כיצד להשבית את Windows Defender Credential Guard ב-Windows 10

במאמר זה, אנו מסבירים כיצד להשבית את Windows Defender Credential Guard ב-Windows 10. המשך לקרוא כדי לדעת עוד!

ב-Windows 10, Credential Guard היא אחת מתכונות האבטחה העיקריות הזמינות. זה מקל על הגנה מפני פריצה של אישורי דומיין ובכך מגן על האקרים מפני הערכת הרשתות הארגוניות. בראש ובראשונה, Credential Guard משתמש באבטחה מבוססת וירטואליזציה כדי להפריד בין סודות, כך שרק תוכנת מערכת מיוחסת יכולה לקבל גישה אליהם. ידוע שגישה לא מורשית לסודות כאלה עלולה לאפשר התקפות גניבת אישורים.

התקפות אלו הן Pass-the-Hash או Pass-The-Ticket. יתרה מזאת, משמר האישורים נמנע מהתקפות אלו על ידי הגנה על בלגני סיסמאות NTLM וכן על כרטיסי הענקת כרטיסים של Kerberos.

אבטחה מבוססת וירטואליזציה:

אותם שירותי Windows המטפלים באישורי דומיין נגזרים ובסודות מעטים אחרים פועלים בסביבה מוגנת המבודדת ממערכת ההפעלה.

אבטחת חומרה:

Credential Guard משפר את הבטיחות של אישורי הדומיין הנגזרים על ידי ניצול המרב מתכונות האבטחה של הפלטפורמה הכוללות וירטואליזציה ואתחול מאובטח.

הגנה משופרת מפני האיומים המתמשכים האחרונים:

אבטחת אישורי דומיין נגזרים תוך שימוש בווירטואליזציה הייתה תלויה בנתחי אבטחה, שיטות התקפת גניבת אישורים וכלים המשמשים במספר התקפות ממוקדות. התוכנה הזדונית המופעלת במערכת ההפעלה עם הרשאות ניהול לא יכלה לגשת לסודות המוגנים על ידי וירטואליזציה תלויה באבטחה. מצד שני, Credential Guard הוא הפחתה יעילה, כך שהתקפות איומים מתמשכות יעברו כנראה לטכניקות התקפה חדשות. עליך לכלול את Device Guard ועוד כמה טקטיקות וארכיטקטורות אבטחה אחרות.

מהם החסרונות של Credential Guard?

בכל פעם ש-Windows Defender Credential Guard מוגדר על מכונה וירטואלית, נצפה ש-Windows Defender Credential Guard מגן על סודות מפני התקפות בתוך המחשב הווירטואלי. אבל הוא אינו מציע הגנה נוספת מפני התקפות מערכת מיוחסות הנובעות מהמארח. כמו כן, הוא אינו מונע מתוקף עם תוכנה זדונית במחשב לגשת להרשאות המקושרות עם אישור כלשהו. מומלץ להשתמש במחשבים ייעודיים לחשבונות בעלי ערך גבוה.

ברגע שתפעיל את Credential Guard ב-Windows, לא תוכל להשתמש בהקצאה בלתי מוגבלת של Kerberos או בהצפנת DES. ההפצה נטולת הטרחה יכולה להקל על התוקפים להשתמש במפתחות Kerberos מתהליך ה-LSA המבודד. כחלופה, משתמשי Windows 10 יכולים להשתמש בהאצלת Kerberos מבוקרת או מבוססת משאבים.

שני השיקולים שלהלן מדגישים עוד יותר את החיסרון של Credential Guard:

שיקולי ספקי תמיכה באבטחה של צד שלישי-

ישנם ספקי תמיכת אבטחה מסוימים של צד שלישי (SSPs ו-APs) אשר עשויים שלא לעבוד עם Windows Defender Credential Guard. הסיבה לכך היא שהיא לא מאפשרת ל-SSP של צד שלישי לבקש hash של סיסמה מ-LSA. אבל APs ו-SSPs עדיין יקבלו מידע על הסיסמה בכל פעם שמשתמשים נכנסים או ישנו את הסיסמה שלהם. זה גם חיוני לזכור שהשימוש בממשקי API לא מתועדים ב-SSPs ו-APs מותאמים אישית אינו נתמך.

