Windows 10 đã giới thiệu một số tính năng bảo mật mới. Một tính năng bảo mật mới đã được thêm vào được gọi là Trình bảo vệ thông tin xác thực, giúp bảo vệ thông tin đăng nhập miền có nguồn gốc.
Bảo vệ thông tin trong Windows 10
Credential Guard là một trong những tính năng bảo mật chính có sẵn với Windows 10. Nó cho phép bảo vệ chống lại sự xâm nhập của các thông tin đăng nhập miền do đó ngăn chặn tin tặc xâm nhập vào các mạng doanh nghiệp. Cùng với các tính năng như Device Guard và Secure Boot, Windows 10 an toàn hơn bất kỳ hệ điều hành Windows nào trước đây.
Tính năng bảo vệ thông tin xác thực trong Windows 10 là gì
Như tên gọi của nó, tính năng này trong Windows 10 bảo vệ thông tin đăng nhập trong và trên các miền người dùng trong mạng. Trong khi các hệ điều hành trước đây của Microsoft được sử dụng để lưu trữ ID và mật khẩu cho các tài khoản người dùng trong RAM cục bộ, thì Credential Guard tạo ra một thùng chứa ảo và lưu trữ tất cả các bí mật tên miền trong vùng chứa ảo mà hệ điều hành không thể truy cập trực tiếp. Bạn không cần ảo hóa bên ngoài. Tính năng này sử dụng Hyper-V mà bạn có thể cấu hình trong ứng dụng Programs and Features trong Control Panel.
Khi tin tặc xâm phạm hệ điều hành Windows trước đó, họ có thể truy cập vào băm được sử dụng để mã hóa thông tin đăng nhập của người dùng, vì nó sẽ được lưu trữ trong RAM cục bộ mà không cần bảo vệ nhiều. Với Trình quản lý thông tin xác thực, thông tin đăng nhập được lưu trữ trong vùng chứa ảo để ngay cả khi tin tặc xâm phạm hệ thống, chúng không thể truy cập vào băm. Bằng cách đó, họ không thể xâm nhập vào máy tính trên mạng.
Tóm lại, tính năng Bảo vệ thông tin xác thực trong Windows 10 tăng tính bảo mật của thông tin đăng nhập miền và băm có liên quan để hacker trở nên gần như không thể truy cập vào bí mật và áp dụng nó cho các máy tính khác. Vì vậy, bất kỳ khả năng tấn công nào cũng chỉ dừng lại ở lối vào. Tôi sẽ không nói Credential Guard là không thể phá vỡ, nhưng nó chắc chắn làm tăng mức độ bảo mật để máy tính của bạn và mạng được an toàn.
Chống lại các Trình bảo vệ thông tin trong các phiên bản trước của Windows, một trong Windows 10 không cho phép một số giao thức có thể cho phép tin tặc truy cập vào vùng chứa ảo nơi lưu trữ thông tin đăng nhập băm. Tuy nhiên, tính năng này không khả dụng cho tất cả các máy tính.
Đọc: Remote Credential Guard bảo vệ thông tin đăng nhập Remote Desktop.
Credential Guard Yêu cầu hệ thống
Có một vài hạn chế - đặc biệt nếu bạn sử dụng máy tính xách tay ngân sách. Ngay cả Ultrabook không hỗ trợ Mô-đun nền tảng đáng tin cậy (TPM) không thể chạy Trình bảo vệ thông tin mặc dù sách chạy Windows 10 Enterprise.
Trình bảo vệ thông tin chỉ chạy trong phiên bản Enterprise của Windows 10. Nếu bạn đang sử dụng Pro hoặc Education, bạn sẽ không sử dụng tính năng này.
Máy của bạn nên hỗ trợ Khởi động an toàn và ảo hóa 64 bit. Điều đó khiến tất cả các máy tính 32 bit nằm ngoài phạm vi của tính năng này.
Điều này không ngụ ý rằng bạn phải nâng cấp tất cả các máy tính của bạn cùng một lúc. Bạn có thể sử dụng bất kỳ máy tính nào đáp ứng các yêu cầu sau khi tạo một miền phụ và đặt các máy tính không tương thích vào miền phụ. Khi bạn định cấu hình các miền trên bằng Trình quản lý thông tin xác thực và các máy tính không tương thích nằm trong miền phụ thấp hơn, bảo mật sẽ vẫn đủ tốt để ngăn chặn các nỗ lực xâm nhập thông tin xác thực.
Giới hạn của Credential Guard
Trong khi một số yêu cầu phần cứng tồn tại cho Credential Guard trong phiên bản Windows 10 Enterprise, không phải mọi thứ được cho là được bảo vệ bởi tính năng này. Bạn không nên mong đợi những điều sau đây từ Credential Guard:
- Bảo vệ tài khoản nội bộ và Microsoft
- Bảo vệ thông tin đăng nhập được quản lý bởi phần mềm của bên thứ ba
- Bảo vệ chống lại logger Key.
Credential Guard sẽ cung cấp sự bảo vệ chống lại các nỗ lực tấn công trực tiếp và phần mềm độc hại tìm kiếm thông tin xác thực. Nếu thông tin xác thực đã bị đánh cắp trước khi bạn có thể triển khai Trình bảo vệ thông tin xác thực, thông tin đó sẽ không ngăn các tin tặc sử dụng khóa băm trên các máy tính khác trong cùng một miền.
Để biết thêm thông tin và cho các tập lệnh quản lý tính năng Bảo vệ thông tin xác thực trong Windows 10, vui lòng truy cập TechNet.
Ngày mai chúng ta sẽ thấy cách bật Guard Credential bằng Group Policy.
