凭据保护 (Credential Guard) 是 Windows 10 中全新引入的安全特性,它主要采用虚拟化技术来隔离保护密钥,仅允许有特权的系统软件对密钥进行访问,以防止非法的凭据窃取,有助力保护派生的域凭据。
Windows 10中的凭据保护
凭据保护正如其名,主要用于保护 Windows 10 中的用户凭据。在 Windows 10 之前,操作系统所使用的密钥存储在 LSA (本地安全机构);而在 Windows 10 中,凭据保护特性会创建一个隔离的虚拟容器对凭据进行存储,连操作系统都不能直接进行访问。
当黑客入侵早期的 Windows 操作系统时,可以直接访问到由算法加密存储在本地内存中的用户凭据,操作系统本身没有太多的保护措施。而在开启凭据保护功能的 Windows 10 中,凭据会被存储到虚拟容器中,从 Windows 10 1511 开始,使用凭据管理器存储的凭据(包括域凭据)也可以置于凭据保护功能的保护下。这样即使系统遭到入侵,凭据也无法被轻易获取走。
总的来说,Windows 10 中的凭据保护功能可以有效保护各种用户凭据散列,这样就在很大程度上加强了操作系统的安全级别。
凭据保护系统要求
然而并非所有 Windows 10 都支持凭据保护功能,该功能对操作系统版本及硬件都有要求:
- 仅支持 Windows 10 企业版
- 支持 UEFI 2.3.1或更高版本及安全启动
- 支持 64 位虚拟化(Intel VT-x 或 AMD-V 和 二级地址转换)
- TPM 2.0 固件
启用凭据保护
1 按下 Windows + X – 在运行中执行 gpedit.msc 打开本地组策略。
2 浏览到计算机配置 – 管理模板 – 系统 – Device Guard,双击打开基于虚拟化的安全。
3 点击「已启用」开启凭据保护功能。
4 在「选择平台安全级别」框中,选择「安全启动」或「安全启动和 DMA 保护」。
启用之后大家可以在 msinfo32.exe 工具的「系统摘要」中查看凭据保护功能是否已经正常运行: