Windows

Credential Guard คืออะไรใน Windows 10

Credential Guard on Windows 10 Enterprise

Credential Guard on Windows 10 Enterprise

สารบัญ:

Anonim

Windows 10 ได้แนะนำคุณลักษณะด้านความปลอดภัยใหม่ ๆ คุณลักษณะการรักษาความปลอดภัยใหม่หนึ่งคุณลักษณะที่ได้รับการเพิ่มเรียกว่า Credential Guard ซึ่งช่วยปกป้องข้อมูลประจำโดเมนที่ได้รับ

Credential Guard ใน Windows 10

Credential Guard เป็นคุณลักษณะด้านความปลอดภัยหลักที่มีอยู่ใน Windows 10 ซึ่งช่วยป้องกันการแฮ็ก ของข้อมูลประจำตัวของโดเมนเพื่อป้องกันไม่ให้แฮ็กเกอร์เข้ารับตำแหน่งในเครือข่ายองค์กร พร้อมด้วยคุณสมบัติเช่น Device Guard และ Secure Boot Windows 10 มีความปลอดภัยมากกว่าระบบปฏิบัติการ Windows ก่อนหน้า

คุณลักษณะ Credential Guard ใน Windows 10 คืออะไร

ตามที่ชื่อระบุคุณลักษณะนี้ในข้อมูลรับรองการป้องกันของ Windows 10 ในและข้ามโดเมนผู้ใช้ในเครือข่าย ในขณะที่ระบบปฏิบัติการก่อนหน้าจาก Microsoft ใช้เพื่อเก็บรหัสและรหัสผ่านสำหรับบัญชีผู้ใช้ในแรมภายในเครื่อง Credential Guard จะสร้างคอนเทนเนอร์ เสมือน และเก็บข้อมูลความลับของโดเมนทั้งหมดในคอนเทนเนอร์เสมือนนั้นที่ระบบปฏิบัติการไม่สามารถเข้าถึงได้โดยตรง คุณไม่จำเป็นต้องใช้ระบบเสมือนจริงภายนอก คุณลักษณะนี้ใช้ Hyper-V ที่คุณสามารถกำหนดค่าได้ในแอพเพล็ต Programs and Features ใน Control Panel

เมื่อแฮกเกอร์บุกรุกระบบปฏิบัติการ Windows ก่อนหน้านี้พวกเขาสามารถเข้าถึงแฮชที่ใช้ในการเข้ารหัสข้อมูลรับรองผู้ใช้ จะถูกเก็บไว้ในแรมภายในเครื่องโดยไม่มีการป้องกันมากนัก ด้วยตัวจัดการข้อมูลประจำตัวข้อมูลรับรองจะถูกเก็บไว้ในคอนเทนเนอร์เสมือนเพื่อให้แฮกเกอร์สามารถประนีประนอมระบบได้แม้ว่าจะไม่สามารถเข้าถึงแฮช ด้วยวิธีนี้พวกเขาไม่สามารถเจาะคอมพิวเตอร์บนเครือข่ายได้

ในระยะสั้นคุณลักษณะ Credential Guard ใน Windows 10 จะเพิ่มความปลอดภัยของข้อมูลประจำตัวของโดเมนและข้อมูลที่เกี่ยวข้อง เพื่อให้แฮกเกอร์สามารถเข้าถึง ลับและใช้กับคอมพิวเตอร์เครื่องอื่น ดังนั้นความเป็นไปได้ในการโจมตีจะหยุดลงที่ทางเข้าเท่านั้น ฉันจะไม่กล่าวว่า Credential Guard ไม่แตกหัก แต่ต้องเพิ่มระดับความปลอดภัยเพื่อให้คอมพิวเตอร์และเครือข่ายของคุณมีความปลอดภัย

ป้องกัน Credential Guards ใน Windows เวอร์ชันก่อนหน้านี้ Windows 9 จะปิดบังโปรโตคอลหลายอย่างที่ อาจทำให้แฮกเกอร์เข้าถึงคอนเทนเนอร์เสมือนที่มีการเก็บข้อมูลประจำตัวแบบแฮช อย่างไรก็ตามคุณลักษณะนี้ไม่สามารถใช้งานได้กับคอมพิวเตอร์ทุกเครื่อง

อ่าน : Remote Credential Guard ปกป้องข้อมูลประจำตัวเดสก์ท็อปเดสก์ท็อป

ความต้องการของระบบข้อมูลลับด้านการรักษาความปลอดภัย

มีข้อ จำกัด บางอย่าง - โดยเฉพาะถ้าคุณใช้แล็ปท็อปราคาประหยัด. แม้แต่หนังสือ Ultrabooks ที่ไม่สนับสนุน Trusted Platform Module (TPM) ไม่สามารถเรียกใช้ Credential Guard แม้ว่าหนังสือจะรัน Windows 10 Enterprise

Credential Guard จะทำงานเฉพาะใน Enterprise Edition ของ Windows 10 เท่านั้นหากคุณกำลังใช้ Pro หรือ Education คุณจะไม่ได้ใช้คุณสมบัตินี้

เครื่องของคุณควรจะ สนับสนุน Secure Boot และ virtualization 64-bit ที่ออกจากคอมพิวเตอร์แบบ 32 บิตทั้งหมดออกจากขอบเขตของคุณลักษณะนี้

ไม่ได้หมายความว่าคุณต้องอัปเกรดคอมพิวเตอร์ทั้งหมดพร้อม ๆ กัน คุณสามารถใช้คอมพิวเตอร์ทุกเครื่องที่ตรงตามข้อกำหนดหลังจากสร้างโดเมนย่อยและใส่คอมพิวเตอร์ที่เข้ากันไม่ได้ลงในโดเมนย่อย เมื่อคุณกำหนดค่าโดเมนบนด้วย Credential Guard และคอมพิวเตอร์ที่เข้ากันไม่ได้อยู่ในโดเมนย่อยที่ต่ำกว่าความปลอดภัยจะยังคงดีพอที่จะขัดขวางความพยายามในการลักลอบข้อมูลรับรอง

ข้อ จำกัด ของ Credential Guard

ในขณะที่ข้อกำหนดด้านฮาร์ดแวร์บางอย่างสำหรับ Credential ปกป้องใน Windows 10 Enterprise edition ไม่ใช่ทุกอย่างที่ควรจะได้รับความคุ้มครองโดยคุณลักษณะ คุณไม่ควรคาดหวังต่อไปนี้จาก Credential Guard:

  1. การป้องกันบัญชีท้องถิ่นและบัญชี Microsoft
  2. การปกป้องข้อมูลประจำตัวที่ได้รับการจัดการโดยซอฟต์แวร์ของบุคคลที่สาม
  3. การป้องกันผู้ลอกกุญแจสำคัญ

Credential Guard จะให้การป้องกันการแฮ็กโดยตรง ความพยายามและมัลแวร์ในการขอข้อมูลประจำตัว หากข้อมูลประจำตัวถูกขโมยไปแล้วก่อนที่คุณจะสามารถใช้ Credential Guard ได้จะไม่สามารถป้องกันแฮกเกอร์ใช้คีย์แฮชบนคอมพิวเตอร์เครื่องอื่นในโดเมนเดียวกัน

สำหรับข้อมูลเพิ่มเติมและสคริปต์สำหรับจัดการคุณลักษณะ Credential Guard ใน Windows 10 โปรดไปที่ TechNet

พรุ่งนี้เราจะดูวิธีการเปิด Credential Guard โดยใช้ Group Policy