Windows Credential Guard هي ميزة أمان تؤمن بيانات اعتماد المصادقة ضد الهجمات الضارة. يمنع المتسللين من العبث بأدوات النظام أو تشغيل الأكواد الضارة على جهاز الكمبيوتر الخاص بك. هذه الميزة متاحة في إصدارات Enterprise و Pro لنظامي التشغيل Windows 10 و Windows 11. يجب أن تفكر في تمكين Credential Guard إذا كنت تتعامل مع البيانات الحساسة أو تصل إليها محليًا أو عن بُعد على مجال Windows أو مجموعة عمل.
ما هو حارس الاعتماد بالضبط؟
عند بدء تشغيل الكمبيوتر ، تقوم عملية تسمى Local Security Authority Server Service (LSASS) بمصادقة بيانات اعتماد تسجيل الدخول وتمنحك الوصول. يقوم LSASS أيضًا بتخزين بيانات الاعتماد هذه (كلمات السر المشفرةوتجزئة NT وتجزئة LM وتذاكر Kerberos) في الذاكرة أثناء الجلسات النشطة ، لذلك لا يتعين عليك إعادة إدخال كلمة مرورك في كل مرة تحتاج فيها إلى إجراء تغييرات أو الوصول إلى الملفات.
يعد حفظ بيانات الاعتماد في الذاكرة أثناء الجلسات أمرًا مفيدًا مقارنة بالبديل: مصادقة الهوية اليدوية في كل خطوة. ممنوح ، إدخال بيانات اعتماد المصادقة بين الحين والآخر يحسن الأمان. لكن بيانات اعتماد المصادقة طويلة ، لا سيما في أشكالها المجزأة. سيكون الأمر غير مريح بشكل خاص إذا كان عليك إجراء تغيير سريع ومحبط بشكل خاص إذا ارتكبت خطأ واضطررت إلى إعادة إدخال كلمة مرور. وإذا كان عليك كتابة كلمة المرور في مكان ما ، فقد يؤدي ذلك إلى زيادة مخاطر الأمان لديك. يتعامل LSASS مع المصادقة ، لذا فإن استخدام جهازك فعال.
ولكن كما يمكنك أن تتخيل ، مع أي شيء يخزن بيانات قيمة وحساسة ، يعد LSASS بمثابة الفوز بالجائزة الكبرى للمتسللين. يمكنهم اختراق LSASS من خلال هجمات سرقة بيانات الاعتماد باستخدام أدوات مثل Mimikatz و Crackmapexec و Lsassy. يستخدم المتسللون هذه الأدوات لحذف ملف النظام الحقيقي (lsass.exe) أو استبداله أو تغييره.
هناك طرق لإيقاف سرقة بيانات الاعتماد قبل أن يتسبب المتسلل في أضرار جسيمة ، ومن الممكن إيقاف الهجوم بمجرد اكتشافه. ومع ذلك ، فمن الأفضل منع الهجوم في المقام الأول. يحمي Credential Guard من الهجمات الضارة من خلال إنشاء عملية LSASS معزولة (LSAIso) تخزن بيانات المصادقة بشكل آمن.
لماذا يجب عليك تمكين حارس الاعتماد على جهاز الكمبيوتر الخاص بك
تعزل ميزة الأمان بيانات اعتماد تسجيل الدخول عن باقي ذاكرة النظام بالإضافة إلى العملية الرئيسية (lsass.exe) التي تتعامل مع المصادقة. لذلك ، فهو في الأساس صندوق أسود.
يجب عليك استخدام Credential Guard إذا كان لديك العديد من أجهزة الكمبيوتر التي تعد جزءًا من مجال أو مجموعة عمل. لماذا؟ يمكن للمهاجم الذي يخرق جهازًا ببيانات اعتماد تسجيل دخول المسؤول اختراق الشبكة بالكامل. يؤدي تمكين هذه الميزة بشكل فعال إلى منع المهاجم من السيطرة الكاملة على المعلومات الحساسة في حالة اختراق النظام.
يجب أن يفي نظامك بالمتطلبات
يعتبر Windows Credential Guard حصريًا لنكهات Enterprise و Pro لنظامي التشغيل Windows 10 و 11. تحتوي الإصدارات الحديثة من Windows Servers أيضًا على ميزة الأمان هذه ، ولكن يجب أن يفي الجهاز بمتطلبات الأجهزة والبرامج الصارمة.
بالنسبة للمبتدئين ، يجب أن يحتوي الجهاز على وحدة معالجة مركزية 64 بت (لدعم الأمان المستند إلى الظاهرية) وتمهيد آمن. توصي Microsoft أيضًا باستخدام ملفات وحدة النظام الأساسي الموثوقة (TPM) الإصداران 1.2 أو 2.0 وقفل UEFI (لمنع المهاجمين من تجاوز إعداد الأمان باستخدام رجديت). يمكنك التحقق من ملفات متطلبات خط الأساس استنادًا إلى الكمبيوتر أو الخادم الذي تريد حمايته.
