Co je ochranou pověření v systému Windows 10

Systém Windows 10 představil několik nových funkcí zabezpečení. Jeden nový bezpečnostní prvek, který byl přidán, se nazývá Credential Guard, který pomáhá chránit odvozená pověření domény.

Pověření Guardence v systému Windows 10

Pověření Guardential je jednou z hlavních bezpečnostních funkcí dostupných v systému Windows 10. Umožňuje ochranu proti hackování pověření domén, které brání hackerům převzít podnikové sítě. Spolu s funkcemi jako Device Guard a Secure Boot je systém Windows 10 bezpečnější než kterýkoli z předchozích operačních systémů Windows.

Co je funkce pověření Credential Guard v systému Windows 10

Jak název naznačuje, tato funkce v systému Windows 10 zajišťuje pověření v uživatelských doménách v síti. Zatímco předchozí operační systémy společnosti Microsoft používaly pro ukládání ID a hesla pro uživatelské účty v místní paměti RAM, Credential Guard vytvoří virtuální kontejner a ukládá všechna tajemství domény v tomto virtuálním kontejneru, který operační systém nemůže získat přímý přístup. Nepotřebujete externí virtualizaci. Tato funkce využívá rozhraní Hyper-V, které můžete konfigurovat v aplikaci Aplikační programy a funkce v ovládacím panelu.

Pokud hackeři dříve narušili operační systém Windows, mohli získat přístup k hashům použitým k šifrování pověření uživatele, protože by byly uloženy v lokální paměti RAM bez velké ochrany. S pověřením Credential Manager jsou pověření uložena ve virtuálním kontejneru, takže i když hackeři ohrožují systém, nemají přístup k hash. Tímto způsobem nemohou proniknout do počítačů v síti.

Stručně řečeno, funkce Credential Guard v systému Windows 10 zvyšuje zabezpečení pověření domény a souvisejících hashes , takže je téměř nemožné, aby hackeři měli přístup k tajně a aplikovat je na jiné počítače. Takže jakákoliv možnost útoku je zastavena pouze při vstupu. Neříkám, že Credential Guard je nerozbitný, ale jistě zvyšuje úroveň zabezpečení tak, aby byl váš počítač a síť v bezpečí.

Pro ochranu před pověřením v předchozích verzích systému Windows, ten v systému Windows 10 nepovoluje několik protokolů, které může povolit hackerům dosáhnout virtuálního kontejneru, kde jsou uloženy pověření s hash. Tato funkce však není k dispozici pro všechny počítače

Čtení : Vzdálená certifikační ochrana chrání pověření vzdálené pracovní plochy

Požadavky na systém pověření

Existuje několik omezení - zejména pokud jste na notebooku. Dokonce i Ultrabooky, které nepodporují Modul Trusted Platform Module (TPM), nemohou spustit pověření Credential Guard, i když kniha běží v systému Windows 10 Enterprise.

Credential Guard běží pouze v Enterprise Edition systému Windows 10. Pokud používáte Pro nebo Edukujte, tuto funkci nebudete používat.

Vaše zařízení by mělo být podporující Secure Boot a 64bitovou virtualizaci. To zanechává všechny 32bitové počítače mimo rozsah této funkce.

To neznamená, že musíte současně aktualizovat všechny počítače. Můžete použít jakékoli počítače, které splňují požadavky po vytvoření poddomény a uvedení nekompatibilních počítačů do poddomény. Při konfiguraci horních domén s pověřením Credential Guard a nekompatibilních počítačů se nacházejí v dolní podřízené doméně, bude zabezpečení stále dostatečně dobré, aby zamezilo pokusům o hackerské pověření.

Limity ochrany před pověřením

Zatímco existují některé hardwarové požadavky pro pověření Guard v systému Windows 10 Enterprise edition, nemělo by být vše chráněno touto funkcí. Od pověření Credential Guard byste neměli očekávat následující:

1. Ochrana lokálních účtů a účtů Microsoft
2. Ochrana pověření spravovaných softwarem třetí strany
3. Ochrana proti klíčovým záznamníkům

Credential Guard poskytuje ochranu proti přímému hackování pokusy a malware vyhledávat informace o pověření. Pokud jsou informace o pověření již ukradeny dříve, než byste mohli implementovat pověření Credential Guard, nebrání hackerům, aby používali klávesy hash na jiných počítačích ve stejné doméně.

Další informace a skripty pro správu funkce Credential Guard v systému Windows 10 naleznete na webu TechNet

Zítra uvidíme, jak zapnout funkci Credential Guard pomocí skupinových zásad