Новые возможности Credential Guard

Для защиты секретов Credential Guard использует механизмы для обеспечения безопасности на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным.

Новые возможности в Windows 10 версии 1511

• Поддержка диспетчера учетных данных. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях:

  • Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных.

  • Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные.

  • Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. В противном случае восстановить эти учетные данные будет невозможно.

• Включение Credential Guard без блокировки UEFI. Включить Credential Guard можно с помощью реестра. Это позволяет отключать Credential Guard удаленно. Однако рекомендуется включать Credential Guard с блокировкой UEFI. Это можно настроить с помощью групповой политики.

• Делегирование учетных данных CredSSP/TsPkg. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию.

Узнайте, как развертывать Credential Guard и управлять им в вашей организации.