrıca bu kimlik bilgilerini de saklar (şifreli şifreler, NT hash'leri, LM hash'leri ve Kerberos biletleri) etkin oturumlar sırasında bellekte saklanır, böylece her değişiklik yapmanız veya dosyalara erişmeniz gerektiğinde parolanızı yeniden girmeniz gerekmez.
Oturumlar sırasında kimlik bilgilerinin belleğe kaydedilmesi, alternatif olan her adımda manuel kimlik doğrulamaya kıyasla kullanışlıdır. Verildi, kimlik doğrulama bilgilerini ara sıra girmek güvenliği artırır. Ancak kimlik doğrulama bilgileri, özellikle karma formlarında uzundur. Hızlı bir şekilde değişiklik yapmanız gerektiğinde özellikle sakıncalı olur ve bir hata yapıp parolayı yeniden girmeniz gerektiğinde özellikle sinir bozucu olur. Parolayı bir yere yazmanız gerekirse, bu potansiyel olarak güvenlik riskinizi artırabilir. LSASS, kimlik doğrulama işlemlerini gerçekleştirir, böylece cihazınızın kullanımı verimli olur.
Ancak tahmin edebileceğiniz gibi, değerli, hassas verileri depolayan her şeyde LSASS, bilgisayar korsanları için bir ikramiyedir. LSASS'ı şu yollarla tehlikeye atabilirler: kimlik bilgisi çalma saldırıları Mimikatz, Crackmapexec ve Lsassy gibi araçları kullanarak. Bilgisayar korsanları, gerçek sistem dosyasını (lsass.exe) silmek, değiştirmek veya değiştirmek için bu araçları kullanır.
Bir bilgisayar korsanı çok büyük bir zarar vermeden kimlik bilgilerinin çalınmasını durdurmanın yolları vardır ve bir saldırıyı keşfettikten sonra durdurmak mümkündür. Ancak, ilk etapta saldırıyı önlemek daha iyidir. Credential Guard, kimlik doğrulama verilerini güvenli bir şekilde depolayan yalıtılmış bir LSASS işlemi (LSAIso) oluşturarak kötü amaçlı saldırılara karşı koruma sağlar.
Bilgisayarınızda Credential Guard'ı Neden Etkinleştirmelisiniz?
Güvenlik özelliği, oturum açma kimlik bilgilerini sistem belleğinin geri kalanından ve kimlik doğrulamayı işleyen ana süreçten (lsass.exe) yalıtır. Yani, aslında bir kara kutu.
Bir etki alanının veya çalışma grubunun parçası olan birkaç bilgisayarınız varsa, Credential Guard'ı kullanmalısınız. Neden? Yönetici oturum açma kimlik bilgilerine sahip bir cihazın güvenliğini ihlal eden bir saldırgan, tüm ağı tehlikeye atabilir. Bu özelliğin etkinleştirilmesi, bir saldırganın bir sistemin güvenliğini aşması durumunda hassas bilgiler üzerinde tam kontrol sahibi olmasını etkili bir şekilde engeller.
Sisteminizin Gereksinimleri Karşılaması Gerekir
Windows Credential Guard, Windows 10 ve 11'in Enterprise ve Pro sürümlerine özeldir. Windows Sunucularının son sürümleri de bu güvenlik özelliğine sahiptir, ancak aygıtın katı donanım ve yazılım gereksinimlerini karşılaması gerekir.
Yeni başlayanlar için, cihazın 64 bit CPU'su (sanallaştırma tabanlı güvenliği desteklemek için) ve güvenli önyüklemesi olmalıdır. Microsoft ayrıca sahip olmanızı önerir Güvenilir Platform Modülü (TPM) sürüm 1.2 veya 2.0 ve UEFI kilidi (saldırganların regedit ile güvenlik kurulumunu atlamasını önlemek için). kontrol edebilirsiniz temel gereksinimler korumak istediğiniz bilgisayar veya sunucuya göre.
Windows'ta Credential Guard Nasıl Etkinleştirilir
Microsoft'un temel gereksinimlerini karşılıyorsa, bilgisayarınız veya sunucunuz varsayılan olarak Credential Guard'ı etkinleştirir. Bu güvenlik özelliğinin zaten etkinleştirilip etkinleştirilmediğini kontrol etmek için, Başlangıç ardından "msinfo32.exe" yazın. Seçme Sistem Bilgileri > Sistem Özeti. "Sanallaştırma tabanlı güvenlik Hizmetleri Çalışıyor" ve "Credential Guard, Hypervisor zorlamalı Kod Bütünlüğü" yan yana görmelisiniz.