רצוי שהמימושים המותאמים אישית של SSPs או APs יאומתו עם Windows Defender Credential Guard. אותם APs ו-SSPs המסתמכים על התנהגויות לא מתועדות או לא נתמכות לא יצליחו. לדוגמה, KerbQuerySupplementalCredentialsMessage API אינו נתמך.

שיקולי שדרוג-

כאשר מידת ההגנה שמציע Credential Guard מוגדלת, המהדורות הבאות של Windows 10 עם Credential Guard פועל עשויות להשפיע על תרחישים שעבדו בעבר. כדי להבין זאת, למשל, ה-Credential Guard עשוי להפריע לשימוש בסוג מסוים של אישורים או רכיב מסוים כדי למנוע תוכנות זדוניות מלהשיג יתרונות של פגיעויות. לפני שדרוג למכשיר באמצעות Credential Guard, עליך לבדוק תרחישים הדרושים לפעולות בארגון.

כיצד להשבית את Windows Defender Credential Guard?

קבוצת ההליכים שלהלן מועילה כדי להשבית את Windows Defender Credential Guard. במקרה ש- Credential Guard הופעל עם UEFI Lock, עליך להשתמש בתהליך המוזכר להלן.

הסיבה לכך היא שההגדרות נשמרות בתוך משתני ה-EFI (קושחה), והיא תצטרך נוכחות פיזית במכונה כדי ללחוץ על מקש פונקציה כדי להודות בשינוי. במקרה ש-Credential Guard הופעל בהיעדר שימוש במנעול UEFI, תוכל לכבות במהירות על ידי שימוש במדיניות קבוצתית. בצע את השלבים הבאים כדי להשבית את Windows Defender Credential Guard:

במקרה שהשתמשת במדיניות קבוצתית, עליך להשבית את הגדרת המדיניות הקבוצתית שבה השתמשת כדי להפעיל את Windows Defender Credential Guard. ראשית, עבור אל 'תצורת מחשב' ופתח את 'תבניות ניהול', משם פתח את 'מערכת' ובחר 'מגן התקן'. כעת לבסוף, 'הפעל אבטחה מבוססת וירטואליזציה'.

כעת עליך למחוק את הגדרות הרישום המוזכרות להלן:

HKEY_LOCAL_MACHINE>SystemCurrentControlSe>tControl>LSALsaCfgFlags

HKEY_LOCAL_MACHINE>SoftwarePolicies>MicrosoftWindows>DeviceGuardLsaCfgFlags

במקרה שאתה רוצה להשבית אבטחה מבוססת וירטואליזציה, הקפד להסיר את הגדרות הרישום שלהלן:

HKEY_LOCAL_MACHINE>SoftwarePolicies>MicrosoftWindows>DeviceGuard>EnableVirtualizationBasedSecurity

HKEY_LOCAL_MACHINE>SoftwarePolicies>MicrosoftWindows>DeviceGuard>RequirePlatformSecurityFeatures

עליך למחוק את המשתנים של Windows Defender Credential Guard EFI בעזרת bcdedit. משורת הפקודה המוצגת, עליך להקליד את הפקודות שלהלן:

mountvol X: /s

copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:

mountvol X: /d

לאחר הזנת הפקודות לעיל, הפעל מחדש את המחשב.

כעת קבל את ההנחיה לכבות את Windows Defender Credential Guard. בנוסף, תוכל להשבית בקלות את תכונות האבטחה המבוססות על וירטואליזציה כדי להשבית את Windows Defender Credential Guard.

