/ / Windows Credential Guard là gì và bạn có nên sử dụng nó không?

Windows Credential Guard là gì và bạn có nên sử dụng nó không?

Windows Credential Guard là một tính năng bảo mật giúp bảo vệ thông tin đăng nhập xác thực khỏi các cuộc tấn công độc hại. Nó ngăn tin tặc can thiệp vào các công cụ hệ thống hoặc chạy mã độc hại trên máy tính của bạn. Tính năng này khả dụng trên các phiên bản Enterprise và Pro của Windows 10 và Windows 11. Bạn nên cân nhắc bật Credential Guard nếu bạn xử lý hoặc truy cập dữ liệu nhạy cảm cục bộ hoặc từ xa trên miền Windows hoặc nhóm làm việc.


Credential Guard chính xác là gì?

Khi bạn khởi động máy tính của mình, một quy trình có tên Dịch vụ Máy chủ Cơ quan Bảo mật Cục bộ (LSASS) sẽ xác thực thông tin xác thực đăng nhập và cấp cho bạn quyền truy cập. LSASS cũng lưu trữ các thông tin đăng nhập này (mật khẩu được mã hóa, hàm băm NT, hàm băm LM và vé Kerberos) trong bộ nhớ trong các phiên hoạt động, vì vậy bạn không phải nhập lại mật khẩu của mình mỗi khi cần thực hiện thay đổi hoặc truy cập tệp.

Việc lưu thông tin đăng nhập vào bộ nhớ trong các phiên rất tiện lợi so với giải pháp thay thế: xác thực danh tính thủ công ở mọi bước. Được cấp, nhập thông tin đăng nhập xác thực ngay bây giờ và sau đó cải thiện bảo mật. Nhưng thông tin đăng nhập xác thực dài, đặc biệt là ở dạng băm của chúng. Sẽ đặc biệt bất tiện nếu bạn phải thực hiện thay đổi nhanh chóng và đặc biệt khó chịu nếu bạn nhập sai và phải nhập lại mật khẩu. Và nếu bạn phải ghi lại mật khẩu ở đâu đó, điều này có thể làm tăng rủi ro bảo mật của bạn. LSASS xử lý xác thực, vì vậy việc sử dụng thiết bị của bạn hiệu quả.

Nhưng như bạn có thể tưởng tượng, với bất kỳ thứ gì lưu trữ dữ liệu nhạy cảm, có giá trị, LSASS là giải độc đắc dành cho tin tặc. Họ có thể thỏa hiệp LSASS thông qua các cuộc tấn công đánh cắp thông tin xác thực bằng các công cụ như Mimikatz, Crackmapexec và Lsassy. Tin tặc sử dụng những công cụ này để xóa, thay thế hoặc thay đổi tệp hệ thống thực (lsass.exe).

Có nhiều cách để ngăn chặn hành vi đánh cắp thông tin xác thực trước khi tin tặc gây thiệt hại lớn và có thể ngăn chặn một cuộc tấn công sau khi bạn phát hiện ra nó. Tuy nhiên, tốt hơn hết là ngăn chặn cuộc tấn công ngay từ đầu. Credential Guard bảo vệ chống lại các cuộc tấn công độc hại bằng cách tạo một quy trình LSASS bị cô lập (LSAIso) lưu trữ dữ liệu xác thực một cách an toàn.

Tại sao bạn nên kích hoạt Credential Guard trên PC của mình

Ảnh chụp màn hình khi khởi động Windows

Tính năng bảo mật sẽ cách ly thông tin xác thực đăng nhập khỏi phần còn lại của bộ nhớ hệ thống cũng như quy trình chính (lsass.exe) xử lý xác thực. Vì vậy, về cơ bản nó là một hộp đen.

Bạn nên sử dụng Credential Guard nếu bạn có nhiều máy tính là một phần của miền hoặc nhóm làm việc. Tại sao? Kẻ tấn công xâm phạm thiết bị có thông tin đăng nhập của quản trị viên có thể xâm phạm toàn bộ mạng. Việc kích hoạt tính năng này sẽ ngăn chặn một cách hiệu quả kẻ tấn công giành được toàn quyền kiểm soát thông tin nhạy cảm nếu chúng xâm phạm hệ thống.

Hệ thống của bạn phải đáp ứng yêu cầu

Windows Credential Guard dành riêng cho các phiên bản Enterprise và Pro của Windows 10 và 11. Các phiên bản Windows Server gần đây cũng có tính năng bảo mật này nhưng thiết bị phải đáp ứng các yêu cầu phần cứng và phần mềm nghiêm ngặt.

Để bắt đầu, thiết bị phải có CPU 64 bit (để hỗ trợ bảo mật dựa trên ảo hóa) và khởi động an toàn. Microsoft cũng khuyên bạn nên có Mô-đun nền tảng đáng tin cậy (TPM) phiên bản 1.2 hoặc 2.0 và khóa UEFI (để ngăn kẻ tấn công bỏ qua thiết lập bảo mật bằng regedit). Bạn có thể kiểm tra các yêu cầu cơ bản dựa trên máy tính hoặc máy chủ mà bạn muốn bảo vệ.

