خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

Windows Credential Guard چیست و آیا باید از آن استفاده کرد؟

ارشیا یوسفی ادیب ۸ دی, ۱۴۰۱ 5 دقیقه زمان مطالعه

نسخه‌های Enterprise و Pro ویندوز 10 و ویندوز 11 Credential Guard را ارائه می‌کنند، اما چه کاری انجام می‌دهد و چگونه می‌توانید آن را فعال کنید؟

Windows Credential Guard یک ویژگی امنیتی است که اعتبارنامه احراز هویت را در برابر حملات مخرب ایمن می کند. از دستکاری هکرها در ابزارهای سیستم یا اجرای کدهای مخرب بر روی رایانه شما جلوگیری می کند. این ویژگی در نسخه‌های Enterprise و Pro Windows 10 و Windows 11 در دسترس است. اگر به داده‌های حساس به صورت محلی یا از راه دور در دامنه یا گروه کاری ویندوز رسیدگی می‌کنید یا به داده‌های حساس دسترسی دارید، باید Credential Guard را فعال کنید.

Credential Guard دقیقا چیست؟

هنگامی که رایانه خود را راه اندازی می کنید، فرآیندی به نام سرویس سرور محلی امنیتی (LSASS) اعتبار ورود به سیستم را تأیید می کند و به شما امکان دسترسی می دهد. LSASS همچنین این اعتبارنامه ها (گذرواژه های رمزگذاری شده، هش های NT، هش های LM و بلیط های Kerberos) را در طول جلسات فعال در حافظه ذخیره می کند، بنابراین لازم نیست هر بار که نیاز به ایجاد تغییرات یا دسترسی به فایل ها دارید رمز عبور خود را دوباره وارد کنید.

ذخیره اعتبارنامه ها در حافظه در طول جلسات در مقایسه با روش جایگزین مفید است: احراز هویت دستی در هر مرحله. بدیهی است که هر چند وقت یکبار وارد کردن اعتبار احراز هویت امنیت را بهبود می بخشد. اما اعتبارنامه های احراز هویت طولانی هستند، به خصوص در اشکال هش شده آنها. به خصوص اگر مجبور به تغییر سریع و ناامید کننده باشید اگر اشتباهی انجام دهید و مجبور شوید رمز عبور را دوباره وارد کنید، ناخوشایند خواهد بود. و اگر مجبور هستید رمز عبور را در جایی یادداشت کنید، این به طور بالقوه می تواند خطر امنیتی شما را افزایش دهد. LSASS احراز هویت را کنترل می کند، بنابراین استفاده از دستگاه شما کارآمد است.

اما همانطور که می توانید تصور کنید، با هر چیزی که داده های ارزشمند و حساس را ذخیره می کند، LSASS یک جکپات برای هکرها است. آنها می توانند LSASS را از طریق حملات سرقت اعتبار با استفاده از ابزارهایی مانند Mimikatz، Crackmapexec و Lsassy به خطر بیاندازند. هکرها از این ابزارها برای حذف، جایگزینی یا تغییر فایل سیستم واقعی (lsass.exe) استفاده می کنند.

مطلب مرتبط:   DLL Hooking چیست و چگونه کار می کند؟

راه‌هایی برای جلوگیری از سرقت مدارک قبل از اینکه هکر آسیب زیادی وارد کند وجود دارد، و پس از کشف حمله می‌توان آن را متوقف کرد. با این حال، بهتر است در وهله اول از حمله جلوگیری کنید. Credential Guard با ایجاد یک فرآیند LSASS ایزوله (LSAIso) که داده های احراز هویت را ایمن ذخیره می کند، در برابر حملات مخرب محافظت می کند.

چرا باید Credential Guard را در رایانه شخصی خود فعال کنید؟

عکس صفحه با بوت شدن ویندوز

ویژگی امنیتی، اعتبار ورود به سیستم را از بقیه حافظه سیستم و همچنین فرآیند اصلی (lsass.exe) که احراز هویت را کنترل می کند، جدا می کند. بنابراین، در اصل یک جعبه سیاه است.

اگر چندین رایانه دارید که بخشی از یک دامنه یا گروه کاری هستند، باید از Credential Guard استفاده کنید. چرا؟ مهاجمی که دستگاهی را با اعتبار ورود ادمین به خطر بیاندازد، می تواند کل شبکه را در معرض خطر قرار دهد. فعال کردن این ویژگی به طور موثر مانع از کنترل کامل اطلاعات حساس توسط مهاجم در صورت به خطر انداختن سیستم می شود.

سیستم شما باید الزامات را برآورده کند

Windows Credential Guard در انحصار نسخه‌های Enterprise و Pro ویندوز 10 و 11 است. نسخه‌های اخیر سرورهای ویندوز نیز این ویژگی امنیتی را دارند، اما دستگاه باید الزامات سخت‌افزاری و نرم‌افزاری را برآورده کند.

برای شروع، دستگاه باید دارای یک CPU 64 بیتی (برای پشتیبانی از امنیت مبتنی بر مجازی سازی) و بوت امن باشد. مایکروسافت همچنین استفاده از ماژول پلتفرم قابل اعتماد (TPM) نسخه 1.2 یا 2.0 و قفل UEFI (برای جلوگیری از عبور مهاجمان از تنظیمات امنیتی با regedit) را توصیه می کند. می توانید الزامات پایه را بر اساس رایانه یا سروری که می خواهید محافظت کنید بررسی کنید.

