Vad är Credential Guard i Windows 10

Windows 10 har infört flera nya säkerhetsfunktioner. En ny säkerhetsfunktion som har lagts till kallas Credential Guard, som hjälper till att skydda härledda domänuppgifter.

Credential Guard i Windows 10

Credential Guard är en av de viktigaste säkerhetsfunktionerna som är tillgängliga med Windows 10. Det möjliggör skydd mot hackning av domänuppgifter, vilket förhindrar hackare från att ta över företagsnätverk. Tillsammans med funktioner som Device Guard och Secure Boot, är Windows 10 säkrare än något av föregående Windows operativsystem.

Vad är Credential Guard-funktionen i Windows 10

Som namnet antyder skyddar den här funktionen i Windows 10 behörighetsuppgifter i och över användardomäner i ett nätverk. Medan tidigare operativsystem från Microsoft brukade lagra ID och lösenord för användarkonton i lokal RAM skapar Credential Guard en virtuell behållare och lagrar alla domänhemligheter i den virtuella behållaren att operativsystemet inte kan komma åt direkt. Du behöver inte extern virtualisering. Funktionen använder Hyper-V som du kan konfigurera i applet Program och funktioner i kontrollpanelen.

När hackare äventyrade ett Windows-operativsystem tidigare kunde de få tillgång till den hash som användes för att kryptera användaruppgifterna, eftersom de skulle lagras i lokal RAM utan mycket skydd. Med Credential Manager lagras inloggningsuppgifter i en virtuell container så att även om hackare äventyrar systemet, kan de inte få tillgång till hash. På så sätt kan de inte tränga igenom datorer på nätverket.

Kort sagt, Credential Guard-funktionen i Windows 10 ökar säkerheten för domänuppgifter och relaterade hashser så att det blir nästan omöjligt för hackare att komma åt hemligheten och tillämpa den på andra datorer. Sålunda stoppas eventuella angreppstillfällen endast vid ingången. Jag kommer inte att säga Credential Guard är obrott, men det ökar säkerligen säkerhetsnivån så att datorn och nätverket är säkert.

Mot de behöriga guardsna i tidigare versioner av Windows, den som i Windows 10 förkänner flera protokoll som tillåter hackare att nå den virtuella behållaren där de hashed-uppgifterna lagras. Funktionen är dock inte tillgänglig för alla datorer.

Läsa: Remote Credential Guard skyddar Remote Desktop-uppgifter.

Systemkrav för behörighetsbevakning

Det finns några begränsningar - speciellt om du är på budget bärbara datorer. Även Ultrabooks som inte stöder Trusted Platform Module (TPM) kan inte köra Credential Guard även om boken kör Windows 10 Enterprise.

Credential Guard körs endast i Enterprise Edition of Windows 10. Om du använder Pro eller Education får du inte använda den här funktionen.

Din maskin ska vara stödja Secure Boot och 64-bitars virtualisering. Det låter alla 32-bitars datorer inte omfattas av denna funktion.

Detta innebär inte att du måste uppgradera alla dina datorer samtidigt. Du kan använda alla datorer som uppfyller krav efter att du skapat en deldomän och sätter inkompatibla datorer i underdomänen. När du konfigurerar de övre domänerna med Credential Guard och de inkompatibla datorerna befinner sig i en lägre deldomän, kommer säkerheten fortfarande att vara tillräckligt bra för att motverka behörighetshackningsförsök.

Begränsningar av Credential Guard

Medan vissa hårdvarukrav finns för Credential Guard i Windows 10 Enterprise-upplagan, ska allt inte skyddas av funktionen. Du bör inte förvänta dig följande från Credential Guard:

1. Skydd av lokala och Microsoft-konton
2. Skydd av legitimationsuppgifter som hanteras av en tredje parts programvara
3. Skydd mot Key loggers.

Credential Guard erbjuder skydd mot direkta hackningsförsök och skadlig programvara som söker uppgifter om legitimation. Om legitimationsinformationen redan är stulen innan du kan implementera Credential Guard, hindrar det inte att hackarna använder hash-tangenten på andra datorer i samma domän.

För mer information och för skript för att hantera Credential Guard-funktionen i Windows 10, besök TechNet.

I morgon ser vi hur du aktiverar Credential Guard genom att använda grupppolicy.