השבתת Windows Defender Credential Guard באמצעות תכונות Windows:

שלב 1: קודם כל, פתח את תכונות Windows. כעת ב-Windows 10 Enterprise/Education גרסה 1607 והגרסה העדכנית ביותר, חפש את 'Hyper-V Hypervisor' שנמצא תחת 'Hyper-V'. כעת, לחץ על, בסדר. לחלופין, תחת Hyper-V, אתה יכול לסמן את 'מצב משתמש מבודד' ולאחר מכן ללחוץ על אישור.
שלב 2: כעת פתח את עורך המדיניות הקבוצתית המקומית.
שלב 3: חפש את המפתח הממוקם למטה בחלונית השמאלית של עורך המדיניות הקבוצתית המקומית.
שלב 4: כעת בחלונית הימנית של 'מגן התקן' המצוי בעורך המדיניות הקבוצתית המקומית, עליך ללחוץ פעמיים על המדיניות 'הפעל אבטחה מבוססת וירטואליזציה' כדי לערוך אותה.
שלב 5: לאחר השלב שלמעלה, כעת כדי להשבית את ה-Credential Device Guard, בחר (נקודה) לא מוגדר או מושבת. כעת לחץ על, אישור.
שלב 6: כבה את עורך המדיניות הקבוצתית המקומית.
שלב 7: לבסוף, הפעל מחדש את המחשב כדי להחיל את השינויים שבוצעו.

כיצד להשבית את Windows Defender Credential Guard מעורך הרישום:

שלב 1: בתחילה, הקש על מקש Windows + R והקלד 'Regedit.'כעת הקש Enter כדי לפתוחעורך הרישום.
שלב 2: חפש את מפתח הרישום הבא:

HKEY_LOCAL_MACHINE>SystemCurrentControlSet>ControlDeviceGuard

שלב 3: בשלב זה, לחץ לחיצה ימנית על 'DeviceGuard'ובחר 'DWORD (32 סיביות) Value' מהאפשרות NEW.
שלב 4: עליך לתת שם למשהו ל-DWORD שנוצר לאחרונה. תן לזה שם 'EnableVirtualizationBasedSecurity'ולאחר מכן הקש Enter.
שלב 5: כעת לחץ פעמיים על EnableVirtualizationBasedSecurity DWORD ושנה את הערך שלו ל-1 אם ברצונך להפעיל אבטחה מבוססת וירטואליזציה אחרת כדי לשנות אותה ל-0 כדי להשבית.
שלב 6: אתה צריך שוב ללחוץ לחיצה ימנית על DeviceGuard ולבחור 'DWORD (32 סיביות) Value' מהחדש.ה-DWORD החדש שנוצר צריך להיות זכאי בתור 'RequirePlatformSecurityFeatures' לאחרזה קיבל שם, הקש Enter.
שלב 7: בשלב זה, לחץ פעמיים על RequirePlatformSecurityFeatures DWORD ושנה את הערך שלו ל-1 כדי להשתמש באתחול מאובטח בלבד. לחלופין, אתה יכול לשנות את הערך שלו ל-3 אם אתה רוצה להשתמש בהגנה על אתחול מאובטח ו-DMA.
שלב 8: חפש את מפתח הרישום שלהלן:

HKEY_LOCAL_MACHINE>SystemCurrentControlSet>ControlLSA

שלב 9: כעת לחץ לחיצה ימנית על LSA ובחר 'ערך DWORD (32 סיביות)'מ-New. כעת עליך לקרוא ל-DWORD הזה בשםLsaCfgFlagsולאחר מכן הקש Enter.
שלב 10: הקפד ללחוץ פעמיים על LsaCfgFlags DWORD ולשנות את הערך שלו ל-0 כדי להשבית את Windows Defender Credential Guard.
שלב 11: ברגע שהוא מושבת, סגור את עורך הרישום.

מַסְקָנָה:

למרות ש-Windows Defender Credential Guard מגיע עם טונות של תכונות שימושיות, הוא נדרש מדי פעם להשבית אותו. הסיבה הבולטת מאחורי אותו יכול להיות מוגן מפני התקפות מהמארח, ועוד כמה סיבות שנידונו לעיל. השיטות המעשיות המתוארות לעיל בטוחות להשבית את Windows Defender Credential Guard ללא בעיות.

למידע נוסף:כיצד לאפשר ל-Google Chrome דרך חומת האש של Windows Defender