Device guard windows 10 как отключить


Что это такое и как включить или отключить

Device Guard - использует виртуализацию для изоляции секретов и тем самым обеспечивает защиту от взлома. Это гарантирует, что только привилегированное системное программное обеспечение может получить доступ к таким данным как хэши паролей NTLM и учетные данные домена. Credential Guard создает виртуальный контейнер и хранит все важные данные в нем, что не позволяет получить доступ к этим токенам на уровне системы без специальных прав авторизации. Примечательно то, что Credential Guard можно развернуть на виртуальной машине как Hyper-V.

К примеру, если хакер взломал и получил доступ к Windows 10, то он мог получить и доступ к хэшу, который используется для шифрования учетных записей, так как хэш храниться в локальной ОЗУ без защиты. В Credential Guard хэш храниться в виртуальном контейнере, и даже, если система будет скомпрометирована, то хакер не получит доступ к этому хэшу.

Ограничение на использование Device Guard

  1. Поддержка виртуализации 64x битным процессором.
  2. Безопасная загрузка.
  3. Чип на материнской плате TPM версии 1.0 или 2.0.
  4. Включенный Hyper-V.
  5. Доступно в Windows 10 Education, Enterprise и Windows Server 2016.

В документации Microsoft вы можете обнаружить, что Credential Guard поддерживается в Windows 10, что означает Pro и Home. Я сам запутался, и дело в том, что документация не правильная и требует правок. На github есть обсуждение на эту тему, и функция Credential Guard как бы есть, но она не шифрует данные в виртуальном контейнере, т.е. она не работает. Обратите внимание на это сообщение и это.

Как включить и отключить Device Guard

В групповых политиках перейдите "Конфигурация компьютера" > "Административные шаблоны" > "Система" > "Device Guard" > справа выберите "Включить средство обеспечения безопасности на основе виртуализации".

Ошибка несовместимости с Credential Guard сторонних виртуальных машин

Иногда, пользователи могут видеть ошибку "VMware Workstation и устройства Device/Credential Guard несовместимы. VMware Workstation можно запустить после отключения Device/Credential Guard" при использовании сторонних виртуальных машин как VirtualBox или VMware Workstation.

Способ 1. В этом случае нужно отключить несколько компонентов как Aplication Guard, Hyper-V и песочница Windows. Также, посмотрите не включен ли Credential Guard в групповых политиках, указанном выше способом.

Способ 2. Если выше способ не помог и виртуальные машины выдают ошибку на несовместимость Credential Guard, то откройте редактор реестра и перейдите по пути:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
  • Нажмите два раза по Enabled и установите значение 0.
  • Перезагрузите ПК.

Если после перезапуска Windows, ошибка появляется, то запустите командную строку от имени администратора и введите:

  • bcdedit /set hypervisorlaunchtype off

Если хотите вернуть команду по умолчанию, то введите bcdedit /set hypervisorlaunchtype auto


Загрузка комментариев

Device Guard в Windows 10. Политика целостности кода / Блог компании Microsoft / Хабр

Автор статьи — Андрей Каптелин, участник ИТ-сообщества

Device Guard – набор программно-аппаратных технологий защиты, доступный для устройств с Windows 10. Статья посвящена одной из компонент Device Guard – политике Code Integrity (CI). С деталями настройки и применения CI можно познакомиться здесь.
В современном мире киберугрозы развиваются очень быстро. Технологии защиты уже не поспевают за развитием вредоносных программ, как за их количеством, так и расширяющимся спектром атак.

Вирусы из забавы для одиночек переросли в организованную киберпреступность. Автоматизация и низкая стоимость сложных атак не оставляет шанса даже небольшим компаниям оставаться незамеченными.

Классическое решение основывается на трех основных условиях: установленные обновления, обновленный антивирус и отсутствие административных привилегий. Это уже давно сложившийся подход. Однако, совершенно легальная с точки зрения антивируса программа может выполнять нежелательные действия и не использовать при этом уязвимости ПО. Такой взгляд на безопасность ставит под подозрение любую программу. Уже нельзя полагаться на список сигнатур антивируса, а анализировать действия всех программ довольно трудно.

Новые угрозы требуют новых решений безопасности, и в Windows 10 они уже имеются. Одно из решений – запускать только одобренное программное обеспечение. Такой подход успешно опробован на мобильных платформах Windows и Apple. В них абсолютно все ПО проходит проверку и имеет цифровую подпись, на основании которой устройство разрешает его запуск. В Windows эту функцию обеспечивает механизм проверки целостности кода – Code Integrity (CI).

Уже на стадии запуска компьютера можно контролировать запуск программного обеспечения, подписанного доверенными сертификатами. Далее, имея список своего программного обеспечения, можно запретить запуск чего-то иного, и задача обеспечения безопасности решена. Список доверенных сертификатов, используемых для подписи исполняемых файлов, представляет собой файл-политику, которым и руководствуется операционная система.

Но мир ПО на Windows весьма разнообразен, и далеко не все программы имеют цифровые подписи, а многие не получат их никогда. Для этого механизм Code Integrity может использовать подписанные вашим сертификатом каталоги – списки файлов программы и их хэш-коды.

В итоге, для использования нового механизма, требуется создать политику, содержащую список доверенных сертификатов и хэш-коды не подписанных файлов и, при необходимости, дополнить её файлами-каталогами разрешенного программного обеспечения.

Самым простым использование Device Guard будет для новых, либо уже имеющихся рабочих мест с фиксированным списком ПО. Достаточно сформировать политику целостности кода и активировать функционал, после этого ничто постороннее не сможет запуститься на этих компьютерах.

Существует также возможность создания политик на основе нескольких возможных вариантов рабочих мест и слияние их в единую политику, назначаемую в последующем всем рабочим местам.

Для продвинутых пользователей, которые сами выбирают и устанавливают программы, достаточно режима аудита. Журнал запускаемых приложений пригодится в дальнейшем для определения нужных и ненужных программ.

Замечу, Device Guard с механизмами Code Integrity и Virtualization Based Security (VBS) доступен только в редакции Windows 10 Enterprise.


Настройка Device Guard в пользовательском режиме (User Mode Code Integrity) наиболее близка к обычным задачам ограничения запуска программного обеспечения.
Для того чтобы создать политику Code Integrity на эталонном компьютере, потребуется создать теневую копию диска и запустить командлет сканирования файлов. В данном случае теневая копия позволяет получить процессу сканирования доступ ко всем, в том числе открытым на момент сканирования, файлам.
#Create a ShadowCopy to avoid locks $s1 = (gwmi -List Win32_ShadowCopy).Create("C:\","ClientAccessible") $s2 = gwmi Win32_ShadowCopy | ? { $_.ID -eq $s1.ShadowID } $d = $s2.DeviceObject + "\" cmd /c mklink /d C:\scpy "$d" 

Полученный снимок диска, подмонтированный в папку C:\scpy, можно просканировать следующим командлетом:
New-CIPolicy -Level PcaCertificate -Fallback Hash -FilePath C:\BasePolicy.xml -ScanPath C:\scpy -UserPEs

Данная команда создаст список подписей (сертификатов), обнаруженных на эталонном компьютере, и посчитает хэш-коды исполняемых файлов, не имеющих подписи. Результатом будет XML-файл содержащий следующие параметры:

<Rule><Option>Enabled:Audit Mode</Option></Rule>

Опция, включающая работу модуля Code Integrity в режиме аудита, при котором все не попадающие под сформированную политику исполняемые файлы записываются в журнал аудита.
<Signer Name="Microsoft Code Signing PCA"><CertRoot Value=" 4E80BE107C860DE896384B3EFF50504DC2D76AC7151DF3102A4450637A032146" Type="TBS"/></Signer>

Пример обнаруженного сертификата. Все подписанные им исполняемые файлы будут выполняться без ограничений.
<Allow Hash=" 88A87238099A3B4BB392C82589CA099DC70629D6EA32CF79F9071011C5994CA2" FriendlyName="\\?\GLOBALROOT\Device\HarddiskVolume4\Distr\npp.6.8.3.Installer.exe Hash Page Sha256"/>

Пример обнаруженного файла без цифровой подписи. При совпадении хэш-кода, данный файл будет запущен.

Полученный XML-файл необходимо скомпилировать в бинарный формат и поместить в системную папку C:\Windows\System32\CodeIntegrity\.

ConvertFrom-CIPolicy C:\BasePolicy.xml C:\SIPolicy.bin cp C:\SIPolicy.bin c:\Windows\System32\CodeIntegrity\SIPolicy.p7b 

После перезагрузки компьютера механизм Code Integrity начнет работу в режиме аудита. Проверив запуск и работу всех необходимых программ, можно дополнить политику данными, собранными аудитом, выполнив следующую команду.
New-CIPolicy -Level PcaCertificate -Fallback Hash C:\AuditPolicy.xml -Audit

Ключ -Audit указывает, что необходимо создать политику на основе записей в журнале аудита.
Файл AuditPolicy.xml аналогичен по структуре файлу BasePolicy.xml, сформированному ранее.
Для объединения результатов первичного сканирования и собранной в режиме аудита информации существует команда объединения политик.
Merge-CIPolicy –OutputFilePath C:\Final.xml –PolicyPaths C:\ BasePolicy.xml,C:\AuditPolicy.xml

Чтобы включить принудительное применение политики, в полученном файле отключаем режим аудита.
Set-RuleOption -Option 3 -FilePath C:\Final.xml -Delete

В результате удаляется запись Enabled:Audit Mode из XML-файла, и такая политика будет блокировать всё неучтенное в ней ПО.

Далее компилируем XML-файл в бинарный формат, снова выполнив команду

ConvertFrom-CIPolicy C:\Final.xml C:\SIPolicy.bin

Распространить политику на целевые компьютеры можно как скопировав удобным способом файл SIPolicy.bin, так и воспользовавшись групповой политикой Windows 10 в разделе Computer Configuration\Administrative Templates\System\Device Guard.


Политика Code Integrity представляет собой монолитный список разрешенного программного обеспечения, что не всегда удобно. Для использования новых или обновленных программ, если их не удаётся заверить электронной подписью, можно создать файл-каталог.

Для примера возьмём программу 7zip, для которой создадим файл каталога, содержащий как данные об дистрибутиве, так и о всех исполняемых файлах после установки дистрибутива.

Для этого на станции без активного Device Guard запустим утилиту мониторинга PackageInspector (входит в состав Windows 10 Enterprise), указав в качестве параметров букву диска для наблюдения и запускаемый файл дистрибутива программы.

.\PackageInspector.exe start C: -path c:\Distr\7z1508-x64.exe

По окончании установки 7zip проверяем его запуск и работу и останавливаем мониторинг командой

.\PackageInspector.exe stop c: -name C:\Distr\7zip.cat -cdfpath c:\Distr\7zip.cdf

Файл 7zip.cdf покажет все исполняемые файлы, подвергшиеся мониторингу.
Файл 7zip.cat содержит скомпилированную информацию для Device Guard.

Чтобы созданный файл каталога стал доверенным для Device Guard, подпишем его своей цифровой подписью.

Если у администратора уже имеется импортированный сертификат с назначением Code Sign, его можно использовать для подписи прямо из PowerShell, указав алгоритм хеширования SHA256, необходимый для Device Guard.

Get-ChildItem cert:\CurrentUser\My -codesign Set-AuthenticodeSignature -HashAlgorithm SHA256 7zip-osnova.cat @(Get-ChildItem cert:\CurrentUser\My -codesign)[0] 

Сертификат должен быть выдан доверенным центром сертификации, корневой сертификат которого был импортирован на эталонный компьютер перед созданием политики.

Далее нужно поместить сгенерированный и подписанный файл каталога на нужные компьютеры, скопировав в хранилище каталогов по пути
C:\Windows\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

В отличие от политики, файлы каталогов применяются сразу и без перезагрузки. Теперь установка и работа 7zip на компьютере разрешена.

Более подробная документация находится на портале TechNet по адресу:
https://technet.microsoft.com/ru-ru/library/mt463091(v=vs.85).aspx

Отключение Credential, Device Guard и Virtualization based security для работы VMware Workstation

VMware Workstation — продукт обеспечивающий возможности виртуализации для декстопных систем. Он крайне удобен в использовании, особенно для задач, которые требуют полной совместимости с решениями VMware vSphere. Недавно, столкнулся с довольно-таки интересным кейсом, связанным с этим продуктом. После его установки, виртуальная машина отказывалась стартовать со следующей ошибкой:

VMware Workstation and DeviceCredential Guard are not compatible

VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard. Please visit http://www.vmware.com/go/turnoff_CG_DG for more details.