كيفية تمكين حارس الاعتماد على Windows
سيتم تمكين حماية بيانات الاعتماد على الكمبيوتر أو الخادم بشكل افتراضي إذا كان يفي بمتطلبات خط الأساس من Microsoft. للتحقق مما إذا تم تمكين ميزة الأمان هذه بالفعل ، اضغط على يبدأ ثم اكتب "msinfo32.exe". يختار معلومات النظام> ملخص النظام. يجب أن تشاهد "خدمات الأمان القائمة على المحاكاة الافتراضية قيد التشغيل" و "Credential Guard ، Hypervisor الذي يفرض تكامل الشفرة" بجوار بعضهما البعض.
إذا لم يتم تمكين Credential Guard على جهاز الكمبيوتر الخاص بك ، فيمكنك تمكين الميزة بثلاث طرق رئيسية: من خلال نهج المجموعة أو تحرير سجل Windows أو استخدام Microsoft Intune. هناك أيضًا خيار لتمكين Credential Guard مع قفل UEFI إذا كنت مستخدمًا قويًا. سيجد معظم المسؤولين تمكين هذه الميزة أسهل مع نهج المجموعة.
كيفية تعطيل حارس الاعتماد على Windows
على الرغم من فائدتها في منع سرقة بيانات الاعتماد وتمرير هجمات Hash ، فإن Credential Guard ستتسبب في تعطل بعض الخدمات والبروتوكولات. على سبيل المثال ، يمنعك تمكين ميزة الأمان من استخدام Windows To Go وتفويض Kerberos غير المقيد وتشفير DES.
أيضًا ، لا يمكنك استخدام موفري دعم الأمان (SSP) التابعين لجهات خارجية لأنهم عرضة لهجمات سرقة بيانات الاعتماد. نقاط نهاية Wi-Fi و VPN المستندة إلى MS-CHAPv2 ضعيفة بشكل متساوٍ وسيتم تعطيلها عند تمكين حماية بيانات الاعتماد.
إذا كنت بحاجة إلى بعض الميزات المذكورة أعلاه ، فيمكنك تعطيل Credential Guard لأي مدة تريدها. ولكن تأكد من تعيين تذكير لإعادة تمكينه.
التعطيل باستخدام محرر نهج المجموعة
خيارك الأول هو تعطيل Credential Guard عن طريق تغيير إعدادات نهج المجموعة.
للقيام بذلك ، اضغط على يبدأ واكتب "gpedit" ، ثم حدد تحرير نهج المجموعة. اذهب إلى تكوين الكمبيوتر> القوالب الإدارية> النظام> حماية الجهاز> تشغيل الأمان المستند إلى الظاهرية> الخيارات. اضبط "تكوين حماية بيانات الاعتماد" على عاجز، انقر نعم لحفظ التغيير ثم إعادة تشغيل جهاز الكمبيوتر الخاص بك.
تعطيل مع Regedit
يعد هذا الخيار رائعًا إذا قمت بتمكين Defender Credential Guard باستخدام طريقة مختلفة عن UEFI Lock و Group Policy. لتعطيل Credential Guard مع Regedit ، اضغط على يبدأ واكتب “regedit”. يختار محرر التسجيل. أولاً ، انتقل إلى مسار الملف HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa \\ LsaCfgFlags وقم بتعيين القيمة على "0".
بعد ذلك ، انتقل مرة أخرى إلى HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Policies \\ Microsoft \\ Windows \\ DeviceGuard \ LsaCfgFlags وقم بتعيين القيمة على "0".
يمكنك أيضا متابعة تعليمات Microsoft لتعطيل حماية بيانات الاعتماد بقفل UEFI أو تعطيل ميزة الأمان على جهاز افتراضي.
إن تمكين حارس الاعتماد هو وسيلة منع فقط
القاعدة الأساسية هي تثبيت سياج حول حديقتك قبل الزراعة ، خاصة إذا كنت تعيش في منطقة بها ماشية تتجول بحرية. سيكون هذا السياج عديم الفائدة إذا كان لديك بالفعل ماعز في ممتلكاتك - وفي هذه الحالة ، ستحتاج إلى مطاردتها.
ينطبق نفس المبدأ على حماية بيانات تسجيل الدخول الحساسة الخاصة بك. عند التمكين ، يمنع Credential Guard المتسللين من سرقة بياناتك. ومع ذلك ، سيكون غير فعال إذا كان المهاجم قد أثبت وجوده بالفعل في شبكتك أو قام باختراق الجهاز. لذلك ، إذا قررت استخدام ميزة الأمان هذه على كمبيوتر عمل جديد ، فتأكد من تمكينه قبل أن ينضم الكمبيوتر إلى مجال Windows أو مجموعة العمل.
