Zabezpieczenia Windows 10 Enterprise: Funkcja Credential Guard i Device Guard

Streszczenie: „Omówienie dwóch nowych funkcji zabezpieczeń dla Windows 10 Enterprise: Credential Guard i Device Guard”.

Co to jest Device Guard i Credential Guard?

Device Guard i Credential Guard to zabezpieczenia oparte na wirtualizacji (VBS). Funkcja LSA (Local Security Authority) obsługuje sterowniki HVCI (Hypervisor Code Integrity) i system BIOS zgodny z systemem operacyjnym Windows 10 Enterprise/Education Edition. Jest dostępna tylko dla komputerów objętych zbiorczą umową licencyjną (VLA) firmy Microsoft.

Funkcja Credential Guard używa zabezpieczeń opartych na wirtualizacji w celu odizolowania kluczy tajnych (poświadczeń), dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskać do nich dostęp. Nieautoryzowany dostęp do tych kluczy tajnych może prowadzić do ataków związanych z kradzieżą poświadczeń. Funkcja Credential Guard zapobiega tym atakom, chroniąc skróty haseł NTLM ([protokołu NT LAN Manager) i zgłoszenia Kerberos TGT. Funkcja Credential Guard używa zabezpieczeń opartych na wirtualizacji w celu odizolowania kluczy tajnych, dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskać do nich dostęp. Funkcja Credential Guard nie jest zależna od funkcji Device Guard.

Device Guard to połączenie zabezpieczeń sprzętowych i programowych związanych z przedsiębiorstwem. Gdy są skonfigurowane razem, blokują urządzenie, aby można było uruchamiać tylko zaufane aplikacje. Nie można wtedy uruchomić żadnej niezaufanej aplikacji. Można ją skonfigurować tak, aby blokowała urządzenie. Dzięki temu urządzenie może uruchamiać tylko zaufane aplikacje zdefiniowane w zasadach integralności kodu. Funkcja Device Guard zależy od zabezpieczeń opartych na wirtualizacji (VBS).

Góra strony

Jak one działają?

Funkcje zabezpieczeń oparte na wirtualizacji systemu Windows 10 Enterprise/Education wykorzystują szereg elementów zabezpieczeń, takich jak UEFI, Secure Boot, Trusted Platform Module (TPM) 2.0. Firma Dell zweryfikowała wybrane komputery Precision, Latitude i OptiPlex, które muszą mieć zaktualizowane sterowniki zgodne z BIOS i HVCI.

Oprogramowanie wewnętrzne UEFI w wersji 2.3.1 lub nowszej: Program UEFI jest zablokowany, dzięki czemu nie można zmienić ustawień w UEFI w celu naruszenia zabezpieczeń Device Guard. (Kolejność rozruchu, wpisy rozruchu, bezpieczny rozruch, rozszerzenia wirtualizacji, IOMMU, Microsoft UEFI CA).

Góra strony

Credential Guard.

• Zabezpieczenia sprzętowe: Funkcja Credential Guard zwiększa bezpieczeństwo uzyskanych poświadczeń domeny poprzez wykorzystanie funkcji zabezpieczeń platformy, w tym bezpiecznego rozruchu i wirtualizacji.
• Lepsza ochrona przed zaawansowanymi zagrożeniami trwałymi: Zabezpieczenie uzyskanych poświadczeń domeny przy użyciu zabezpieczeń opartych na wirtualizacji blokuje techniki ataku kradzieży poświadczeń i narzędzia używane w wielu ukierunkowanych atakach.
  • Zabezpieczenia oparte na wirtualizacji chronią twoje tajemnice przed złośliwym oprogramowaniem działającym w systemie operacyjnym z uprawnieniami administratora.
• Zarządzanie: Funkcją Credential Guard można zarządzać za pomocą zasad grupy, WMI, z wiersza polecenia i programu Windows PowerShell.

Ochrona poświadczeń domeny pochodnej za pomocą funkcji Credential Guard 

Góra strony

Device Guard.

• Korzystanie z tradycyjnych metod, takich jak rozwiązania antywirusowe, zapewnia nieodpowiednią ochronę przed nowymi atakami. (Wykrywanie na podstawie podpisów w celu ochrony przed złośliwym oprogramowaniem). Dotyczy to zwłaszcza tysięcy nowych złośliwych plików tworzonych każdego dnia.
• Funkcja Device Guard w systemie Windows 10 Enterprise zmienia się z trybu, w którym aplikacje są zaufane, chyba że są blokowane przez program antywirusowy lub inne rozwiązanie zabezpieczające. Zmienia się w tryb, w którym system operacyjny ufa tylko autoryzowanym aplikacjom, ustawionym przez firmę. Te zaufane aplikacje wyznacza się poprzez utworzenie zasad integralności kodu.

Cztery sposoby zarządzania funkcją Device Guard

• Zasady grupy: System Windows 10 zapewnia szablon administracyjny umożliwiający konfigurację i wdrożenie konfigurowalnych zasad integralności kodu w organizacji. Ten szablon umożliwia również określenie funkcji zabezpieczeń sprzętowych, które mają być włączane i wdrażane. Ustawieniami tymi można zarządzać razem z istniejącymi obiektami zasad grupy (GPO), co ułatwia wdrożenie funkcji Device Guard.
• Microsoft System Center Configuration Manager: Za pomocą programu System Center Configuration Manager można uprościć wdrażanie plików katalogu i zarządzanie nimi. Obejmuje to zasady integralności kodu i funkcje zabezpieczeń sprzętowych, a także zapewnia kontrolę wersji.
• Windows PowerShell
• Microsoft Intune

Góra strony

Najczęściej zadawane pytania.

Co to jest Windows 10 Enterprise SKU?
Windows 10 Enterprise SKU to inna wersja systemu operacyjnego Windows, która jest dostępna tylko dla klientów licencji zbiorczej firmy Microsoft. Osoby, które zakupiły komputery z licencją na system Windows 10 Professional, a następnie uaktualniają system do Windows 10 Enterprise, aby uzyskać dodatkowe funkcje. System Windows 10 Enterprise jest wyposażony w dwie funkcje zabezpieczeń, które nie są dostępne dla SKU Professional lub Home: Funkcja Credential Guard i Device Guard. Szczegółowe informacje na temat porównania funkcji między SKU systemu operacyjnego Windows.

Co to jest Device Guard i Credential Guard?
Device Guard i Credential Guard to nowe funkcje zabezpieczeń, które są obecnie dostępne tylko w systemie Windows 10 Enterprise. Device Guard to połączenie zabezpieczeń sprzętowych i programowych związanych z przedsiębiorstwem. Gdy są skonfigurowane razem, blokują urządzenie, aby można było uruchamiać tylko zaufane aplikacje. Nie można wtedy uruchomić żadnej niezaufanej aplikacji. Funkcja Credential Guard używa zabezpieczeń opartych na wirtualizacji w celu odizolowania kluczy tajnych (poświadczeń), dzięki czemu tylko uprzywilejowane oprogramowanie systemowe może uzyskać do nich dostęp. Nieautoryzowany dostęp do tych kluczy tajnych może prowadzić do ataków związanych z kradzieżą poświadczeń. Funkcja Credential Guard zapobiega tym atakom, chroniąc skróty haseł NTLM i zgłoszenia Kerberos TGT.

Co to jest zabezpieczenie oparte na wirtualizacji (VBS)?
Jest to ochrona, która korzysta z monitora maszyny wirtualnej w celu ochrony jądra i innych części systemu operacyjnego. W przypadku domyślnych zasad integralności kodu trybu jądra VBS lub zasad integralności kodu, które można skonfigurować i wdrożyć, staje się bardziej niezawodna.

Jak sprawdzić, czy ochrona integralności kodu oparta na wirtualizacji jest włączona?
Najprostszym mechanizmem jest uruchomienie aplikacji System Information (msinfo32). Poszukaj poniższego wiersza: „Device Guard Security Services Running.” Powinien on zgłaszać: „Hypervisor enforced Code Integrity.” Dostępny jest również interfejs Windows Management Instrumentation (WMI) do sprawdzenia za pomocą narzędzi do zarządzania.

Jeśli komputer nie jest gotowy do obsługi systemu Win10 Enterprise, czy ten komputer może nadal działać w systemie Win10 Enterprise?
Tak, o ile komputer jest zakupiony z systemem Win10 Pro. Klienci korzystający z licencji zbiorczej mogą zawsze uaktualnić ten komputer do wersji Win10 Enterprise. Wszystkie dodatkowe funkcje Enterprise działają prawidłowo Z WYJĄTKIEM funkcji Device Guard i Credential Guard. Dzieje się tak, ponieważ te dwie funkcje zabezpieczeń wymagają zgodności systemu BIOS, sterownika i procesora z wymaganiami firmy Microsoft.

Jakie są wymagania, aby włączyć funkcję Device Guard i Credential Guard na komputerach firmy Dell?
Klienci, którzy chcą zmodernizować swoje komputery w celu włączenia funkcji Device Guard i Credential Guard, wymagają następujących trzech kryteriów:

1. Urządzenia Latitude/OptiPlex/Precision/Venue muszą być gotowe do obsługi Win10 Enterprise. Upewnij się, że system BIOS i sterowniki są zaktualizowane do wersji, która jest zgodna z Enterprise. Szczegółowe informacje o gotowości sterowników BIOS/HVCI dla poszczególnych platform znajdują się na liście platform.
2. Konfiguracja musi korzystać z procesorów obsługujących DG/CG. Procesory obsługujące DG/CG oznaczają, że obsługują funkcje Intel VT-x i VT-d. Funkcje te są wymagane do obsługi funkcji Device Guard i Credential Guard w systemie Windows 10. W celu sprawdzenia, czy procesor obsługuje technologię Intel VT-x i VT-d, kliknij to łącze, aby zobaczyć: Specyfikacje produktu firmy Intel®
3. Klienci muszą mieć licencję zbiorczą Microsoft; Win10 Enterprise to nie OEM SKU. Klienci mogą uzyskać bity Win10 Enterprise tylko bezpośrednio od firmy Microsoft.