Проблема очевидна, тем более на моей рабочей станции действительно был включен Device Guard. Первым шагом, конечно, стало отключение политики. Так как компьютер не являлся частью домена Active Directory, действия по отключению проводились в локальной политике:

Computer Configuration -> Administrative Templates-> System -> Device Guard

Перезагрузка не дала эффекта и при проверке состояния с помощью msinfo32.exe, функционал Credential, Device Guard и Virtualization based security по-прежнему был включен:

Credential, Device Guard и Virtualization based security

После изучения вопроса, было найдено решение. Оно заключается в ручном выполнении ряда комманд в cmd консоле. Действия необходимо выполнять из-под администратора.

Отключаем запуск Hyper-V, удаляем все компоненты Hyper-V и отключаем Virtualization based security:

bcdedit /set hypervisorlaunchtype off dism /Online /Disable-Feature /FeatureName:Microsoft-Hyper-V-All /NoRestart reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA /v LsaCfgFlags /d 0 /f /t REG_DWORD reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Device Guard" /v EnableVirtualizationBasedSecurity /d 0 /f /t REG_DWORD

bcdedit /set hypervisorlaunchtype off

dism /Online /Disable-Feature /FeatureName:Microsoft-Hyper-V-All /NoRestart

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA /v LsaCfgFlags /d 0 /f /t REG_DWORD

reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Device Guard" /v EnableVirtualizationBasedSecurity /d 0 /f /t REG_DWORD

Удаляем конфигурацию Credential Guard и переменные VBS UEFI:

set FREE_MOUNT_VOL_DRIVELETTER=L: mountvol %FREE_MOUNT_VOL_DRIVELETTER% /s copy C:\WINDOWS\System32\SecConfig.efi L:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DG" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=%FREE_MOUNT_VOL_DRIVELETTER% mountvol %FREE_MOUNT_VOL_DRIVELETTER% /d shutdown /t 0 /r

set FREE_MOUNT_VOL_DRIVELETTER=L:

mountvol %FREE_MOUNT_VOL_DRIVELETTER% /s

copy C:\WINDOWS\System32\SecConfig.efi L:\EFI\Microsoft\Boot\SecConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DG" /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=%FREE_MOUNT_VOL_DRIVELETTER%

mountvol %FREE_MOUNT_VOL_DRIVELETTER% /d

shutdown /t 0 /r

Во время перезагрузки, система попросит дважды подтверждения отключения функционала:

Подтверждение отключения Device Guard и Virtualization based security

После загрузки системы, виртуализация заработала.

Если у вас возникли какие-либо вопросы, пожалуйста, пишите в комментарии.

 

Отключение Hyper-V для запуска программного обеспечения виртуализации - Windows Client

  • Чтение занимает 2 мин

В этой статье

В этой статье данная статья содержит решения для отключения Hyper-V, Device Guard и Credential Guard для использования виртуализированных приложений.

Исходная версия продукта:   Windows 10 — все выпуски
Исходный номер КБ:   3204980

Симптомы

Многие сторонние приложения виртуализации не работают вместе с Hyper-V. К затронутым приложениям относятся VMware Workstation и VirtualBox. Эти приложения могут не запускать виртуальные машины или вернуться в более медленный эмулированный режим.

Эти симптомы появились при запуске гипервизора Hyper-V. Некоторые решения для обеспечения безопасности также зависят от гипервизора, например:

  • Device Guard
  • Credential Guard

Чтобы определить, работает ли гипервизор Hyper-V, выполните следующие действия.

  1. В поле поиска введите msinfo32.exe.

  2. Выберите сведения о системе.

  3. В окне подробностей найдите следующую запись:

    Обнаружена гипервизор. Функции, необходимые для Hyper-V, не отображаются.

Причина

Такое поведение происходит по дизайну.

Многие приложения виртуализации зависят от расширений аппаратной виртуализации, доступных на большинстве современных процессоров. Он включает Intel VT-x и AMD-V. Только один программный компонент может использовать это оборудование одновременно. Совместное применение оборудования между приложениями виртуализации невозможно.

Решение

Чтобы использовать другое программное обеспечение виртуализации, необходимо отключить гипервизор Hyper-V, Device Guard и Credential Guard. Если вы используете Hyper-V для запуска виртуальных машин или контейнеров, отключите гипервизор Hyper-V на панели управления или с помощью Windows PowerShell. При необходимости используйте следующие методы.

Метод 1. Отключение Hyper-V на панели управления

Чтобы отключить Hyper-V на панели управления, выполните следующие действия.

  1. На панели управления выберите программы и функции.

  2. Выберите "Включить или отключить функции Windows".

  3. Раз развернуть Hyper-V, развернуть платформу Hyper-V, а затем сойми из гипервизора Hyper-V.

Метод 2. Отключение Hyper-V в PowerShell

Чтобы отключить Hyper-V с помощью Windows PowerShell, выполните следующие действия.

  1. Откройте окно командной подсказки PowerShell с повышенными полномочиями.

  2. В командной строке введите следующую команду:

    Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Hypervisor 

Способ 3. Отключение Device Guard и Credential Guard

Отключать Device Guard и Credential Guard с помощью реестра или групповой политики. Чтобы сделать это, см. Защитник Windows Credential Guard.

Заявление об отказе от ответственности за сведения о продуктах сторонних производителей

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Управление Credential Guard в Защитнике Windows (Windows 10) - Microsoft 365 Security

  • Чтение занимает 8 мин

В этой статье

Область примененияApplies to

  • SKU для Windows 10 корпоративный или Office 365 для образованияWindows 10 Enterprise or Education SKUs
  • Windows Server2016Windows Server 2016
  • WindowsServer2019Windows Server 2019

Включение Credential Guard в Защитнике WindowsEnable Windows Defender Credential Guard

Предохранитель учетных данных защитника Windows можно включить с помощью групповой политики, реестраHypervisor-Protected или средства проверки готовности оборудованиядля учетных данных защитника Windows (HVCI).Windows Defender Credential Guard can be enabled either by using Group Policy, the registry, or the Hypervisor-Protected Code Integrity (HVCI) and Windows Defender Credential Guard hardware readiness tool. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере.Windows Defender Credential Guard can also protect secrets in a Hyper-V virtual machine, just as it would on a physical machine. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.The same set of procedures used to enable Windows Defender Credential Guard on physical machines applies also to virtual machines.

Включение Credential Guard в Защитнике Windows с помощью групповой политики.Enable Windows Defender Credential Guard by using Group Policy

Включить Credential Guard в Защитнике Windows можно с помощью групповой политики.You can use Group Policy to enable Windows Defender Credential Guard. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.This will add and enable the virtualization-based security features for you if needed.

  1. В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard.From the Group Policy Management Console, go to Computer Configuration -> Administrative Templates -> System -> Device Guard.

  2. Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.Double-click Turn On Virtualization Based Security, and then click the Enabled option.

  3. В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.In the Select Platform Security Level box, choose Secure Boot or Secure Boot and DMA Protection.

  4. В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК.In the Credential Guard Configuration box, click Enabled with UEFI lock, and then click OK. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.If you want to be able to turn off Windows Defender Credential Guard remotely, choose Enabled without lock.

  5. В диалоговом окне Конфигурация безопасного запуска выберите значение не задано, включено или отключено.In the Secure Launch Configuration box, choose Not Configured, Enabled or Disabled. Для получения дополнительных сведений ознакомьтесь с этой статьей .Check this article for more details.

  6. Закройте консоль управления групповыми политиками.Close the Group Policy Management Console.

Чтобы применить обработку групповой политики, можно запустить gpupdate /force.To enforce processing of the group policy, you can run gpupdate /force.

Включение защиты учетных данных защитника Windows с помощью IntuneEnable Windows Defender Credential Guard by using Intune

  1. На домашней страницевыберите Microsoft Intune.From Home, click Microsoft Intune.

  2. Щелкните Конфигурация устройств.Click Device configuration.

  3. Щелкните Профили > .Создание > конечной точки для защиты > учетной записи Windows Defender Guard.Click Profiles > Create Profile > Endpoint protection > Windows Defender Credential Guard.

Примечание

Он включит VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее.It will enable VBS and Secure Boot and you can do it with or without UEFI Lock. Если вам потребуется удаленно отключить Credential Guard, включите его без блокировки UEFI.If you will need to disable Credential Guard remotely, enable it without UEFI lock.

Включение Credential Guard в Защитнике Windows с помощью реестраEnable Windows Defender Credential Guard by using the registry

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра.If you don't use Group Policy, you can enable Windows Defender Credential Guard by using the registry. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.Windows Defender Credential Guard uses virtualization-based security features which have to be enabled first on some operating systems.

Добавление функций безопасности на основе виртуализацииAdd the virtualization-based security features

Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.Starting with Windows 10, version 1607 and Windows Server 2016, enabling Windows features to use virtualization-based security is not necessary and this step can be skipped.

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации.If you are using Windows 10, version 1507 (RTM) or Windows 10, version 1511, Windows features have to be enabled to use virtualization-based security. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).You can do this by using either the Control Panel or the Deployment Image Servicing and Management tool (DISM).

Примечание

Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются.If you enable Windows Defender Credential Guard by using Group Policy, the steps to enable Windows features through Control Panel or DISM are not required. Групповая политика сама установит эти компоненты Windows.Group Policy will install Windows features for you.

Добавление функций безопасности на основе виртуализации с помощью раздела "Программы и компоненты"Add the virtualization-based security features by using Programs and Features

  1. Откройте раздел Панели управления "Программы и компоненты".Open the Programs and Features control panel.

  2. Выберите Включение или отключение компонентов Windows.Click Turn Windows feature on or off.

  3. Перейдите в раздел Hyper-V -> Платформа Hyper-V и установите флажок Низкоуровневая оболочка Hyper-V.Go to Hyper-V -> Hyper-V Platform, and then select the Hyper-V Hypervisor check box.

  4. Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.Select the Isolated User Mode check box at the top level of the feature selection.

  5. Нажмите кнопку OK.Click OK.

Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISMAdd the virtualization-based security features to an offline image by using DISM

  1. Откройте командную строку с повышенными привилегиями.Open an elevated command prompt.

  2. Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды:Add the Hyper-V Hypervisor by running the following command:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all 
  3. Добавьте режим изолированного пользователя с помощью следующей команды:Add the Isolated User Mode feature by running the following command:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode 

    Примечание

    В Windows 10 версии 1607 и более поздних функция изолированного режима пользователя интегрирована в базовую операционную систему.In Windows 10, version 1607 and later, the Isolated User Mode feature has been integrated into the core operating system. Таким образом, выполнение команды, описанной в шаге 3, больше не требуется.Running the command in step 3 above is therefore no longer required.

Совет

Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.You can also add these features to an online image by using either DISM or Configuration Manager.

Включение безопасности на основе виртуализации и Credential Guard в Защитнике WindowsEnable virtualization-based security and Windows Defender Credential Guard
  1. Откройте редактор реестра.Open Registry Editor.

  2. Включите средство обеспечения безопасности на основе виртуализации.Enable virtualization-based security:

    • Откройте раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.

    • Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity.Add a new DWORD value named EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.Set the value of this registry setting to 1 to enable virtualization-based security and set it to 0 to disable it.

    • Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures.Add a new DWORD value named RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.Set the value of this registry setting to 1 to use Secure Boot only or set it to 3 to use Secure Boot and DMA protection.

  3. Включение Credential Guard в Защитнике Windows:Enable Windows Defender Credential Guard:

    • Откройте раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.

    • Добавьте новый параметр типа DWORD с именем LsaCfgFlags.Add a new DWORD value named LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.Set the value of this registry setting to 1 to enable Windows Defender Credential Guard with UEFI lock, set it to 2 to enable Windows Defender Credential Guard without lock, and set it to 0 to disable it.

  4. Закройте редактор реестра.Close Registry Editor.

Примечание

Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.You can also enable Windows Defender Credential Guard by setting the registry entries in the FirstLogonCommands unattend setting.

Включение предохранителя учетных данных защитника Windows с помощью средства проверки готовности оборудования для HVCI и защитника WindowsEnable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool

Кроме того, с помощью средства проверки готовности оборудованиядля защитника Windows вы также можете включить защиту учетных данных.You can also enable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool.ps1 -Enable -AutoReboot 

Важно!

При запуске средства проверки готовности к работе оборудования Guard в HVCI и Защитнике Windows в операционной системе, отличной от английской, в сценарии $OSArch = $(gwmi win32_operatingsystem).OSArchitecture вместо этого следует заменить на $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() .When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change $OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

Это известная проблема.This is a known issue.

Оценка работы Credential Guard в Защитнике WindowsReview Windows Defender Credential Guard performance

Запущен ли Credential Guard в Защитнике Windows?Is Windows Defender Credential Guard running?

Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу "Сведения о системе".You can view System Information to check that Windows Defender Credential Guard is running on a PC.

  1. Нажмите кнопку Пуск, введите msinfo32.exe, а затем щелкните Сведения о системе.Click Start, type msinfo32.exe, and then click System Information.

  2. Выберите Сводные сведения о системе.Click System Summary.

  3. Убедитесь в том, что служба Credential Guard указана рядом с запущенными службами безопасности на основе виртуализации.Confirm that Credential Guard is shown next to Virtualization-based security Services Running.

    Пример:Here's an example:

Кроме того, вы можете проверить, работает ли предохранитель учетных данных защитника Windows с помощью средства проверки готовности оборудования для управления учетными данными HVCI и защитника Windows.You can also check that Windows Defender Credential Guard is running by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool_v3.6.ps1 -Ready 

Важно!

При запуске средства проверки готовности к работе оборудования Guard в HVCI и Защитнике Windows в операционной системе, отличной от английской, в сценарии *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture вместо этого следует заменить на $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() .When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

Это известная проблема.This is a known issue.

Примечание

На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.For client machines that are running Windows 10 1703, LsaIso.exe is running whenever virtualization-based security is enabled for other features.

  • Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену.We recommend enabling Windows Defender Credential Guard before a device is joined to a domain. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы.If Windows Defender Credential Guard is enabled after domain join, the user and device secrets may already be compromised. Другими словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже уязвимо, именно поэтому мы рекомендуем включить Credential Guard как можно раньше.In other words, enabling Credential Guard will not help to secure a device or identity that has already been compromised, which is why we recommend turning on Credential Guard as early as possible.

  • Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows.You should perform regular reviews of the PCs that have Windows Defender Credential Guard enabled. Это можно сделать с помощью политик аудита безопасности или запросов WMI.This can be done with security audit policies or WMI queries. Ниже представлен список кодов событий WinInit, которые следует искать.Here's a list of WinInit event IDs to look for:

    • Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.Event ID 13 Windows Defender Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

    • Событие с кодом 14 Конфигурация Credential Guard в Защитнике Windows (LsaIso.exe): \ [0x0 | 0x1 | 0x2], 0Event ID 14 Windows Defender Credential Guard (LsaIso.exe) configuration: [0x0 | 0x1 | 0x2], 0

      • Первая переменная: 0x1 или 0x2 означает, что предохранитель учетных данных защитника Windows настроен для работы.The first variable: 0x1 or 0x2 means that Windows Defender Credential Guard is configured to run. 0x0 означает, что он не настроен для запуска.0x0 means that it's not configured to run.

      • Вторая переменная: 0 означает, что она настроена для работы в режиме защиты.The second variable: 0 means that it's configured to run in protect mode. 1 означает, что он настроен для работы в тестовом режиме.1 means that it's configured to run in test mode. Эта переменная всегда должна быть равна 0.This variable should always be 0.

    • Код события 15. Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но ядро системы безопасности не запущено. Операция будет продолжена без Credential Guard в Защитнике Windows.Event ID 15 Windows Defender Credential Guard (LsaIso.exe) is configured but the secure kernel is not running; continuing without Windows Defender Credential Guard.

    • Код события 16. Не удалось запустить Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]Event ID 16 Windows Defender Credential Guard (LsaIso.exe) failed to launch: [error code]

    • Событие с кодом 17 Ошибка при чтении конфигурации UEFI Credential Guard в Защитнике Windows (LsaIso.exe): \ [код ошибки ]Event ID 17 Error reading Windows Defender Credential Guard (LsaIso.exe) UEFI configuration: [error code]

      Кроме того, вы можете проверить, используется ли доверенный платформенный модуль для защиты ключа, проверив событие с идентификатором 51 в Microsoft - > Windows - > источнике событий ядра Microsoft Windows — Загрузка .You can also verify that TPM is being used for key protection by checking Event ID 51 in the Microsoft -> Windows -> Kernel-Boot event source. Если вы используете доверенный платформенный модуль, то значение маски реестра конфигурации платформы доверенного платформенного модуля будет отличным от0.If you are running with a TPM, the TPM PCR mask value will be something other than 0.

    • Код события 51. Подготовка главного ключа шифрования VSM.Event ID 51 VSM Master Encryption Key Provisioning. Использование кэшированного состояния копии: 0x0.Using cached copy status: 0x0. Состояние распечатывания кэшированной копии: 0x1.Unsealing cached copy status: 0x1. Состояние создания нового ключа: 0x1.New key generation status: 0x1. Состояние запечатывания: 0x1.Sealing status: 0x1. Маска PCR доверенного платформенного модуля: 0x0.TPM PCR mask: 0x0.

  • Вы можете использовать Windows PowerShell для определения того, работает ли Credential Guard на клиентском компьютере.You can use Windows PowerShell to determine whether credential guard is running on a client computer. На своем компьютере откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:On the computer in question, open an elevated PowerShell window and run the following command:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning 

    Эта команда генерирует следующие выходные данные:This command generates the following output:

    • 0: защита учетных данных защитника Windows отключена (не выполняется)0: Windows Defender Credential Guard is disabled (not running)

    • 1: защита учетных данных защитника Windows включена (запущена)1: Windows Defender Credential Guard is enabled (running)

      Примечание

      Чтобы LSAISO.exe узнать, запущено ли средство защиты учетных данных защитника Windows, проверьте список задач или диспетчер задач.Checking the task list or Task Manager to see if LSAISO.exe is running is not a recommended method for determining whether Windows Defender Credential Guard is running.

Отключение Credential Guard в Защитнике WindowsDisable Windows Defender Credential Guard

Чтобы отключить защиту учетных данных защитника Windows, вы можете использовать следующий набор процедур или средство проверки готовности оборудования для Device Guard и Credential Guard.To disable Windows Defender Credential Guard, you can use the following set of procedures or the Device Guard and Credential Guard hardware readiness tool. Если защита учетных данных была включена с блокировкой UEFI, необходимо выполнить описанную ниже процедуру, так как параметры сохраняются в переменных EFI (микропрограмм), и для них требуется физическое присутствие на компьютере для нажатия функциональной клавиши для подтверждения изменения.If Credential Guard was enabled with UEFI Lock then you must use the following procedure as the settings are persisted in EFI (firmware) variables and it will require physical presence at the machine to press a function key to accept the change. Если защита учетных данных включена без блокировки UEFI, вы можете отключить ее с помощью групповой политики.If Credential Guard was enabled without UEFI Lock then you can turn it off by using Group Policy.

  1. Если вы использовали групповую политику, отключите параметр групповой политики, с помощью которого вы включали Credential Guard в Защитнике Windows (Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard -> Включить средство обеспечения безопасности на основе виртуализации).If you used Group Policy, disable the Group Policy setting that you used to enable Windows Defender Credential Guard (Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).

  2. Удалите указанные ниже параметры реестра.Delete the following registry settings:

    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlagsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY \ _LOCAL \ _MACHINE \Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlagsHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:If you also wish to disable virtualization-based security delete the following registry settings:

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurityHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeaturesHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Важно!

      Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все.If you manually remove these registry settings, make sure to delete them all. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.If you don't remove them all, the device might go into BitLocker recovery.

  4. Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit.Delete the Windows Defender Credential Guard EFI variables by using bcdedit. В командной строке с повышенными привилегиями введите следующие команды:From an elevated command prompt, type the following commands:

    mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d 
  5. Перезагрузите компьютер.Restart the PC.

  6. Ответьте утвердительно на запрос об отключении Credential Guard в Защитнике Windows.Accept the prompt to disable Windows Defender Credential Guard.

  7. Для отключения Credential Guard в Защитнике Windows также можно отключить функции безопасности на основе виртуализации.Alternatively, you can disable the virtualization-based security features to turn off Windows Defender Credential Guard.

    Примечание

    Компьютер должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, которые были зашифрованы с помощью EFS.The PC must have one-time access to a domain controller to decrypt content, such as files that were encrypted with EFS. Если вы хотите отключить учетные данные Windows Defender Guard и безопасность на основе виртуализации, выполните следующие команды BCDedit после отключения групповой политики безопасности на основе виртуализации и параметров реестра.If you want to turn off both Windows Defender Credential Guard and virtualization-based security, run the following bcdedit commands after turning off all virtualization-based security Group Policy and registry settings:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set vsmlaunchtype off 

Примечание

В настоящее время защита учетных данных и Device Guard не поддерживается при использовании виртуальных машин Azure IaaS.Credential Guard and Device Guard are not currently supported when using Azure IaaS VMs. Эти параметры будут доступны для будущих Gen 2 ВМ.These options will be made available with future Gen 2 VMs.

Дополнительные сведения о средствах безопасности и HVCI на основе виртуализации можно найти в статье Включение защиты кода на основе виртуализации.For more info on virtualization-based security and HVCI, see Enable virtualization-based protection of code integrity.

Отключение предохранителя учетных данных защитника Windows с помощью средства проверки готовности оборудования для управления учетными данными HVCI и защитника WindowsDisable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool

Вы также можете отключить предохранитель учетных данных защитника Windows с помощью средства проверки готовности оборудования для управления учетными данными HVCI и защитника Windows.You can also disable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot 

Важно!

При запуске средства проверки готовности к работе оборудования Guard в HVCI и Защитнике Windows в операционной системе, отличной от английской, в сценарии *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture вместо этого следует заменить на $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() .When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

Это известная проблема.This is a known issue.

Отключение Credential Guard в Защитнике Windows для виртуальной машиныDisable Windows Defender Credential Guard for a virtual machine

На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:From the host, you can disable Windows Defender Credential Guard for a virtual machine:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true 

VMware Workstation and Device/Credential Guard are not compatible — Заметки VictorZ

Месяц не пользовался VMware на своём компьютере. За это время моя Windows 10 обновлялась и судя по всему с одним из обновлений прилетела какая-то фигня, которая внесла определённые настройки в систему и VMware перестала запускать гостевые машины выдавая ошибку «VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard»

Очередной привет от Microsoft.

На официальном сайте VMware есть решение этой проблемы. но оно на английском языке и немного запутанное, поэтому потренировавшись на своём компьютере и получив положительный результат (всё заработало) решил записать решение в свой блог, так как в будущем оно мне может снова пригодиться, ведь VMware я использую постоянно для различных целей.

Решаем проблему. Открыть командную строку «WIN + R» и ввести команду «gpedit.msc», нажать «ОК».
В открывшемся окне перейти в раздел «Политика Локальный компьютер => Конфигурация компьютера => Административные шаблоны => Система => Device Guard».

Здесь дважды кликаем по пункту «Включить средство обеспечения безопасности на основе виртуализации»:

В открывшемся окне выбираем пункт «Отключено» и нажимаем «ОК»:

Далее перейти в «Панель управления => Программы и компоненты => Включение или отключение компонентов Windows» и отключаем Hyper-V и нажимаем «ОК»:

Компьютер предложит перезагрузиться => отказываемся (перезагрузимся позже).

Запускаем командную строку от имени администратора:

В командной строке выполняем подряд несколько команд:

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

Нажимаем «Ввод/Enter».

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

Нажимаем «Ввод/Enter».

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

Нажимаем «Ввод/Enter».

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

Нажимаем «Ввод/Enter».

bcdedit /set hypervisorlaunchtype off

Нажимаем «Ввод/Enter».

Перезагружаем компьютер.
Теперь запускаем гостевую операционную систему в VMware и наслаждаемся работой.

Читатель «Аноним»
Для перехода назад на Hyper-V, к примеру для Docker, необходимо выполнить следующую команду: bcdedit /set hypervisorlaunchtype auto

Управление Credential Guard в Защитнике Windows (Windows 10) - Microsoft 365 Security

  • На чтение 9 минут

В этой статье

Относится к

  • Windows 10 Enterprise или Education SKU
  • Windows Server 2016
  • Windows Server 2019

Включить Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows можно включить с помощью групповой политики, реестра или средства проверки целостности кода, защищенного гипервизором (HVCI) и Credential Guard в Защитнике Windows.Credential Guard в Защитнике Windows также может защищать секреты на виртуальной машине Hyper-V, как и на физической машине. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических машинах, применим также к виртуальным машинам.

Включение Credential Guard в Защитнике Windows с помощью групповой политики

Для включения Credential Guard в Защитнике Windows можно использовать групповую политику. Это добавит и включит функции безопасности на основе виртуализации, если это необходимо.

  1. В консоли управления групповой политикой перейдите к Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard .

  2. Дважды щелкните Включить безопасность на основе виртуализации , а затем выберите параметр Включено .

  3. В поле Select Platform Security Level выберите Secure Boot или Secure Boot and DMA Protection .

  4. В поле Credential Guard Configuration щелкните Enabled with UEFI lock , а затем щелкните OK . Если вы хотите иметь возможность отключать Credential Guard в Защитнике Windows удаленно, выберите Включено без блокировки .

  5. В поле Конфигурация безопасного запуска выберите Не настроено , Включено или Отключено . Прочтите эту статью для более подробной информации.

  6. Закройте консоль управления групповой политикой.

Чтобы принудительно обработать групповую политику, вы можете запустить gpupdate / force .

Включение Credential Guard в Защитнике Windows с помощью Intune

  1. В Home щелкните Microsoft Intune .

  2. Щелкните Конфигурация устройства .

  3. Щелкните Профили > Создать профиль > Защита конечных точек > Credential Guard в Защитнике Windows .

Примечание

Это позволит включить VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее. Если вам нужно будет отключить Credential Guard удаленно, включите его без блокировки UEFI.

Включение Credential Guard в Защитнике Windows с помощью реестра

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые необходимо сначала включить в некоторых операционных системах.

Добавить функции безопасности на основе виртуализации

Начиная с Windows 10 версии 1607 и Windows Server 2016, включение функций Windows для использования безопасности на основе виртуализации не требуется, и этот шаг можно пропустить.

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции Windows для использования безопасности на основе виртуализации. Это можно сделать с помощью панели управления или средства обслуживания образов развертывания и управления ими (DISM).

Примечание

Если вы включаете Credential Guard в Защитнике Windows с помощью групповой политики, действия по включению функций Windows через панель управления или DISM не требуются. Групповая политика установит для вас функции Windows.

Добавьте функции безопасности на основе виртуализации с помощью программ и компонентов

  1. Откройте панель управления «Программы и компоненты».

  2. Щелкните Включение или выключение функции Windows .

  3. Перейдите к Hyper-V -> Hyper-V Platform , а затем установите флажок Hyper-V Hypervisor .

  4. Установите флажок Изолированный режим пользователя на верхнем уровне выбора функции.

  5. Щелкните ОК .

Добавьте функции безопасности на основе виртуализации в автономный образ с помощью DISM

  1. Откройте командную строку с повышенными привилегиями.

  2. Добавьте гипервизор Hyper-V, выполнив следующую команду:

      dism / image: <имя файла WIM> / Enable-Feature / FeatureName: Microsoft-Hyper-V-Hypervisor / все  
  3. Добавьте функцию изолированного режима пользователя, выполнив следующую команду:

      dism / image: <имя WIM-файла> / Enable-Feature / FeatureName: IsolatedUserMode  

    Примечание

    В Windows 10 версии 1607 и новее функция изолированного режима пользователя была интегрирована в основную операционную систему.Таким образом, выполнение команды из шага 3 выше больше не требуется.

Подсказка

Вы также можете добавить эти функции в онлайн-образ с помощью DISM или Configuration Manager.

Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows
  1. Откройте редактор реестра.

  2. Включить безопасность на основе виртуализации:

    • Перейдите в HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ DeviceGuard.

    • Добавьте новое значение DWORD с именем EnableVirtualizationBasedSecurity . Задайте для этого параметра реестра значение 1, чтобы включить безопасность на основе виртуализации, и установите значение 0, чтобы отключить его.

    • Добавьте новое значение DWORD с именем RequirePlatformSecurityFeatures . Задайте для этого параметра реестра значение 1, чтобы использовать только Secure Boot , или 3, чтобы использовать Secure Boot и защиту DMA .

  3. Включить Credential Guard в Защитнике Windows:

    • Перейдите в HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA.

    • Добавьте новое значение DWORD с именем LsaCfgFlags . Задайте для этого параметра реестра значение 1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, установите значение 2, чтобы включить Credential Guard в Защитнике Windows без блокировки, и установите значение 0, чтобы отключить его.

  4. Закройте редактор реестра.

Примечание

Вы также можете включить Credential Guard в Защитнике Windows, установив записи реестра в параметре автоматической установки FirstLogonCommands.

Включение Credential Guard в Защитнике Windows с помощью HVCI и инструмента готовности оборудования Credential Guard в Защитнике Windows

Вы также можете включить Credential Guard в Защитнике Windows с помощью инструмента готовности оборудования HVCI и Credential Guard в Защитнике Windows.

  DG_Readiness_Tool.ps1 -Enable -AutoReboot  

Важно

При запуске инструмента готовности оборудования HVCI и Credential Guard в Защитнике Windows в операционной системе, отличной от английского, в сценарии измените $ OSArch = $ (gwmi win32_operatingsystem).OSArchitecture должна быть $ OSArch = $ ((gwmi win32_operatingsystem) .OSArchitecture) .tolower () вместо этого, чтобы инструмент работал.

Это известная проблема.

Обзор производительности Credential Guard в Защитнике Windows

Работает ли Credential Guard в Защитнике Windows?

Вы можете просмотреть информацию о системе, чтобы убедиться, что Credential Guard в Защитнике Windows работает на ПК.

  1. Щелкните Start , введите msinfo32.exe , а затем щелкните Информация о системе .

  2. Щелкните Сводка системы .

  3. Убедитесь, что Credential Guard отображается рядом с Запуск служб безопасности на основе виртуализации .

    Вот пример:

Вы также можете проверить, запущен ли Credential Guard в Защитнике Windows, с помощью инструмента готовности оборудования HVCI и Credential Guard в Защитнике Windows.

  DG_Readiness_Tool_v3.6.ps1 -Готово  

Важно

При запуске инструмента готовности оборудования HVCI и Credential Guard в Защитнике Windows в операционной системе, отличной от английского, в сценарии измените * $ OSArch = $ (gwmi win32_operatingsystem) .OSArchitecture на $ OSArch = $ ((gwmi win32_operatingsystem ) .OSArchitecture) .tolower () вместо этого, чтобы инструмент работал.

Это известная проблема.

Примечание

Для клиентских машин под управлением Windows 10 1703, LsaIso.exe запускается всякий раз, когда для других функций включена безопасность на основе виртуализации.

  • Мы рекомендуем включить Credential Guard в Защитнике Windows перед присоединением устройства к домену. Если Credential Guard в Защитнике Windows включен после присоединения к домену, секреты пользователя и устройства могут быть уже скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или личность, которые уже были скомпрометированы, поэтому мы рекомендуем как можно раньше включить Credential Guard.

  • Вам следует регулярно проверять компьютеры, на которых включен Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Вот список идентификаторов событий WinInit, которые нужно искать:

    • Код события 13 Credential Guard в Защитнике Windows (LsaIso.exe) был запущен и будет защищать учетные данные LSA.

    • Идентификатор события 14 Конфигурация Credential Guard в Защитнике Windows (LsaIso.exe): [ 0x0 | 0x1 | 0x2 ], 0

      • Первая переменная: 0x1 или 0x2 означает, что Credential Guard в Защитнике Windows настроен для работы. 0x0 означает, что он не настроен для работы.

      • Вторая переменная: 0 означает, что она настроена для работы в защищенном режиме. 1 означает, что он настроен для работы в тестовом режиме. Эта переменная всегда должна быть 0 .

    • Идентификатор события 15 Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но защищенное ядро ​​не запущено; продолжение без Credential Guard в Защитнике Windows.

    • Код события 16 Credential Guard в Защитнике Windows (LsaIso.exe) не удалось запустить: [код ошибки]

    • Код события 17 Ошибка чтения конфигурации UEFI Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]

      Вы также можете убедиться, что TPM используется для защиты ключей, проверив идентификатор события 51 в источнике событий Microsoft -> Windows -> Kernel-Boot . Если вы работаете с TPM, значение маски PCR TPM будет отличным от 0.

    • Идентификатор события 51 Подготовка главного ключа шифрования VSM. Использование статуса кэшированной копии: 0x0 . Статус распечатки кэшированной копии: 0x1. Статус генерации нового ключа: 0x1. Состояние запечатывания: 0x1 . Маска PCR TPM: 0x0 .

  • С помощью Windows PowerShell можно определить, запущена ли защита учетных данных на клиентском компьютере. На рассматриваемом компьютере откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:

      (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root \ Microsoft \ Windows \ DeviceGuard).БезопасностьУслуги  

    Эта команда генерирует следующий вывод:

Отключить Credential Guard в Защитнике Windows

Чтобы отключить Credential Guard в Защитнике Windows, вы можете использовать следующий набор процедур или инструмент готовности оборудования Device Guard и Credential Guard. Если Credential Guard был включен с блокировкой UEFI, вы должны использовать следующую процедуру, поскольку настройки сохраняются в переменных EFI (прошивки), и для этого потребуется физическое присутствие на машине, чтобы нажать функциональную клавишу, чтобы принять изменение.Если Credential Guard был включен без блокировки UEFI, вы можете отключить его с помощью групповой политики.

  1. Если вы использовали групповую политику, отключите параметр групповой политики, который вы использовали для включения Credential Guard в Защитнике Windows ( Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard -> Включить Безопасность на основе виртуализации ).

  2. Удалите следующие параметры реестра:

    • HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags
    • HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ LsaCfgFlags
  3. Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:

    • HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ RequirePlatformSecurityFeatures

      Важно

      Если вы вручную удалите эти параметры реестра, обязательно удалите их все.Если вы не удалите их все, устройство может перейти в режим восстановления BitLocker.

  4. Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

      mountvol X: / с скопируйте% WINDIR% \ System32 \ SecConfig.efi X: \ EFI \ Microsoft \ Boot \ SecConfig.efi / Y bcdedit / create {0cb3b571-2f2e-4343-a879-d86a476d7215} / d "DebugTool" / загрузчик приложений bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} путь "\ EFI \ Microsoft \ Boot \ SecConfig.эфи " bcdedit / set {bootmgr} последовательность загрузки {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} раздел устройства = X: mountvol X: / d  
  5. Перезагрузите компьютер.

  6. Примите приглашение отключить Credential Guard в Защитнике Windows.

  7. Вы также можете отключить функции безопасности на основе виртуализации, чтобы отключить Credential Guard в Защитнике Windows.

    Примечание

    ПК должен иметь одноразовый доступ к контроллеру домена для расшифровки содержимого, например файлов, зашифрованных с помощью EFS. Если вы хотите отключить Credential Guard в Защитнике Windows и безопасность на основе виртуализации, выполните следующие команды bcdedit после отключения всех параметров групповой политики и реестра безопасности на основе виртуализации:

      bcdedit / set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO, DISABLE-VBS bcdedit / set vsmlaunchtype off  

Примечание

Credential Guard и Device Guard в настоящее время не поддерживаются при использовании виртуальных машин Azure IaaS.Эти параметры будут доступны в будущих виртуальных машинах 2-го поколения.

Дополнительные сведения о безопасности на основе виртуализации и HVCI см. В разделе Включение защиты целостности кода на основе виртуализации.

Отключите Credential Guard в Защитнике Windows с помощью HVCI и средства проверки готовности оборудования Credential Guard в Защитнике Windows

Вы также можете отключить Credential Guard в Защитнике Windows с помощью инструмента готовности оборудования HVCI и Credential Guard в Защитнике Windows.

  DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot  

Важно

При запуске инструмента готовности оборудования HVCI и Credential Guard в Защитнике Windows в операционной системе, отличной от английского, в сценарии измените * $ OSArch = $ (gwmi win32_operatingsystem) .OSArchitecture на $ OSArch = $ ((gwmi win32_operatingsystem ) .OSArchitecture) .tolower () вместо этого, чтобы инструмент работал.

Это известная проблема.

Отключить Credential Guard в Защитнике Windows для виртуальной машины

С хоста вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:

  Set-VMSecurity -VMName  -VirtualizationBasedSecurityOptOut $ true  
.

