Kerberos, NTLM и Credential Manager изолируют секреты с помощью безопасности на основе виртуализации (VBS). Предыдущие версии Windows хранили секреты в памяти процесса в процессе lsass.exeлокального центра безопасности (LSA).
Если Credential Guard включен, процесс LSA в операционной системе взаимодействует с компонентом, который называется изолированным процессом LSA , который хранит и защищает эти секреты, LSAIso.exe. Данные, хранящиеся в изолированном процессе LSA, защищены с помощью VBS и недоступны для остальной части операционной системы. LSA взаимодействует с изолированным процессом LSA с помощью удаленных вызовов процедур.
По соображениям безопасности в изолированном процессе LSA не хранятся никакие драйверы устройств. Он содержит только небольшую группу двоичных файлов операционной системы, которые необходимы для обеспечения безопасности. Все двоичные файлы подписываются сертификатом, которому доверяет VBS, и подписи проверяются перед запуском файла в защищенной среде.
Ограничения для защиты Credential Guard
Некоторые способы хранения учетных данных не защищены Credential Guard, в том числе:
Если Credential Guard включен, NTLMv1, MS-CHAPv2, Digest и CredSSP не могут использовать учетные данные для входа. Таким образом, единый вход не работает с этими протоколами. Однако приложения могут запрашивать учетные данные или использовать учетные данные, хранящиеся в хранилище Windows, которые не защищены Credential Guard с помощью любого из этих протоколов.
Внимание!
Рекомендуется, чтобы ценные учетные данные, такие как учетные данные для входа, не использовались с протоколами NTLMv1, MS-CHAPv2, Digest или CredSSP.
Программное обеспечение, которое используется для управления учетными данными за пределами системы защиты компонентов Windows.
Локальные учетные записи и учетные записи Майкрософт.
Credential Guard не защищает базу данных Active Directory, запущенную на контроллерах домена Windows Server. Он также не защищает конвейеры ввода учетных данных, например Windows Server с шлюзом удаленных рабочих столов. Если вы используете ОС Windows Server в качестве клиентского компьютера, она получит ту же защиту, что и при запуске клиентской ОС Windows.
Клавиатурные шпионы
Физические атаки
Не запрещает злоумышленнику с вредоносными программами на компьютере использовать привилегии, связанные с любыми учетными данными. Мы рекомендуем использовать выделенные компьютеры для высокоценных учетных записей, таких как ИТ-специалисты и пользователи с доступом к высокоценным ресурсам в вашей организации.
Пакеты безопасности сторонних корпораций
Предоставленные учетные данные для проверки подлинности NTLM не защищены. Если пользователь получает соответствующий запрос и вводит учетные данные для проверки подлинности NTLM, эти учетные данные будут уязвимы и могут быть считаны из памяти LSASS. Эти же учетные данные также уязвимы для средств ведения журнала ключей.
Билеты службы Kerberos не защищены Credential Guard, но билет на предоставление билетов Kerberos (TGT) защищен
Если Credential Guard включен, Kerberos не разрешает неограниченное делегирование Kerberos или шифрование DES не только для учетных данных для входа, но и для запрашиваемых или сохраненных учетных данных.
Если Credential Guard включена на виртуальной машине, она защищает секреты от атак внутри виртуальной машины. Однако он не обеспечивает защиту от привилегированных системных атак, исходящих от узла.
Кэшированные проверяющие пароли для входа в Windows (обычно называемые кэшируемыми учетными данными) не квалифицируются как учетные данные, так как они не могут быть представлены другому компьютеру для проверки подлинности и могут использоваться только локально для проверки учетных данных. Они хранятся в реестре на локальном компьютере и обеспечивают проверку учетных данных, если присоединенный к домену компьютер не может подключиться к AD DS во время входа пользователя. Эти кэшированные входы в систему или, более конкретно, кэшированные сведения об учетной записи домена, можно управлять с помощью параметра политики безопасности Интерактивный вход: число предыдущих входов в кэш , если контроллер домена недоступен.
Ознакомьтесь с рекомендациями и примером кода для повышения безопасности и надежности среды с помощью Credential Guard в статье Дополнительные меры по устранению рисков .
Защитите среду Active Directory, предоставив учетным записям пользователей разрешения самого низкого уровня и разместив их в группе "Защищенные пользователи". Узнайте, как ограничивать область проверки подлинности и исправлять проблемы с потенциально небезопасными учетными записями.
Администратор информационной безопасности планирует и реализует информационную безопасность конфиденциальных данных с помощью Microsoft Purview и связанных служб. Вы несете ответственность за устранение рисков путем защиты данных в средах совместной работы, управляемых Microsoft 365 от внутренних и внешних угроз, и защиты данных, используемых службами ИИ. Вы также реализуете защиту информации, предотвращение потери данных, хранение, управление внутренними рисками и управление оповещениями и действиями инфор