Szczegółowe wymagania:

Więcej wymagań dotyczących systemu Windows 10 1607

Licencja zbiorcza Microsoft Win10 Enterprise musi zostać zamówiona bezpośrednio od firmy Microsoft (w tym klienci uaktualniający z systemu Windows 10 Pro SKU dostarczanego przez firmę Dell). Firma Dell nie zapewnia systemu Windows 10 Enterprise jako SKU OEM.

Jeśli chcesz wdrożyć funkcję Device Guard, zobacz: Instrukcja wdrożenia funkcji Windows Defender Device Guard Aby wdrożyć funkcję Credential Guard, zobacz: Wymagania i zalecenia dotyczące planowania wdrożenia funkcji Credential Guard 

Jakie ustawienia systemu BIOS należy ustawić dla funkcji Device Guard i Credential Guard?
Opcje te powinny być włączone. Upewnij się, że na liście obsługiwanych systemów BIOS znajduje się najnowsza wersja systemu BIOS.

Jak sprawdzić funkcje Device Guard i Credential Guard?
Za pomocą narzędzia do sprawdzania poprawności Device Guard i Credential Guard

• Sprawdź, czy komputer jest w stanie uruchomić funkcję Device Guard lub Credential Guard
• Wyłączanie i włączanie funkcji Device Guard lub Credential Guard

Przed uruchomieniem narzędzia upewnij się, że włączono prawidłowe zasady wykonywania w programie PowerShell. (Zob. rys. 1. poniżej)

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Rysunek 1: – Zasady wykonywania w przykładzie PowerShell.

Weryfikacja: DG_Readiness.ps1 –Capable -[DG/CG/HVCI] -AutoReboot

Aby włączyć: DG_Readiness.ps1 –Enable -[DG/CG] –AutoReboot

Aby wyłączyć: DG_Readiness.ps1 –Disable -[DG/CG] -AutoReboot

Czy mój komputer ma wstępnie skonfigurowaną funkcję Device Guard lub Credential Guard?
Nie, firma Dell zapewnia, że komputery, które zostały zweryfikowane, zostały w pełni zweryfikowane z punktu widzenia zgodności oprogramowania wewnętrznego systemu BIOS i sterowników HVCI. To wszystko, czego potrzeba, aby włączyć komputery w przypadku funkcji Device lub Credential Guard. Należy włączyć funkcje poprzez przełącznik włączenia powyżej lub procedurę krok po kroku w przewodniku wdrażania (patrz sekcja Zasoby).

Czym jest gotowość sterowników HVCI i skąd wiadomo, że mam odpowiednie sterowniki?
HVCI to integralność kodu monitora maszyny wirtualnej. Usługa HVCI w systemie Windows 10 określa, czy kod uruchomiony w trybie jądra jest bezpiecznie zaprojektowany i niezawodny. Zapewnia ochronę przed atakami zero‑day i zabezpieczenia przed lukami w zabezpieczeniach. Zapewnia, że wszystkie programy działają w trybie jądra, w tym sterowniki, bezpiecznie przydzielają pamięć i działają zgodnie z przeznaczeniem.

Użyj narzędzia DGReadiness Tool:

Weryfikacja: DG_Readiness.ps1 –Capable –HVCI -AutoReboot

Uwaga: firma Dell zweryfikowała gotowość sterowników obsługiwanych przez firmę Dell. W przypadku instalacji sterowników innych firm na komputerze należy upewnić się, że są one zgodne z HVCI. Zgodność sterownika z funkcją Device Guard w systemie Windows 10

Które komputery firmy Dell obsługują funkcję Device Guard i Credential Guard?
Aby włączyć funkcję Device Guard i Credential Guard, komputery Dell generacji SkyLake i KabyLake wymagają sterowników zgodnych ze standardem BIOS i kodem monitora maszyny wirtualnej (HVCI).

Oto wszystkie komputery, na których firma Dell obsługuje tę funkcję. W poniższej tabeli przedstawiono wersje sterowników i wersje systemu BIOS dla każdej platformy.

Jeśli procesor jest vPro, czy to oznacza, że obsługuje DG/CG?
Tak. Ponadto niektóre procesory inne niż vPro również obsługują DG/CG (VT-x/VT-d). W celu sprawdzenia, czy procesor obsługuje technologię Intel VT-x i VT-d, kliknij to łącze, aby zobaczyć: Specyfikacje produktu firmy Intel®

Góra strony

Resources

• Zabezpieczenia Windows 11 Enterprise: Funkcja Credential Guard i Device Guard
• Instrukcja wdrożenia funkcji Device Guard
• Wymagania sprzętowe funkcji Windows Defender Credential Guard
• Wymagania sprzętowe funkcji Windows Defender Device Guard

Góra strony