مطلب مرتبط:   نحوه مشاهده گذرواژه‌های ذخیره شده Google Chrome (و جلوگیری از مشاهده دیگران)

نحوه فعال کردن Credential Guard در ویندوز

اگر رایانه یا سرور شما با الزامات پایه مایکروسافت مطابقت داشته باشد، به طور پیش‌فرض Credential Guard فعال خواهد شد. برای بررسی اینکه آیا این ویژگی امنیتی قبلاً فعال است، Start را فشار دهید و سپس “msinfo32.exe” را تایپ کنید. System Information > System Summary را انتخاب کنید. باید «سرویس‌های امنیتی مبتنی بر مجازی‌سازی در حال اجرا» و «گارد اعتبار، یکپارچگی کد اعمال‌شده توسط Hypervisor» را در کنار یکدیگر ببینید.

اگر Credential Guard در رایانه شما فعال نیست، می توانید این ویژگی را به سه روش اصلی فعال کنید: از طریق Group Policy، ویرایش رجیستری ویندوز یا استفاده از Microsoft Intune. همچنین گزینه ای برای فعال کردن Credential Guard با قفل UEFI در صورتی که کاربر قدرتمند هستید وجود دارد. اکثر مدیران فعال کردن این ویژگی را با Group Policy آسان تر می دانند.

نحوه غیرفعال کردن Credential Guard در ویندوز

با وجود مفید بودن آن در جلوگیری از سرقت اعتبار و حملات هش، Credential Guard باعث خرابی برخی از سرویس ها و پروتکل ها می شود. به عنوان مثال، فعال کردن ویژگی امنیتی شما را از استفاده از Windows To Go، نمایندگی بدون محدودیت Kerberos و رمزگذاری DES جلوگیری می‌کند.

همچنین، شما نمی توانید از ارائه دهندگان پشتیبانی امنیتی شخص ثالث (SSP) استفاده کنید زیرا در برابر حملات سرقت اعتبار آسیب پذیر هستند. نقاط پایانی Wi-Fi و VPN مبتنی بر MS-CHAPv2 به همان اندازه آسیب پذیر هستند و با فعال کردن Credentials Guard غیرفعال می شوند.

اگر به برخی از ویژگی های ذکر شده نیاز دارید، می توانید Credential Guard را برای مدت زمانی که نیاز دارید غیرفعال کنید. اما حتماً یک یادآور تنظیم کنید تا دوباره فعال شود.

غیرفعال کردن با ویرایشگر خط مشی گروه

اولین گزینه شما غیرفعال کردن Credential Guard با تغییر تنظیمات Group Policy است.

مطلب مرتبط:   صدای کم در ویندوز 11 دارید؟ رفع مشکل اینجاست

برای انجام این کار، Start را فشار دهید و “gpedit” را تایپ کنید، سپس Edit Group Policy را انتخاب کنید. به Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security > Options بروید. “Credential Guard Configuration” را روی Disabled تنظیم کنید، برای ذخیره تغییرات روی OK کلیک کنید و سپس کامپیوتر خود را مجددا راه اندازی کنید.

غیرفعال کردن با Regedit

اگر Defender Credential Guard را با استفاده از روشی متفاوت از UEFI Lock و Group Policy فعال کرده باشید، این گزینه عالی است. برای غیرفعال کردن Credential Guard با Regedit، Start را فشار دهید و “regedit” را تایپ کنید. ویرایشگر رجیستری را انتخاب کنید. ابتدا به مسیر فایل HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags بروید و مقدار را روی “0” قرار دهید.

سپس به HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags برگردید و مقدار را روی “0” تنظیم کنید.

همچنین می‌توانید دستورالعمل‌های مایکروسافت را برای غیرفعال کردن Credential Guard با قفل UEFI یا غیرفعال کردن ویژگی امنیتی در ماشین مجازی دنبال کنید.

فعال کردن گارد اعتبار فقط یک پیشگیری است

قاعده کلی این است که قبل از کاشت یک حصار در اطراف باغ خود نصب کنید، به خصوص اگر در منطقه ای زندگی می کنید که دام در آن پرسه می زند. اگر از قبل بز در ملک خود داشته باشید، این حصار بی فایده خواهد بود – در این صورت، باید آنها را تعقیب کنید.

همین اصل برای محافظت از داده های حساس ورود به سیستم شما نیز صدق می کند. وقتی فعال باشد، Credential Guard از سرقت اطلاعات شما توسط هکرها جلوگیری می کند. با این حال، اگر مهاجم قبلاً خود را در شبکه شما مستقر کرده باشد یا دستگاه را به خطر انداخته باشد، بی اثر خواهد بود. بنابراین، اگر تصمیم دارید از این ویژگی امنیتی در یک رایانه کاری جدید استفاده کنید، مطمئن شوید که قبل از پیوستن رایانه به دامنه یا گروه کاری ویندوز، فعال باشد.

Tags: