Новые возможности Credential Guard

Для защиты секретов Credential Guard использует механизмы для обеспечения безопасности на основе виртуализации, чтобы только привилегированное системное ПО могло получать доступ к этим данным.

Новые возможности в Windows 10 версии 1511

  • Поддержка диспетчера учетных данных. Учетные данные, хранимые в диспетчере учетных данных, включая учетные данные домена, защищаются с помощью Credential Guard на следующих условиях:

    • Учетные данные, сохраненные протоколом удаленного рабочего стола, использовать невозможно. Сотрудники организации могут вручную сохранять учетные данные в диспетчере учетных данных в качестве универсальных учетных данных.

    • Приложения, извлекающие учетные данные домена из диспетчера учетных данных с помощью недокументированных API, больше не смогут использовать эти сохраненные и извлеченные учетные данные.

    • Невозможно восстановить учетные данные с помощью панели управления диспетчера учетных данных, если резервная копия учетных данных создана с ПК с включенным Credential Guard. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard. В противном случае восстановить эти учетные данные будет невозможно.

  • Включение Credential Guard без блокировки UEFI. Включить Credential Guard можно с помощью реестра. Это позволяет отключать Credential Guard удаленно. Однако рекомендуется включать Credential Guard с блокировкой UEFI. Это можно настроить с помощью групповой политики.

  • Делегирование учетных данных CredSSP/TsPkg. Если Credential Guard включен, пакет CredSSP/TsPkg не может делегировать учетные данные по умолчанию.

Узнайте, как развертывать Credential Guard и управлять им в вашей организации.

 

 

Показ: