Защита извлеченных учетных данных домена с помощью Credential Guard в Защитнике Windows Protect derived domain credentials with Windows Defender Credential Guard
Область применения Applies to
- Windows 10 Windows10
- Windows Server2016 Windows Server2016
Введенные в Windows10 Enterprise и Windows Server 2016, Windows Defender Guard использует безопасность на основе виртуализации для изоляции секретов, чтобы доступ к ним могли получать только привилегированные системные программы. Introduced in Windows10 Enterprise and Windows Server 2016, Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them. Несанкционированный доступ к секретам может привести к атакам, направленным на кражу учетных данных, например Pass-the-Hash или Pass-The-Ticket. Unauthorized access to these secrets can lead to credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket. Credential Guard в Защитнике Windows предотвращает эти атаки, защищая хэш-коды паролей NTLM, билеты Kerberos Ticket Granting и учетные данные, хранящиеся в приложениях в качестве учетных данных домена. Windows Defender Credential Guard prevents these attacks by protecting NTLM password hashes, Kerberos Ticket Granting Tickets, and credentials stored by applications as domain credentials.
Credential Guard в Защитнике Windows обеспечивает перечисленные ниже функции и решения. By enabling Windows Defender Credential Guard, the following features and solutions are provided:
- Аппаратная защита В NTLM, Kerberos и диспетчере учетных данных для защиты учетных данных используются функции обеспечения безопасности платформы, включая безопасную загрузку и виртуализацию. Hardware security NTLM, Kerberos, and Credential Manager take advantage of platform security features, including Secure Boot and virtualization, to protect credentials.
- Средство обеспечения безопасности на основе виртуализации. Учетные данные, извлеченные из Windows NTLM и Kerberos, и другие секреты выполняются в защищенной среде, которая изолирована от используемой операционной системы. Virtualization-based security Windows NTLM and Kerberos derived credentials and other secrets run in a protected environment that is isolated from the running operating system.
- Улучшенная защита от целенаправленных устойчивых угроз Если для защиты учетных данных домена диспетчера учетных данных, а также учетных данных, извлеченных из NTLM и Kerberos, используется с помощью средства обеспечения безопасности на основе виртуализации, блокируются методы и средства краж учетных данных, которые используются во многих целенаправленных атаках. Better protection against advanced persistent threats When Credential Manager domain credentials, NTLM, and Kerberos derived credentials are protected using virtualization-based security, the credential theft attack techniques and tools used in many targeted attacks are blocked. Вредоносные программы, работающие в операционной системе с правами администратора, не могут получить доступ к секретам, защищенным с помощью средства обеспечения безопасности на основе виртуализации. Malware running in the operating system with administrative privileges cannot extract secrets that are protected by virtualization-based security. Несмотря на то, что защита учетных данных защитника Windows является мощным инструментом для устранения проблем, постоянная защита от угроз может привести к новым приемам атак, и вы также должны внедрить другие стратегии и архитектуры безопасности. While Windows Defender Credential Guard is a powerful mitigation, persistent threat attacks will likely shift to new attack techniques and you should also incorporate other security strategies and architectures.
Работа с учётными записями в новой Windows 10
В новой Windows 10 компания Microsoft продолжила традицию разграничения компьютерного пространства отдельными учётными записями для случаев, когда устройством пользуются несколько человек. Каких-либо кардинальных изменений по сравнению с предшественницей Windows 8.1 в новой системе мы не увидим. Windows 10, как и Windows 8.1, предусматривает работу и с локальными учётными записями пользователей, и с подключаемыми аккаунтами Microsoft.
Последним по-прежнему отдаётся предпочтение. Как и ранее, учётная запись Microsoft являет собой нечто ключа доступа к синхронизации настроек системы, к работе некоторого Metro-функционала, а также к прочим веб-сервисам компании Microsoft. Изменения в функционале учётных записей незначительны, но они есть: в отличие от предшественниц, Windows 10 предлагает более продуманную систему использования одного компьютерного устройства несколькими пользователями. Теперь операционная система жёстко разделяет их на своих и чужих . Для своих Windows 10 предусматривает создание специальных учётных записей членов семьи, включая детские с настраиваемой в онлайне функцией родительского контроля.
Рассмотрим детальней функционал учётных записей в системе Windows 10.
Штатный инструментарий для работы с учётными записями
Инструментарий для работы с учётными записями в Windows 10, как и в Windows 8.1, разбросан по двум типам настроек системы – в панели управления и в Metro-приложении «Параметры». В панели управления Windows 10 остались функции изменения имени, пароля, типа учётных записей. Оставлена и возможность их удаления. А вот прерогатива создания принадлежит сугубо Metro-функционалу системы.
Итак, большая часть функций по работе с учётными записями сосредоточена в Metro-приложении «Параметры», это, соответственно, раздел «Учётные записи».
В разделе учётных записей Metro-настроек системы можно подключать и отключать аккаунты Microsoft, создавать и удалять новые учётные записи, менять пароли и пин-коды, настраивать параметры синхронизации, подсоединяться к ресурсам с места работы или учёбы и т.д.
Переключение между учётными записями компьютера осуществляется в меню «Пуск». Текущий пользователь выходит из своей учётной записи, и на экране блокировки системы вместо него вход выполняет другой пользователь. В другую учётную запись также возможен быстрый переход без возни с экраном блокировки, когда другой пользователь выбирается сразу в меню «Пуск». При этом учётная запись текущего пользователя блокируется, и в неё без пароля никто не войдёт.
Добавление учётной записи пользователя не из круга семьи
Для пользователей не из круга семьи в Windows 10 можно создавать отдельные учётные записи, как это было в прежних версиях системы. Для этого лишь необходимо обладать правами администратора. Подключённый аккаунт Microsoft необязателен. В разделе учётных записей приложения «Параметры» переходим на вкладку «Семья и другие пользователи». В окне справа выбираем графу «Другие пользователи» и жмём кнопку добавления новых пользователей.
Система предложит в первую очередь создание учётной записи с подключением аккаунта Microsoft. Для этого что и потребуется, так это ввести адрес электронной почты от этого аккаунта. Обойтись без подключения аккаунта Microsoft и создать обычную локальную учётную запись можно, выбрав в этом окне ссылку ниже. Она предусмотрена для тех, кто ещё не успел обзавестись учётной записью Microsoft.
Открывшееся по этой ссылке окошко также в первую очередь будет делать акцент на аккаунте Microsoft, предлагая тут же создать его. И лишь в самом низу увидим неприметную опцию, предусматривающую добавление локальной учётной записи.
Затем появится окошко ввода данных локальной учётной записи. При создании последней придумывать пароль не обязательно. В отличие от аккаунта Microsoft, обычной локальной учётной записью можно пользоваться без паролей и пин-кодов, не теряя время на их ввод в процессе загрузки операционной системы.
После создания учётной записи она появится в графе «Другие пользователи», где можно изменить её тип.
По умолчанию Windows всем добавляемым учётным записям присваивает тип стандартного пользователя. В перечне типов учётной записи, на которые можно сменить стандартного пользователя, увидим лишь администратора.
Тип учётной записи ребёнка, как это было в Windows 8.1, в Windows 10 настраивается уже в рамках учётных записей семьи.
Преимущества учётных записей семьи
В чём преимущество учётных записей семьи? Подключённые к одному компьютерному устройству учётные записи членов семьи в дальнейшем будут доступны после синхронизации и на других устройствах с работающей Windows 10. Настройки семейных учётных записей осуществляются в Интернете, в специальном разделе аккаунта Microsoft – «Семья». Теперь родителю не обязательно иметь физический доступ к компьютеру на базе Windows 10, чтобы запретить или разрешить ребёнку те или иные возможности, как в прежних версиях операционной системы. Манипулировать детьми, внося изменения в настройки родительского контроля их учётных записей, родители отныне могут из любой точки земного шара, где есть Интернет. Более того, компания Microsoft позаботилась о равноправии родителей в процессе воспитания детей. К аккаунту Microsoft одного из взрослых можно подсоединить такой же аккаунт Microsoft другого взрослого, и тот также сможет вносить изменения в настройки родительского контроля учётной записи ребёнка на устройстве с Windows 10.
Учётная запись члена семьи
Поскольку привязанные учётные записи семьи синхронизируются с помощью аккаунта Microsoft администратора, соответственно, для их создания у такого администратора должен быть подключён аккаунт Microsoft. Во вкладке «Семья и другие пользователи» выбираем кнопку добавления члена семьи.
Далее определяемся с типом учётной записи – добавляем либо взрослого пользователя, либо ребёнка. И первому, и второму потребуется аккаунт Microsoft.
И если его не окажется, в этом случае система уже не предложит альтернативу с локальной учётной записью. Аккаунт Microsoft придётся создавать.
Подтверждаем добавление нового пользователя из числа членов семьи.
Затем увидим уведомление системы о том, что только что добавленный член семьи сможет управлять функцией родительского контроля в детских учётных записях, если примет приглашение, оправленное ему на почту. Собственно, теперь, всё, что ему остаётся – это проверить свой почтовый ящик и нажать кнопку принятия приглашения.
Во всём остальном учётные записи членов семьи ничем не отличаются от учётных записей обычных пользователей. Для них также доступна смена типа, и при необходимости любого члена семьи можно сделать вторым администратором компьютера.
Учётная запись ребёнка
Для добавления учётной записи ребёнка используется расположенная во вкладке «Семья и другие пользователи» та же кнопка добавления нового члена семьи.
Далее выбираем, соответственно, пункт «Добавить учётную запись ребёнка» и вводим адрес почты аккаунта Microsoft.
После добавления учётной записи ребёнка необходимо подтвердить функцию родительного контроля. На активацию этой функции сам же ребёнок должен дать согласие в письме, отправленном на его электронную почту. Нелогично, зато по всем правилам демократии.
После согласия ребёнка на активацию в его учётной записи функции родительского контроля во вкладке «Семья и другие пользователи» увидим появившийся новый пункт, который предусматривает управление семейными настройками в онлайне.
Это прямая ссылка в раздел «Семья» аккаунта Microsoft, где и можно настроить родительский контроль – запретить посещение определённых сайтов, использование определённых приложений и игр, ограничить время пользования компьютером, а также периодически отслеживать активность ребёнка в Интернете.
Ограниченный доступ для отдельных учётных записей
Режим ограниченного доступа из предшественницы Windows 8.1 в новую Windows 10 перекочевал с одним незначительным изменением. Операционная система по-прежнему позволяет устанавливать для отдельных учётных записей компьютера (естественно, кроме учётной записи администратора) специальный режим с ограниченным доступом, когда предусматривается использование только одного Metro-приложения. Эта настройка в Windows 10 доступна в самом низу вкладки «Семья и другие пользователи».
В появившемся окне настройки необходимо выбрать учётную запись и единственное доступное для неё Metro-приложение.
Режим ограничения превращает целую учётную запись в одно-единственное приложение, развёрнутое на весь экран. Нет доступа ни к меню «Пуск», ни к прочим приложениям системы.
Выход из такой учётной записи с ограничениями предусмотрен с помощью горячих клавиш. В Windows 8.1 нужно быстро нажать пять раз клавишу Win . В Windows 10 компания Microsoft решила для выхода из учётной записи с ограничениями применить классический вариант сочетания горячих клавиш — Ctrl + Alt + Del .
Удаление учётных записей
Удаление неиспользуемых учётных записей осуществляется в Metro-приложении «Параметры». Кнопка удаления появляется при клике на ту или иную учётную запись во вкладке «Семья и другие пользователи».
Удалять учётные записи можно и в панели управления системы. В разделе «Учётные записи пользователей» жмём опцию управления другой учётной записью.
Затем выбираем подлежащую удалению учётную запись и, собственно, удаляем её – либо с сохранением файлов пользовательского профиля, либо без.
Удаление учётной записи члена семьи осуществляется в разделе «Семья» аккаунта Microsoft.
После чего учётную запись на конкретном компьютерном устройстве можно удалить функционалом панели управления.
Членам семьи можно временно запретить входить в систему на конкретном устройстве. Вместо опции удаления учётные записи членов семьи в приложении «Параметры» содержат кнопку блокировки . После её нажатия необходимо подтвердить запрет входа.
Запрет входа в систему члена семьи можно отменить в любой момент.