Bilgisayarınızda Credential Guard etkin değilse, özelliği üç ana yolla etkinleştirebilirsiniz: Grup İlkesi aracılığıyla, Windows Kayıt Defterini düzenleyerek veya Microsoft Intune kullanarak. Uzman bir kullanıcıysanız, Credential Guard'ı UEFI kilidiyle etkinleştirme seçeneği de vardır. Çoğu yönetici, Grup İlkesi ile bu özelliği etkinleştirmeyi daha kolay bulacaktır.
Windows'ta Credential Guard Nasıl Devre Dışı Bırakılır
Credential Guard, kimlik bilgilerinin çalınmasını ve Pass the Hash saldırılarını önlemedeki yararlılığına rağmen, bazı hizmetlerin ve protokollerin bozulmasına neden olacaktır. Örneğin, güvenlik özelliğinin etkinleştirilmesi, Windows To Go, sınırsız Kerberos yetkilendirme ve DES şifrelemesi kullanmanızı engeller.
Ayrıca, kimlik bilgilerini çalma saldırılarına karşı savunmasız olduklarından üçüncü taraf Güvenlik Desteği Sağlayıcılarını (SSP'ler) kullanamazsınız. MS-CHAPv2 tabanlı Wi-Fi ve VPN uç noktaları eşit derecede savunmasızdır ve Credentials Guard'ı etkinleştirdiğinizde devre dışı bırakılır.
Yukarıda belirtilen özelliklerden bazılarına ihtiyacınız varsa, Credential Guard'ı istediğiniz kadar devre dışı bırakabilirsiniz. Ancak yeniden etkinleştirmek için bir hatırlatıcı ayarladığınızdan emin olun.
Grup İlkesi Düzenleyicisi ile Devre Dışı Bırakma
İlk seçeneğiniz, Grup İlkesi ayarlarını değiştirerek Kimlik Bilgisi Korumasını devre dışı bırakmaktır.
Bunu yapmak için basın Başlangıç ve “gpedit” yazın, ardından seçin Grup İlkesini Düzenle. git Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Device Guard > Sanallaştırma Tabanlı Güvenliği Aç > Seçenekler. "Credential Guard Configuration" öğesini şu şekilde ayarlayın: Engelli, tıklamak TAMAM Değişikliği kaydetmek ve ardından bilgisayarınızı yeniden başlatmak için.
Regedit ile Devre Dışı Bırakma
UEFI Kilidi ve Grup İlkesi'nden farklı bir yöntem kullanarak Defender Credential Guard'ı etkinleştirdiyseniz bu seçenek harikadır. Credential Guard'ı Regedit ile devre dışı bırakmak için tuşuna basın. Başlangıç ve "regedit" yazın. Seçme Kayıt düzenleyici. İlk olarak, HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags dosya yoluna gidin ve değeri "0" olarak ayarlayın.
Ardından, HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags konumuna geri dönün ve değeri "0" olarak ayarlayın.
siz de takip edebilirsiniz Microsoft'un talimatları Credential Guard'ı UEFI kilidiyle devre dışı bırakmak veya bir sanal makinede güvenlik özelliğini devre dışı bırakmak için.
Credential Guard'ı Etkinleştirmek Yalnızca Bir Önlemdir
Temel kural, özellikle hayvanların serbestçe dolaştığı bir bölgede yaşıyorsanız, ekimden önce bahçenizin etrafına bir çit çekmektir. Mülkünüzde zaten keçi varsa bu çit işe yaramaz - bu durumda onları kovmanız gerekir.
Aynı ilke, hassas oturum açma verilerinizi korumak için de geçerlidir. Credential Guard etkinleştirildiğinde, bilgisayar korsanlarının verilerinizi çalmasını engeller. Ancak, saldırgan ağınıza çoktan yerleşmişse veya aygıtın güvenliğini aşmışsa etkisiz olacaktır. Dolayısıyla, bu güvenlik özelliğini yeni bir iş bilgisayarında kullanmaya karar verirseniz, bilgisayar Windows etki alanına veya çalışma grubuna katılmadan önce etkinleştirildiğinden emin olun.