Включение безопасной загрузки, BitLocker и Device Guard в Windows 10 IoT Core - Windows IoT

  • 11 минут на чтение

В этой статье

Windows 10 IoT Core включает в себя такие функции безопасности, как безопасная загрузка UEFI, шифрование устройства BitLocker и Device Guard. Это поможет производителям устройств создавать полностью заблокированные устройства Windows IoT, устойчивые ко многим различным типам атак.Вместе эти функции обеспечивают оптимальную защиту, которая гарантирует запуск платформы определенным образом, блокируя неизвестные двоичные файлы и защищая пользовательские данные с помощью шифрования устройства.

Порядок загрузки

Прежде чем мы сможем углубиться в отдельные компоненты, обеспечивающие безопасную платформу для устройства IoT, необходимо понимание порядка загрузки на устройстве Windows 10 IoT Core.

Существует три основных момента, которые возникают от включения устройства IoT до загрузки ядра ОС и выполнения установленного приложения.

  • Безопасная загрузка платформы
  • Безопасная загрузка Unified Extensible Firmware Interface (UEFI)
  • Целостность кода Windows

Дополнительную информацию о процессе загрузки Windows 10 можно найти здесь.

Блокировка устройств Интернета вещей

Чтобы заблокировать устройство Windows IoT, необходимо учесть следующие соображения.

Безопасная загрузка платформы

Когда устройство впервые включается, первым шагом в общем процессе загрузки является загрузка и запуск загрузчиков микропрограмм, которые инициализируют оборудование на устройствах и обеспечивают функцию аварийной прошивки.Затем загружается среда UEFI и передается управление.

Эти загрузчики микропрограмм являются специфичными для SoC, поэтому вам нужно будет работать с соответствующим производителем устройства, чтобы эти загрузчики были созданы на устройстве.

Безопасная загрузка UEFI

Безопасная загрузка UEFI - это первая точка применения политики, расположенная в UEFI. Он ограничивает систему, позволяя выполнять только двоичные файлы, подписанные указанным органом, например драйверы микропрограмм, дополнительные ПЗУ, драйверы или приложения UEFI и загрузчики UEFI.Эта функция предотвращает выполнение неизвестного кода на платформе и потенциально ослабляет его безопасность. Безопасная загрузка снижает риск атак на устройство вредоносными программами перед загрузкой, такими как руткиты.

Как OEM, вам необходимо хранить базы данных безопасной загрузки UEFI на устройстве IoT во время производства. Эти базы данных включают базу данных подписей (db), базу данных отозванных подписей (dbx) и базу данных ключей регистрации (KEK). Эти базы данных хранятся в энергонезависимой оперативной памяти (NV-RAM) микропрограмм устройства.

  • База данных сигнатур (db): Здесь перечислены подписывающие лица или хэши образов загрузчиков операционной системы, приложений UEFI и драйверов UEFI, которые разрешено загружать на устройство

  • База данных отозванных подписей (dbx): В нем перечислены подписывающие лица или хэши образов загрузчиков операционной системы, приложений UEFI и драйверов UEFI, которым больше не доверяют, и которые НЕ разрешено загружать на устройство

  • База данных ключей регистрации ключей (KEK): Содержит список ключей подписи, которые можно использовать для обновления баз данных подписей и отозванных подписей.

После того, как эти базы данных созданы и добавлены к устройству, OEM-производитель блокирует микропрограмму от редактирования и генерирует ключ подписи платформы (PK). Этот ключ можно использовать для подписи обновлений KEK или для отключения безопасной загрузки UEFI.

Вот шаги, выполняемые UEFI Secure Boot:

  1. После включения устройства каждая база данных подписей проверяется на соответствие ключу подписи платформы (PK).
  2. Если микропрограмма не является надежной, микропрограмма UEFI инициирует OEM-восстановление для восстановления надежной микропрограммы.
  3. Если Windows Boot Manager не может быть загружен, микропрограмма попытается загрузить резервную копию Windows Boot Manager. Если и это не удается, микропрограмма UEFI инициирует исправление OEM.
  4. Windows Boot Manager запускает и проверяет цифровую подпись ядра Windows. Если доверено, диспетчер загрузки Windows передает управление ядру Windows.

Дополнительные сведения о безопасной загрузке, а также руководство по созданию ключей и управлению ими доступны здесь.

Целостность кода Windows

Windows Code Integrity (WCI) повышает безопасность операционной системы, проверяя целостность драйвера или приложения каждый раз, когда он загружается в память.CI содержит два основных компонента - целостность кода режима ядра (KMCI) и целостность кода пользовательского режима (UMCI).

Configurable Code Integrity (CCI) - это функция в Windows 10, которая позволяет разработчикам устройств заблокировать устройство и разрешить ему запускать и выполнять только код, который подписан и является доверенным. Для этого производители устройств могут создать политику целостности кода на «золотом» устройстве (окончательная версия аппаратного и программного обеспечения), а затем защитить и применить эту политику на всех устройствах в заводском цехе.

Чтобы узнать больше о развертывании политик целостности кода, аудите и обеспечении соблюдения, ознакомьтесь с последней технической документацией здесь.

Вот шаги, предпринятые Windows Code Integrity:

  1. Ядро Windows проверит все остальные компоненты по базе данных сигнатур перед загрузкой. Сюда входят драйверы, файлы запуска и ELAM (антивирусное ПО для раннего запуска).
  2. Ядро Windows загрузит доверенные компоненты в процессе запуска и запретит загрузку ненадежных компонентов.
  3. Операционная система Windows 10 IoT Core загружается вместе со всеми установленными приложениями.

Шифрование устройства BitLocker

Windows 10 IoT Core также реализует облегченную версию шифрования устройства BitLocker, защищающую устройства IoT от офлайн-атак. Эта возможность сильно зависит от наличия TPM на платформе, включая необходимый протокол до ОС в UEFI, который проводит необходимые измерения. Эти измерения до ОС гарантируют, что ОС позже будет иметь окончательную запись о том, как ОС была запущена; однако он не налагает никаких ограничений на выполнение.

Подсказка

Функциональность

BitLocker в Windows 10 IoT Core позволяет автоматически шифровать том ОС на основе NTFS при привязке к нему всех доступных томов данных NTFS. Для этого необходимо убедиться, что GUID тома EFIESP установлен на C12A7328-F81F-11D2-BA4B-00A0C93EC93B .

Device Guard в Windows IoT Core

Большинство устройств IoT построены как устройства с фиксированной функцией. Это означает, что производители устройств точно знают, какая прошивка, операционная система, драйверы и приложения должны работать на данном устройстве.В свою очередь, эту информацию можно использовать для полной блокировки устройства IoT, разрешив выполнение только известного и надежного кода. Device Guard в Windows 10 IoT Core может помочь защитить устройства Интернета вещей, гарантируя, что неизвестный или ненадежный исполняемый код не может быть запущен на заблокированных устройствах.

Безопасность под ключ на базе IoT Core

Чтобы упростить включение ключевых функций безопасности на устройствах IoT Core, Microsoft предоставляет готовый пакет безопасности, который позволяет сборщикам устройств создавать полностью заблокированные устройства IoT.Этот пакет поможет с:

  • Предоставление ключей безопасной загрузки и включение функции на поддерживаемых платформах Интернета вещей
  • Установка и настройка шифрования устройства с помощью BitLocker
  • Инициирование блокировки устройства, чтобы разрешить выполнение только подписанных приложений и драйверов

Следующие шаги приведут к процессу создания образа блокировки с использованием пакета безопасности «под ключ»

Предварительные требования

  • ПК под управлением Windows 10 Enterprise (другие версии Windows не поддерживают предоставленные скрипты)
  • Windows 10 SDK - требуется для создания сертификата
  • Windows 10 ADK - требуется для CAB поколения
  • Эталонная платформа - для окончательной блокировки потребуется выпуск оборудования с поставляемой прошивкой, ОС, драйверами и приложениями

Разработка устройств Интернета вещей

Windows 10 IoT Core работает с различными силиконами, которые используются в сотнях устройств.Из предлагаемых устройств разработки IoT следующие предоставляют встроенные функции TPM из коробки, а также возможности безопасной загрузки, измеряемой загрузки, BitLocker и Device Guard:

  • Qualcomm DragonBoard 410c

    Чтобы включить безопасную загрузку, может потребоваться подготовить RPMB. После прошивки eMMC с помощью Windows 10 IoT Core (согласно инструкциям здесь, одновременно нажмите [Power] + [Vol +] + [Vol-] на устройстве при включении и выберите «Provision RPMB» в меню BDS). Обратите внимание, что это необратимый шаг.

  • Intel MinnowBoardMax

    Для Intel MinnowBoard Max версия прошивки должна быть 0.82 или выше (получите последнюю версию прошивки). Чтобы включить возможности TPM, включите плату с подключенной клавиатурой и дисплеем и нажмите F2, чтобы войти в настройку UEFI. Перейдите в Диспетчер устройств -> Настройка системы -> Конфигурация безопасности -> PTT и установите для него значение <Включить> . Нажмите F10, чтобы сохранить изменения и продолжить перезагрузку платформы.

Примечание

Raspberry Pi 2 и 3 не поддерживают TPM, поэтому мы не можем настраивать сценарии блокировки.

Создание пакетов блокировки

  1. Загрузите пакет сценария DeviceLockDown, который содержит все дополнительные инструменты и сценарии, необходимые для настройки и блокировки устройств.

  2. Запустите административную консоль PowerShell (PS) на своем ПК с Windows 10 и перейдите к местоположению загруженного скрипта.

  3. Подключите эталонную аппаратную платформу (с запущенным разблокированным образом) к компьютеру через общий сетевой ресурс с помощью

      net use \\ a.b.c.d \ c $ / user: имя пользователя пароль  
  4. Сгенерируйте ключи для вашего устройства с помощью

     . \ GenerateKeys.ps1 -OemName '<ваше имя OEM>' -outputPath '<выходной каталог>'  
    • Ключи и сертификаты создаются в указанной выходной папке с соответствующим суффиксом.
    • Защитите сгенерированные ключи , так как устройство будет доверять двоичным файлам, подписанным этими ключами, только после блокировки.
    • Вы можете пропустить этот шаг и использовать предварительно сгенерированные ключи только для тестирования
  5. Конфигурация settings.xml

    • Общий раздел: укажите каталоги пакетов
    • Раздел "Инструменты": укажите путь к инструментам.
      • Windows10KitsRoot (например, C: \ Program Files (x86) \ Windows Kits \ 10 \ )
      • WindowsSDK, версия (e.г. 10.0.15063.0 )
        • Версия SDK, установленная на вашем компьютере, находится под C: \ Program Files (x86) \ Windows Kits \ 10 \
    • Раздел SecureBoot: укажите, какие ключи использовать для безопасной загрузки (ключи PK и SB)
    • Раздел BitLocker: укажите сертификат для восстановления данных BitLocker (ключ DRA)
    • Раздел SIPolicy: укажите сертификаты, которым следует доверять
      • ScanPath: Путь к устройству для сканирования двоичных файлов, \\ a.b.c.d \ C $
      • Обновление: лицо, подписывающее политику SIPolicy (ключи PAUTH)
      • Пользователь: сертификаты режима пользователя (ключи UMCI)
      • Ядро: сертификаты режима ядра (ключи KMCI)
    • Упаковка: укажите настройки для поколения пакета

Важно

Чтобы помочь с тестированием на начальном этапе разработки, Microsoft предоставила предварительно сгенерированные ключи и сертификаты, где это необходимо. Это означает, что двоичные файлы Microsoft Test, Development и Pre-Release считаются надежными.Во время создания окончательного продукта и создания образа обязательно удалите эти сертификаты и используйте свои собственные ключи, чтобы обеспечить полную блокировку устройства.

  1. Выполните следующие команды для создания необходимых пакетов:
  PowerShell Модуль импорта. \ IoTTurnkeySecurity.psm1 # Создание пакетов безопасности для розничной торговли Новый-IoTTurnkeySecurity -ConfigFileName. \ Settings.xml (или же) # Создать пакеты безопасности для тестирования Новый-IoTTurnkeySecurity -ConfigFileName.\ settings.xml -Test  

Тестовые пакеты блокировки

Вы можете протестировать сгенерированные пакеты, вручную установив их на разблокированном устройстве, выполнив следующие шаги

  1. Прошить устройство с разблокированным изображением (изображение, которое использовалось для сканирования на предыдущем этапе).

  2. Подключиться к устройству (с помощью SSH или PowerShell)

  3. Скопируйте следующие файлы .cab на устройство в каталог, например c: \ OemInstall

    • OEM.Custom.Cmd.cab
    • OEM.Security.BitLocker.cab
    • OEM.Security.SecureBoot.cab
    • OEM.Security.DeviceGuard.cab
  4. Инициируйте постановку сгенерированных пакетов, введя следующие команды

      applyupdate -stage c: \ OemInstall \ OEM.Custom.Cmd.cab  

    Если вы используете собственное изображение, то вам придется пропустить этот файл и вручную отредактировать c: \ windows \ system32 \ oemcustomization.cmd с содержимым, доступным в Output \ OEMCustomization \ OEMCustomization.cmd файл

      applyupdate -stage c: \ OemInstall \ OEM.Security.BitLocker.cab applyupdate -stage c: \ OemInstall \ OEM.Security.SecureBoot.cab applyupdate -stage c: \ OemInstall \ OEM.Security.DeviceGuard.cab  
  5. Наконец, зафиксируйте пакеты через

      applyupdate -commit  
  6. Устройство перезагрузится в обновленную ОС (показаны шестеренки) для установки пакетов и снова перезагрузится в основную ОС. Как только устройство перезагрузится обратно в MainOS, будет включена безопасная загрузка и будет задействован SIPolicy.

  7. Перезагрузите устройство еще раз, чтобы активировать шифрование BitLocker.

  8. Проверить функции безопасности

    • SecureBoot: попробуйте bcdedit / debug на , вы получите сообщение об ошибке о том, что значение защищено политикой безопасной загрузки
    • BitLocker: запустить start / wait sectask.exe -waitencryptcomplete: 1 , если ERRORLEVEL равен -2147023436 (ERROR_TIMEOUT), шифрование не завершено. При запуске sectask.exe из файла .cmd опустить start / wait .
    • DeviceGuard: запустите любой неподписанный двоичный файл или двоичный файл, подписанный сертификатом, отсутствующим в списке SIPolicy, и убедитесь, что он не запускается.

Создать образ блокировки

После проверки того, что пакеты блокировки работают в соответствии с настройками, определенными ранее, вы можете включить эти пакеты в образ, выполнив следующие шаги. Прочтите руководство по производству IoT для получения инструкций по созданию пользовательских образов.

  1. В каталоге рабочей области обновите следующие файлы из сгенерированного выходного каталога выше

    • SecureBoot: Скопируйте .. \ Output \ SecureBoot \ *. Bin .. \ Workspace \ Common \ Packages \ Security.SecureBoot
      • SetVariable_db.bin
      • SetVariable_kek.bin
      • SetVariable_pk.bin
    • BitLocker: Копировать .. \ Output \ Bitlocker \ *. * .. \ Workspace \ Common \ Packages \ Security.Bitlocker
      • DETask.xml
      • Security.Bitlocker.wm.xml
      • setup.bitlocker.cmd
    • DeviceGuard: Скопируйте .. \ Output \ DeviceGuard \ *. * .. \ Workspace \ Common \ Packages \ Security.DeviceGuard
      • SIPolicyOn.p7b
      • SIPolicyOff.p7b
  2. Добавьте RetailOEMInput.xml и TestOEMInput.xml в каталог ProductName с идентификатором функции пакета блокировки

    • SEC_BITLOCKER
    • SEC_SECUREBOOT
    • SEC_DEVICEGUARD
  3. Восстановить изображение

    • buildpkg all (генерирует новые пакеты блокировки на основе вышеуказанных файлов политик)
    • buildimage ProductName test (или) retail (генерирует новый файл Flash.ffu)
  4. Запишите на устройство новый Flash.ffu и проверьте функции безопасности.

См. SecureSample как пример конфигурации блокируемой доски дракона.

В качестве альтернативы вы можете сгенерировать пакеты безопасности в самой оболочке IoTCore, подробности см. В разделе «Добавление пакетов безопасности».

Разработка с включенным принудительным применением CodeSigning

После создания пакетов и активации блокировки все двоичные файлы, добавленные в образ во время разработки, необходимо будет соответствующим образом подписать.Убедитесь, что ваши двоичные файлы пользовательского режима подписаны ключом . \ Keys \ *** - UMCI.pfx . Для подписи в режиме ядра, например для драйверов, вам необходимо указать собственные ключи подписи и убедиться, что они также включены в SIPolicy выше.

Разблокировка зашифрованных дисков

Во время разработки и тестирования при попытке чтения содержимого с зашифрованного устройства в автономном режиме (например, SD-карта для MinnowBoardMax или eMMC DragonBoard в режиме USB-накопителя) можно использовать diskpart для назначения буквы диска для MainOS и тома данных (давайте Предположим, v: для MainOS и w: для данных).Тома будут заблокированы, и их нужно будет разблокировать вручную. Это можно сделать на любом компьютере, на котором установлен сертификат OEM-DRA.pfx (включен в образец DeviceLockDown). Установите PFX, а затем выполните следующие команды из административной командной строки CMD:

  • manage-bde -unlock v: -cert -cf OEM-DRA.cer
  • manage-bde -unlock w: -cert -cf OEM-DRA.cer

Если требуется частый доступ к содержимому в автономном режиме, автоматическую блокировку BitLocker можно настроить для томов после первоначальной разблокировки с помощью следующих команд:

  • manage-bde -autounlock v: -enable
  • manage-bde -autounlock w: -enable

Отключение BitLocker

Если возникнет необходимость временно отключить BitLocker, инициируйте удаленный сеанс PowerShell с вашим устройством IoT и выполните следующую команду: sectask.exe-отключить .

Примечание

Шифрование устройства будет повторно включено при последующей загрузке устройства, если запланированная задача шифрования не будет отключена.

.

FAQ - Microsoft Defender Application Guard (Windows 10) - Безопасность Windows

  • 6 минут на чтение

В этой статье

Применимо к: Защитник Microsoft для конечной точки

Ответы на часто задаваемые вопросы о функциях Application Guard в Microsoft Defender (Application Guard), интеграции с операционной системой Windows и общей конфигурации.

Часто задаваемые вопросы

Могу ли я включить Application Guard на машинах с 4 ГБ ОЗУ?

Мы рекомендуем 8 ГБ ОЗУ для оптимальной производительности, но вы можете использовать следующие значения DWORD реестра, чтобы включить Application Guard на машинах, которые не соответствуют рекомендуемой конфигурации оборудования.

HKLM \ software \ Microsoft \ Hvsi \ SpecRequiredProcessorCount (по умолчанию - четыре ядра)

HKLM \ software \ Microsoft \ Hvsi \ SpecRequiredMemoryInGB (по умолчанию 8 ГБ.)

HKLM \ software \ Microsoft \ Hvsi \ SpecRequiredFreeDiskSpaceInGB (по умолчанию 5 ГБ.)

Могут ли сотрудники загружать документы из сеанса Application Guard Edge на хост-устройства?

В Windows 10 Enterprise edition 1803 пользователи могут загружать документы из изолированного контейнера Application Guard на главный компьютер. Эта возможность управляется политикой.

В Windows 10 Enterprise edition 1709 или Windows 10 Professional edition 1803 невозможно загрузить файлы из изолированного контейнера Application Guard на главный компьютер.Однако сотрудники могут использовать параметры Печать как PDF или Печать как XPS и сохранять эти файлы на главном устройстве.

Могут ли сотрудники копировать и вставлять данные между хост-устройством и сеансом Application Guard Edge?

В зависимости от настроек вашей организации сотрудники могут копировать и вставлять изображения (.bmp) и текст в и из изолированного контейнера.

Почему сотрудники не видят свое избранное в сеансе Application Guard Edge?

Чтобы обеспечить безопасность и изоляцию сеанса Application Guard Edge от хост-устройства, мы не копируем избранное, сохраненное в сеансе Application Guard Edge, обратно на хост-устройство.

Почему сотрудники не могут видеть свои расширения в сеансе Application Guard Edge?

В настоящее время сеанс Application Guard Edge не поддерживает расширения. Однако мы внимательно следим за вашими отзывами по этому поводу.

Как мне настроить Application Guard в Защитнике Microsoft для работы с моим сетевым прокси (IP-адресами)?

Microsoft Defender Application Guard требует, чтобы прокси имели символическое имя, а не только IP-адрес. Настройки прокси IP-Literal, такие как 192.168.1.4: 81 можно аннотировать как itproxy: 81 или использовать такую ​​запись, как P19216810010 для прокси с IP-адресом 192.168.100.10 . Это относится к Windows 10 Корпоративная 1709 или более поздней версии. Это будут политики прокси в разделе «Изоляция сети» в групповой политике или в Intune.

Какие редакторы метода ввода (IME) в 19h2 не поддерживаются?

Следующие редакторы метода ввода (IME), представленные в Windows 10 версии 1903, в настоящее время не поддерживаются в Application Guard в Microsoft Defender.

  • Вьетнамская клавиатура Telex
  • Вьетнамская цифровая клавишная клавиатура
  • Фонетическая клавиатура для хинди
  • Фонетическая клавиатура Bangla
  • Фонетическая клавиатура для маратхи
  • Фонетическая клавиатура телугу
  • Фонетическая клавиатура для тамильского языка
  • Фонетическая клавиатура для каннада
  • Фонетическая клавиатура для малаялама
  • Фонетическая клавиатура гуджарати
  • Фонетическая клавиатура Odia
  • Фонетическая клавиатура панджаби

Я включил политику аппаратного ускорения в развертывании Windows 10 Enterprise версии 1803.Почему мои пользователи по-прежнему получают только рендеринг процессора?

В настоящее время эта функция является экспериментальной и не работает без дополнительного ключа реестра, предоставленного Microsoft. Если вы хотите оценить эту функцию при развертывании Windows 10 Корпоративная версии 1803, свяжитесь с Microsoft, и мы будем работать с вами, чтобы включить эту функцию.

Что такое локальная учетная запись WDAGUtilityAccount?

Эта учетная запись является частью Application Guard, начиная с Windows 10 версии 1709 (Fall Creators Update).Эта учетная запись остается отключенной, пока на вашем устройстве не будет включен Application Guard. Этот элемент интегрирован в ОС и не рассматривается как угроза / вирус / вредоносное ПО.

Как мне доверять субдомену в моем списке сайтов?

Чтобы доверять субдомену, вы должны поставить перед доменом две точки, например: ..contoso.com гарантирует, что mail.contoso.com или news.contoso.com являются доверенными. Первая точка представляет собой строки для имени поддомена (почта или новости), вторая точка распознает начало имени домена ( contoso.com ). Это предотвращает доверие к таким сайтам, как fakesitecontoso.com .

Есть ли различия между использованием Application Guard в Windows Pro и Windows Enterprise?

При использовании Windows Pro или Windows Enterprise у вас есть доступ к использованию Application Guard в автономном режиме. Однако при использовании Enterprise у вас есть доступ к Application Guard в режиме Enterprise-Managed Mode. В этом режиме есть некоторые дополнительные функции, которых нет в автономном режиме. Дополнительные сведения см. В разделе Подготовка к установке Application Guard в защитнике Microsoft.

Есть ли ограничение на размер списков доменов, которые мне нужно настроить?

Да, и домены корпоративных ресурсов, размещенные в облаке, и домены, отнесенные к категории рабочих и личных, имеют ограничение 16383-B.

Почему мой драйвер шифрования нарушает работу Microsoft Defender Application Guard?

Application Guard в защитнике Microsoft получает доступ к файлам с VHD, установленного на хосте, которые необходимо записать во время установки. Если драйвер шифрования предотвращает монтирование VHD или запись на него, Application Guard не работает и выдает сообщение об ошибке ( 0x80070013 ERROR_WRITE_PROTECT ).

Почему политики изоляции сети в групповой политике и CSP выглядят по-разному?

Нет однозначного соответствия между всеми политиками сетевой изоляции между CSP и GP. Обязательные политики сетевой изоляции для развертывания Application Guard различны для CSP и GP.

Обязательная политика GP изоляции сети для развертывания Application Guard: «DomainSubnets или CloudResources» Обязательная политика CSP сетевой изоляции для развертывания Application Guard: «EnterpriseCloudResources или (EnterpriseIpRange и EnterpriseNetworkDomainNames)» Для EnterpriseNetworkDomainNames не существует сопоставленной политики CSP.

Application Guard в защитнике Microsoft получает доступ к файлам с VHD, установленного на хосте, которые необходимо записать во время установки. Если драйвер шифрования предотвращает монтирование VHD или запись на него, Application Guard не работает и выдает сообщение об ошибке ( 0x80070013 ERROR_WRITE_PROTECT ).

Почему Application Guard перестал работать после того, как я отключил гиперпоточность?

Если гиперпоточность отключена (из-за обновления, примененного через статью базы знаний или через настройки BIOS), существует вероятность, что Application Guard больше не соответствует минимальным требованиям.

Почему я получаю сообщение об ошибке «ERROR_VIRTUAL_DISK_LIMITATION»?

Application Guard может некорректно работать на томах, сжатых NTFS. Если проблема не исчезнет, ​​попробуйте распаковать том.

Почему я получаю сообщение об ошибке «ERR_NAME_NOT_RESOLVED» после того, как не могу получить доступ к файлу PAC?

Это известная проблема. Чтобы смягчить это, вам нужно создать два правила брандмауэра. Инструкции по созданию правила брандмауэра с помощью групповой политики см .:

Первое правило (DHCP-сервер):

  1. Путь к программе: % SystemRoot% \ System32 \ svchost.exe
  2. Местная служба: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Служба подключения к Интернету (SharedAccess))
  3. Протокол UDP
  4. Порт 67

Второе правило (DHCP-клиент) Это то же самое, что и первое правило, но ограничено локальным портом 68. В пользовательском интерфейсе брандмауэра Microsoft Defender выполните следующие действия:

  1. Щелкните правой кнопкой мыши правила для входящих подключений, создайте новое правило.
  2. Выберите пользовательское правило .
  3. Путь к программе: % SystemRoot% \ System32 \ svchost.exe .
  4. Тип протокола: UDP, Конкретные порты: 67, Удаленный порт: любой.
  5. Любые IP-адреса.
  6. Разрешить соединение.
  7. Все профили.
  8. Новое правило должно появиться в пользовательском интерфейсе. Щелкните правой кнопкой мыши правило > свойства .
  9. На вкладке Программы и службы в разделе Services щелкните на settings .Выберите Применить к этой службе и выберите Общий доступ к подключению к Интернету (ICS) Общий доступ .

Почему я не могу запустить Application Guard, когда включен Exploit Guard?

Существует известная проблема: если вы измените настройки защиты от эксплойтов для CFG и, возможно, других, hvsimgr не может запуститься. Чтобы устранить эту проблему, перейдите к Безопасность Windows > Управление приложениями и браузером > Настройка защиты от эксплойтов , а затем переключите CFG на , используйте значение по умолчанию .

Как мне включить ICS, но при этом использовать Application Guard?

ICS включен по умолчанию в Windows, и ICS должен быть включен для правильной работы Application Guard. Мы не рекомендуем отключать ICS; однако вы можете частично отключить ICS, используя групповую политику и редактируя разделы реестра.

  1. В параметре групповой политики под названием Запретить использование общего доступа к подключению Интернета в доменной сети DNS установите для него значение Отключено .

  2. Отключите IpNat.sys из загрузки ICS следующим образом:
    System \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ DisableIpNat = 1

  3. Настройте ICS (SharedAccess) для включения следующим образом:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Start = 3

  4. (это необязательно) Отключите IPNAT следующим образом:
    HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ IPNat \ Start = 4

  5. Перезагрузите устройство.

См. Также

Настройка параметров политики Application Guard в Защитнике Microsoft

.

Включить аппаратную изоляцию для Microsoft Edge (Windows 10) - Windows Security

  • 3 минуты на чтение

В этой статье

Применимо к:

Изучите системные требования

См. Раздел Системные требования для Microsoft Defender Application Guard, чтобы ознакомиться с требованиями к установке оборудования и программного обеспечения для Microsoft Defender Application Guard.

Примечание

Microsoft Defender Application Guard не поддерживается на виртуальных машинах и в среде VDI. Для тестирования и автоматизации на непроизводственных машинах вы можете включить WDAG на виртуальной машине, включив вложенную виртуализацию Hyper-V на хосте.

Подготовка для Microsoft Defender Application Guard

Прежде чем вы сможете установить и использовать Microsoft Defender Application Guard, вы должны определить, как вы собираетесь использовать его на своем предприятии. Вы можете использовать Application Guard в режиме Standalone или Enterprise-managed .

Автономный режим

Применимо к:

  • Windows 10 Enterprise edition, версия 1709 или более поздняя
  • Windows 10 Pro edition, версия 1803

Сотрудники могут использовать аппаратно изолированные сеансы просмотра без какого-либо администратора или настройки политики управления. В этом режиме необходимо установить Application Guard, а затем сотрудник должен вручную запустить Microsoft Edge в Application Guard при просмотре ненадежных сайтов. Пример того, как это работает, см. В сценарии тестирования Application Guard в автономном режиме.

Режим корпоративного управления

Применимо к:

  • Windows 10 Enterprise edition, версия 1709 или более поздняя

Вы и ваш отдел безопасности можете определить границы своей компании, явно добавив доверенные домены и настроив Application Guard в соответствии с вашими потребностями на устройствах сотрудников. Режим, управляемый предприятием, также автоматически перенаправляет любые запросы браузера на добавление домена (ов) вне предприятия в контейнер.

На следующей диаграмме показан поток между главным компьютером и изолированным контейнером.

Установить Application Guard

Функция Application Guard отключена по умолчанию. Однако вы можете быстро установить его на устройства своих сотрудников с помощью панели управления, PowerShell или решения для управления мобильными устройствами (MDM).

Для установки с помощью панели управления

  1. Откройте панель управления , щелкните Программы, и затем щелкните Включение или отключение компонентов Windows .

  2. Установите флажок рядом с Microsoft Defender Application Guard и нажмите ОК .

    Установлен

    Application Guard и его базовые зависимости.

Для установки с помощью PowerShell

Примечание

Перед этим шагом убедитесь, что ваши устройства соответствуют всем системным требованиям. PowerShell установит эту функцию без проверки системных требований. Если ваши устройства не соответствуют системным требованиям, Application Guard может не работать. Этот шаг рекомендуется только для сценариев, управляемых предприятием.

  1. Щелкните значок Search или Cortana на панели задач Windows 10 и введите PowerShell .

  2. Щелкните правой кнопкой мыши Windows PowerShell , а затем щелкните Запуск от имени администратора .

    Windows PowerShell открывается с учетными данными администратора.

  3. Введите следующую команду:

      Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard  
  4. Перезагрузите устройство.

    Установлен

    Application Guard и его базовые зависимости.

Для установки с помощью Intune

  1. Перейти к https: // endpoint.microsoft.com и войдите в систему.

  2. Выберите Устройства > Профили конфигурации > + Создайте профиль и выполните следующие действия:

    1. В списке Platform выберите Windows 10 и более поздние версии .

    2. В списке Profile выберите Endpoint Protection .

    3. Выберите Создать .

  3. Задайте следующие настройки для профиля:

    • Название и Описание

    • В разделе Выберите категорию для настройки параметров выберите Microsoft Defender Application Guard .

    • В списке Application Guard выберите Включено для Edge .

    • Выберите свои предпочтения для Поведение буфера обмена , Внешнее содержимое и остальные параметры.

  4. Выберите OK , а затем снова выберите OK .

  5. Проверьте настройки и выберите Создать .

  6. Выберите Присвоения , а затем выполните следующие действия:

    1. На вкладке Включить в списке Назначить выберите параметр.

    2. Если у вас есть устройства или пользователи, которых вы хотите исключить из этого профиля защиты конечной точки, укажите их на вкладке Исключить .

    3. Нажмите Сохранить .

После создания профиля на всех устройствах, к которым должна применяться политика, будет включен Application Guard в Защитнике Microsoft. Пользователям может потребоваться перезагрузить свои устройства, чтобы защита была на месте.

.

Как System Guard в Защитнике Windows защищает Windows 10 от эксплойтов микропрограмм - Windows Security

  • 5 минут на чтение

В этой статье

Для защиты критически важных ресурсов, таких как стек проверки подлинности Windows, токены единой регистрации, биометрический стек Windows Hello и модуль виртуальной доверенной платформы, микропрограммное обеспечение и оборудование системы должны быть надежными.

System Guard в Защитнике Windows реорганизует существующие функции целостности системы Windows 10 под одной крышей и устанавливает следующий набор инвестиций в безопасность Windows. Он предназначен для обеспечения следующих гарантий безопасности:

  • Защита и поддержание целостности системы при запуске
  • Подтвердить, что целостность системы действительно поддерживалась посредством локальной и удаленной аттестации

Поддержание целостности системы при запуске

Статический корень доверия для измерений (SRTM)

В Windows 7 одним из средств, которые злоумышленники могли использовать для сохранения и уклонения от обнаружения, была установка в систему того, что часто называют буткитом или руткитом.Это вредоносное ПО запускалось до запуска Windows или во время самого процесса загрузки, что позволяло запускать его с наивысшим уровнем привилегий.

В Windows 10, работающей на современном оборудовании (т. Е. Сертифицированном для Windows 8 или выше), аппаратный корень доверия помогает гарантировать, что никакая неавторизованная прошивка или программное обеспечение (например, буткит) не сможет запуститься до загрузчика Windows. Этот аппаратный корень доверия исходит из функции безопасной загрузки устройства, которая является частью унифицированного расширяемого интерфейса микропрограмм (UEFI).Этот метод измерения статических компонентов UEFI при ранней загрузке называется Static Root of Trust for Measurement (SRTM).

Поскольку существуют тысячи поставщиков ПК, которые производят множество моделей с различными версиями UEFI BIOS, при загрузке возникает невероятно большое количество измерений SRTM. Здесь существуют два метода установления доверия: либо ведение списка известных «плохих» измерений SRTM (также известного как список блокировки), либо списка известных «хороших» измерений SRTM (также известного как список разрешений).У каждого варианта есть недостаток:

  • Список известных «плохих» измерений SRTM позволяет хакеру изменить всего 1 бит в компоненте, чтобы создать совершенно новый хэш SRTM, который необходимо указать. Это означает, что поток SRTM по своей природе хрупок - незначительное изменение может сделать недействительной всю цепочку доверия.
  • Список известных «хороших» измерений SRTM требует тщательного добавления каждого нового комбинированного измерения BIOS / ПК, что происходит медленно. Кроме того, исправление ошибки в коде UEFI может занять много времени, чтобы спроектировать, построить, повторно протестировать, проверить и повторно развернуть.

Безопасный запуск - динамический корень доверия для измерения (DRTM)

Безопасный запуск System Guard в Защитнике Windows, впервые представленный в Windows 10 версии 1809, направлен на устранение этих проблем за счет использования технологии, известной как динамический корень доверия для измерения (DRTM). DRTM позволяет системе сначала беспрепятственно загружаться с ненадежным кодом, но вскоре после этого запускает систему в доверенное состояние, беря под контроль все процессоры и вынуждая их использовать хорошо известный и измеренный путь кода.Это дает то преимущество, что позволяет ненадежному раннему коду UEFI загружать систему, но затем может безопасно перейти в надежное и измеряемое состояние.

Secure Launch упрощает управление измерениями SRTM, поскольку код запуска теперь не связан с конкретной конфигурацией оборудования. Это означает, что количество допустимых измерений кода невелико, и будущие обновления могут быть развернуты более широко и быстро.

Защита режима управления системой (SMM)

System Management Mode (SMM) - это специальный режим ЦП в микроконтроллерах x86, который обрабатывает управление питанием, конфигурацию оборудования, мониторинг температуры и все остальное, что производитель считает полезным.Каждый раз, когда запрашивается одна из этих системных операций, во время выполнения вызывается немаскируемое прерывание (SMI), которое выполняет код SMM, установленный BIOS. Код SMM выполняется с наивысшим уровнем привилегий и невидим для ОС, что делает его привлекательной целью для злонамеренных действий. Даже если для позднего запуска используется System Guard Secure Launch, код SMM потенциально может получить доступ к памяти гипервизора и изменить гипервизор. Для защиты от этого используются две техники:

  1. Защита пейджинга для предотвращения несанкционированного доступа к коду и данным
  2. Аппаратный контроль и аттестация SMM

Защита по пейджинговому вызову может быть реализована, чтобы заблокировать определенные кодовые таблицы, чтобы они были доступны только для чтения, чтобы предотвратить вмешательство.Это предотвращает доступ к любой памяти, которая не была специально назначена.

Аппаратная функция процессора, известная как обработчик SMI супервизора, может контролировать SMM и гарантировать, что он не получает доступ к какой-либо части адресного пространства, к которой он не должен обращаться.

SMM-защита

построена на основе технологии Secure Launch и требует, чтобы она работала. В будущем Windows 10 также будет измерять поведение этого обработчика SMI и подтверждать, что никакая память, принадлежащая ОС, не была изменена.

Проверка целостности платформы после запуска Windows (время выполнения)

Хотя System Guard в Защитнике Windows обеспечивает расширенную защиту, которая поможет защитить и поддерживать целостность платформы во время загрузки и во время выполнения, реальность такова, что мы должны применять менталитет «предполагать нарушение» даже к нашим самым сложным технологиям безопасности. Мы должны быть в состоянии верить, что технологии успешно выполняют свою работу, но нам также нужна возможность убедиться, что они успешно достигли своих целей.Когда дело доходит до целостности платформы, мы не можем просто доверять платформе, которая потенциально может быть взломана, чтобы она самостоятельно подтверждала свое состояние безопасности. Таким образом, System Guard в Защитнике Windows включает ряд технологий, которые позволяют удаленно анализировать целостность устройства.

При загрузке Windows 10 System Guard в Защитнике Windows выполняет серию измерений целостности с помощью модуля Trusted Platform Module 2.0 (TPM 2.0) устройства. System Guard Secure Launch не поддерживает более ранние версии TPM, такие как TPM 1.2. Этот процесс и данные аппаратно изолированы от Windows, чтобы гарантировать, что данные измерений не будут подвергнуты вмешательству, которое может произойти в случае взлома платформы. Отсюда измерения могут использоваться для определения целостности микропрограмм устройства, состояния конфигурации оборудования и компонентов, связанных с загрузкой Windows, и это лишь некоторые из них.

После загрузки системы System Guard в Защитнике Windows подписывает и запечатывает эти измерения с помощью TPM.По запросу система управления, такая как Intune или Microsoft Endpoint Configuration Manager, может получить их для удаленного анализа. Если System Guard в Защитнике Windows указывает на отсутствие целостности устройства, система управления может предпринять ряд действий, например запретить устройству доступ к ресурсам.

.

Сценарии тестирования с помощью Microsoft Defender Application Guard (Windows 10) - Windows Security

  • 7 минут на чтение

В этой статье

Применимо к:

Мы составили список сценариев, которые вы можете использовать для тестирования аппаратной изоляции в вашей организации.

Application Guard в автономном режиме

Вы можете увидеть, как сотрудник будет использовать автономный режим с Application Guard.

Для тестирования Application Guard в автономном режиме

  1. Установите Application Guard.

  2. Перезагрузите устройство, запустите Microsoft Edge и выберите в меню Новое окно Application Guard .

  3. Подождите, пока Application Guard установит изолированную среду.

    Примечание

    Слишком быстрый запуск Application Guard после перезапуска устройства может привести к тому, что загрузка займет немного больше времени.Однако последующие запуски должны происходить без заметных задержек.

  4. Перейдите на ненадежный, но безопасный URL-адрес (в этом примере мы использовали msn.com) и просмотрите новое окно Microsoft Edge, убедившись, что вы видите визуальные подсказки Application Guard.

Application Guard в режиме управления предприятием

Как установить, настроить, включить и настроить Application Guard для режима управления предприятием.

Установить, настроить и включить Application Guard

Прежде чем вы сможете использовать Application Guard в управляемом режиме, необходимо установить выпуск Windows 10 Корпоративная версии 1709, который включает эту функцию.Затем вы должны использовать групповую политику для настройки необходимых параметров.

  1. Установите Application Guard.

  2. Перезагрузите устройство, а затем запустите Microsoft Edge.

  3. Настройте параметры изоляции сети в групповой политике:

    а. Щелкните значок Windows , введите Групповая политика , а затем щелкните Изменить групповую политику .

    г. Перейдите в Административные шаблоны \ Сеть \ Изоляция сети \ Домены ресурсов предприятия, размещенные в облаке .

    г. Для целей этого сценария введите .microsoft.com в поле Корпоративные облачные ресурсы .

    г. Перейдите в Administrative Templates \ Network \ Network Isolation \ Domains, которые относятся как к рабочим, так и к личным настройкам .

    e. Для этого сценария введите bing.com в поле Нейтральные ресурсы .

  4. Перейдите в Computer Configuration \ Administrative Templates \ Windows Components \ Microsoft Defender Application Guard \ Включите Microsoft Defender Application Guard в настройке управляемого режима.

  5. Щелкните Включено , выберите вариант 1 и щелкните ОК .

    Примечание

    Включение этого параметра подтверждает правильность настройки всех необходимых параметров на устройствах сотрудников, включая параметры сетевой изоляции, установленные ранее в этом сценарии.

  6. Запустите Microsoft Edge и введите https://www.microsoft.com .

    После отправки URL-адреса Application Guard определяет, что URL-адрес является надежным, поскольку он использует домен, который вы пометили как доверенный, и показывает сайт непосредственно на главном компьютере, а не в Application Guard.

  7. В том же браузере Microsoft Edge введите любой URL-адрес, не входящий в списки доверенных или нейтральных сайтов.

    После отправки URL-адреса Application Guard определяет, что URL-адрес является ненадежным, и перенаправляет запрос в аппаратно изолированную среду.

Настройка защиты приложений

Application Guard позволяет указать вашу конфигурацию, позволяя создать надлежащий баланс между безопасностью на основе изоляции и производительностью ваших сотрудников.

Application Guard предоставляет вашим сотрудникам следующее поведение по умолчанию:

  • Нет копирования и вставки между главным компьютером и изолированным контейнером.

  • Нет печати из изолированного контейнера.

  • Отсутствует сохранение данных от одного изолированного контейнера к другому изолированному контейнеру.

У вас есть возможность изменить каждый из этих параметров для работы с вашим предприятием из групповой политики.

Применимо к:

  • Windows 10 Enterprise edition, версия 1709 или более поздняя
  • Windows 10 Professional edition, версия 1803
Параметры копирования и вставки
  1. Перейдите в раздел Computer Configuration \ Administrative Templates \ Windows Components \ Microsoft Defender Application Guard \ Configure Microsoft Defender Application Guard clipboard .

  2. Щелкните Включено и щелкните ОК .

  3. Выберите, как работает буфер обмена:

    • Копирование и вставка из изолированного сеанса на хост-компьютер

    • Копирование и вставка с главного ПК в изолированный сеанс

    • Скопируйте и вставьте в обоих направлениях

  4. Выберите, что можно копировать:

    • Между главным компьютером и изолированным контейнером можно копировать только текст.

    • Между главным компьютером и изолированным контейнером можно копировать только образы.

    • Как текст, так и изображения могут быть скопированы между главным компьютером и изолированным контейнером.

  5. Щелкните ОК .

Параметры печати
  1. Перейдите в Computer Configuration \ Administrative Templates \ Windows Components \ Microsoft Defender Application Guard \ Configure Microsoft Defender Application Guard распечатайте параметры .

  2. Щелкните Включено и щелкните ОК .

  3. На основе списка, предоставленного в настройках, выберите число, которое лучше всего представляет, какой тип печати должен быть доступен вашим сотрудникам. Вы можете разрешить любую комбинацию локальной, сетевой печати, печати PDF и XPS.

  4. Щелкните ОК .

Параметры сохранения данных
  1. Перейдите в раздел Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Defender Application Guard \ Разрешить сохранение данных для параметра Application Guard в Microsoft Defender.

  2. Щелкните Включено и щелкните ОК .

  3. Откройте Microsoft Edge и перейдите к ненадежному, но безопасному URL-адресу.

    Веб-сайт открывается в изолированном сеансе.

  4. Добавьте сайт в список Избранное , а затем закройте изолированный сеанс.

  5. Выйдите из системы и снова войдите в систему, снова открыв Microsoft Edge в Application Guard.

    Ранее добавленный сайт должен по-прежнему отображаться в вашем списке Избранное .

    Примечание

    Если вы не разрешаете или не отключаете сохранение данных, перезапуск устройства или вход в изолированный контейнер и выход из него запускает событие перезагрузки, которое отбрасывает все сгенерированные данные, включая файлы cookie сеанса, избранное и т. Д., Удаляя данные из приложения Охрана. Если вы включите сохранение данных, все артефакты, созданные сотрудником, будут сохраняться в событиях повторного цикла контейнера. Однако эти артефакты существуют только в изолированном контейнере и не передаются на главный компьютер.Эти данные сохраняются после перезапуска и даже при обновлении Windows 10 от сборки к сборке.

    Если вы включите сохранение данных, но позже решите прекратить его поддержку для своих сотрудников, вы можете использовать нашу служебную программу, предоставляемую Windows, для сброса контейнера и удаления любых личных данных.

    Чтобы сбросить контейнер, выполните следующие действия:
    1. Откройте программу командной строки и перейдите в Windows / System32.
    2. Введите wdagtool.exe cleanup . Среда контейнера сбрасывается, сохраняются только данные, созданные сотрудником.
    3. Введите wdagtool.exe cleanup RESET_PERSISTENCE_LAYER . Среда контейнера сбрасывается, включая удаление всех данных, созданных сотрудниками.

Применимо к:

  • Windows 10 Enterprise edition, версия 1803
  • Windows 10 Professional edition, версия 1803
Варианты загрузки
  1. Перейдите в Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Defender Application Guard \ Разрешить загрузку и сохранение файлов в операционной системе хоста из настройки Microsoft Defender Application Guard .

  2. Щелкните Включено и щелкните ОК .

  3. Выйдите из системы и снова войдите в систему, снова открыв Microsoft Edge в Application Guard.

  4. Загрузите файл из Microsoft Defender Application Guard.

  5. Убедитесь, что файл загружен на этот компьютер> Загрузки> Ненадежные файлы.

Параметры аппаратного ускорения
  1. Перейдите в Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Defender Application Guard \ Разрешить аппаратное ускорение отрисовки для параметра Application Guard в Microsoft Defender.

  2. Щелкните Включено и щелкните ОК .

  3. После включения этой функции откройте Microsoft Edge и перейдите к ненадежному, но безопасному URL-адресу с видео, 3D или другим содержимым с большим количеством графики. Веб-сайт открывается в изолированном сеансе.

  4. Оцените визуальное восприятие и производительность аккумулятора.

Применимо к:

  • Windows 10 Enterprise edition, версия 1809
  • Windows 10 Professional edition, версия 1809
Параметры доверия к файлам
  1. Перейдите в Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Defender Application Guard \ Разрешить пользователям доверять файлам, открываемым в настройке Microsoft Defender Application Guard .

  2. Щелкните Включено , установите для параметра Параметры значение 2 и щелкните ОК .

  3. Выйдите из системы и снова войдите в систему, снова открыв Microsoft Edge в Application Guard.

  4. Откройте файл в Edge, например файл Office 365.

  5. Убедитесь, что антивирусное сканирование завершено до открытия файла.

Опции камеры и микрофона
  1. Перейдите в Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Defender Application Guard \ Разрешить доступ к камере и микрофону в настройке Microsoft Defender Application Guard .

  2. Щелкните Включено и щелкните ОК .

  3. Выйдите из системы и снова войдите в систему, снова открыв Microsoft Edge в Application Guard.

  4. Откройте приложение с поддержкой видео или аудио в Edge.

  5. Убедитесь, что камера и микрофон работают должным образом.

Параметры совместного использования корневого сертификата
  1. Перейдите в Конфигурация компьютера \ Административные шаблоны \ Компоненты Windows \ Microsoft Defender Application Guard \ Разрешить Microsoft Defender Application Guard использовать корневые центры сертификации с пользовательского устройства .

  2. Щелкните Включено , скопируйте отпечаток каждого сертификата для совместного использования, разделенные запятыми, и щелкните ОК .

  3. Выйдите из системы и снова войдите в систему, снова открыв Microsoft Edge в Application Guard.

Расширение Application Guard для сторонних веб-браузеров

Расширение Application Guard, доступное для Chrome и Firefox, позволяет Application Guard защищать пользователей, даже если они используют веб-браузер, отличный от Microsoft Edge или Internet Explorer.

После того, как пользователь установил расширение и сопутствующее приложение на своем корпоративном устройстве, вы можете выполнить следующие сценарии.

  1. Откройте Firefox или Chrome - в зависимости от того, в каком браузере установлено расширение.

  2. Перейдите на корпоративный веб-сайт, т. Е. На внутренний веб-сайт, поддерживаемый вашей организацией. Вы можете увидеть эту оценочную страницу на мгновение до полной загрузки сайта.

  3. Перейдите на некоммерческий внешний веб-сайт, например www.bing.com. Сайт должен быть перенаправлен на Microsoft Defender Application Guard Edge.

  4. Откройте новое окно Application Guard, выбрав значок Application Guard в Microsoft Defender, затем Новое окно Application Guard

.

Смотрите также