Cách bật Bảo vệ thông tin xác thực trên Windows

Máy tính hoặc máy chủ của bạn sẽ được bật Trình bảo vệ thông tin xác thực theo mặc định nếu đáp ứng các yêu cầu cơ bản của Microsoft. Để kiểm tra xem tính năng bảo mật này đã được bật chưa, hãy nhấn Bắt đầu sau đó gõ “msinfo32.exe”. Lựa chọn Thông tin hệ thống > Tóm tắt hệ thống. Bạn sẽ thấy “Dịch vụ bảo mật dựa trên ảo hóa đang chạy” và “Bảo vệ thông tin xác thực, Tính toàn vẹn mã được thực thi của Hypervisor” cạnh nhau.

Nếu Credential Guard không được bật trên máy tính của bạn, bạn có thể bật tính năng này theo ba cách chính: thông qua Chính sách nhóm, chỉnh sửa Windows Registry hoặc sử dụng Microsoft Intune. Ngoài ra còn có tùy chọn bật Credential Guard với khóa UEFI nếu bạn là người dùng thành thạo. Hầu hết các quản trị viên sẽ thấy việc bật tính năng này dễ dàng hơn với Chính sách nhóm.

Cách vô hiệu hóa bảo vệ thông tin xác thực trên Windows

Mặc dù hữu ích trong việc ngăn chặn hành vi đánh cắp thông tin xác thực và các cuộc tấn công Pass the Hash, Credential Guard sẽ khiến một số dịch vụ và giao thức bị hỏng. Ví dụ: bật tính năng bảo mật sẽ ngăn bạn sử dụng Windows To Go, ủy quyền không bị ràng buộc Kerberos và mã hóa DES.

Ngoài ra, bạn không thể sử dụng Nhà cung cấp hỗ trợ bảo mật (SSP) của bên thứ ba vì họ dễ bị tấn công đánh cắp thông tin xác thực. Điểm cuối Wi-Fi và VPN dựa trên MS-CHAPv2 đều dễ bị tấn công và sẽ bị tắt khi bạn bật Credentials Guard.

Nếu bạn cần một số tính năng đã nói ở trên, bạn có thể tắt Credential Guard trong bao lâu bạn cần. Nhưng hãy chắc chắn đặt lời nhắc để kích hoạt lại nó.

Vô hiệu hóa với Trình chỉnh sửa chính sách nhóm

Tùy chọn đầu tiên của bạn là tắt Trình bảo vệ thông tin xác thực bằng cách thay đổi cài đặt Chính sách nhóm.

Để làm điều này, nhấn Bắt đầu và gõ “gpedit”, sau đó chọn Chỉnh sửa chính sách nhóm. Đi đến Cấu hình máy tính > Mẫu quản trị > Hệ thống > Bảo vệ thiết bị > Bật bảo mật dựa trên ảo hóa > Tùy chọn. Đặt “Cấu hình bảo vệ thông tin xác thực” thành Vô hiệu hóanhấp chuột VÂNG để lưu thay đổi và sau đó khởi động lại máy tính của bạn.

Vô hiệu hóa với Regedit

Tùy chọn này rất phù hợp nếu bạn đã bật Defender Credential Guard bằng một phương pháp khác với Khóa UEFI và Chính sách nhóm. Để tắt Credential Guard với Regedit, nhấn Bắt đầu và gõ “regedit”. Lựa chọn Trình chỉnh sửa sổ đăng ký. Đầu tiên, điều hướng đến đường dẫn tệp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags và đặt giá trị thành “0”.

Tiếp theo, điều hướng trở lại HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuardLsaCfgFlags và đặt giá trị thành “0”.

Bạn cũng có thể làm theo hướng dẫn của Microsoft để tắt Trình bảo vệ thông tin xác thực bằng khóa UEFI hoặc tắt tính năng bảo mật trên máy ảo.

Kích hoạt Credential Guard chỉ là một biện pháp phòng ngừa

Nguyên tắc chung là dựng hàng rào xung quanh khu vườn của bạn trước khi trồng, đặc biệt nếu bạn sống trong khu vực có gia súc đi lại tự do. Hàng rào đó sẽ vô dụng nếu bạn đã có dê trong khu đất của mình—trong trường hợp đó, bạn cần phải đuổi chúng đi.

Nguyên tắc tương tự cũng được áp dụng để bảo vệ dữ liệu đăng nhập nhạy cảm của bạn. Khi được bật, Credential Guard sẽ ngăn chặn tin tặc đánh cắp dữ liệu của bạn. Tuy nhiên, sẽ không hiệu quả nếu kẻ tấn công đã thiết lập sẵn trong mạng của bạn hoặc xâm phạm thiết bị. Vì vậy, nếu bạn quyết định sử dụng tính năng bảo mật này trên một máy tính làm việc mới, hãy đảm bảo rằng nó đã được bật trước khi máy tính gia nhập miền Windows hoặc nhóm làm việc.

Bài viết liên quan:

  1. Địa chỉ MAC và Địa chỉ IP: Sự khác biệt là gì?
  2. Vệt Wordle của bạn có biến mất trên iPhone hoặc Android không? Đây là cách khắc phục
  3. ACADEMIC – Các phát âm và cách dùng từ Academic – Thắng Phạm
  4. Tại sao đăng ký trên App Store của bạn có thể tăng mà không có cảnh báo

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *