Новые возможности Credential Guard
Для защиты секретов Credential Guard использует механизмы для обеспечения безопасности на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным.
Новые возможности в Windows 10 версии 1511
Поддержка диспетчера учетных данных. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях:
Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных.
Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные.
Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. В противном случае восстановить эти учетные данные будет невозможно.
Включение Credential Guard без блокировки UEFI. Включить Credential Guard можно с помощью реестра. Это позволяет отключать Credential Guard удаленно. Однако рекомендуется включать Credential Guard с блокировкой UEFI. Это можно настроить с помощью групповой политики.
Делегирование учетных данных CredSSP/TsPkg. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию.
Узнайте, как развертывать Credential Guard и управлять им в вашей организации.