Что такое Credential Guard в Windows 10

Windows 10 представила несколько новых функций безопасности. Одна новая функция безопасности, которая была добавлена, называется Credential Guard, которая помогает защитить производные учетные данные домена.

Credential Guard в Windows 10

Credential Guard – это одна из основных функций безопасности, доступных в Windows 10. Она обеспечивает защиту от взлома учетных данных домена, предотвращая захват хакерами корпоративных сетей. Наряду с такими функциями, как Device Guard и Secure Boot, Windows 10 более безопасна, чем любая из предыдущих операционных систем Windows.

Что такое функция Credential Guard в Windows 10

Как видно из названия, эта функция в Windows 10 защищает учетные данные в пользовательских доменах сети и между ними. В то время как предыдущие операционные системы от Microsoft использовали для хранения идентификатора и пароля для учетных записей пользователей в локальной оперативной памяти, Credential Guard создает виртуальный контейнер и хранит все секреты домена в этом виртуальном контейнере, к которым операционная система не может получить прямой доступ. Вам не нужна внешняя виртуализация. Эта функция использует Hyper-V, который можно настроить в апплете «Программы и компоненты» на панели управления.

Когда хакеры взломали операционную систему Windows ранее, они могли получить доступ к хешу, используемому для шифрования учетных данных пользователя, так как он будет храниться в локальной оперативной памяти без особой защиты. С помощью Credential Manager учетные данные хранятся в виртуальном контейнере, поэтому даже если хакеры взломают систему, они не смогут получить доступ к хешу. Таким образом, они не могут проникнуть через компьютеры в сети.

Короче говоря, функция Credential Guard в Windows 10 повышает безопасность учетных данных домена и связанных хэшей , так что хакерам становится практически невозможно получить доступ к секрету и применить его к другим компьютерам. Таким образом, любая возможность атаки останавливается только при входе. Я не скажу, что Credential Guard не может быть взломан, но он наверняка повышает уровень безопасности, так что ваш компьютер и сеть в безопасности.

В отличие от учетных данных в предыдущих версиях Windows, в Windows 10 запрещены несколько протоколов, которые могут позволить хакерам достичь виртуального контейнера, в котором хранятся хэшированные учетные данные. Однако эта функция доступна не для всех компьютеров.

Читать . Remote Credential Guard защищает учетные данные Remote Desktop.

Системные требования к учетным данным

Есть несколько ограничений – особенно если вы находитесь на бюджетных ноутбуках. Даже ультрабуки, которые не поддерживают Trusted Platform Module (TPM) , не могут запускать Credential Guard, хотя книга работает под управлением Windows 10 Enterprise.

Credential Guard работает только в Enterprise Edition Windows 10. Если вы используете Pro или Education, вы не сможете использовать эту функцию.

Ваш компьютер должен поддерживать безопасную загрузку и 64-разрядную виртуализацию . Это оставляет все 32-битные компьютеры за рамками этой функции.

Это не означает, что вы должны обновить все свои компьютеры одновременно. Вы можете использовать любые компьютеры, которые отвечают требованиям, после создания поддомена и помещения в него несовместимых компьютеров. Когда вы настраиваете верхние домены с помощью Credential Guard и несовместимые компьютеры находятся в нижнем поддомене, безопасность все равно будет достаточно хорошей, чтобы помешать попыткам взлома учетных данных.

Пределы мандатной охраны

Хотя для Credential Guard в Windows 10 Enterprise edition существуют некоторые требования к оборудованию, эта функция должна защищать не все. Вы не должны ожидать следующего от Credential Guard:

1. Защита локальных и учетных записей Microsoft
2. Защита учетных данных, управляемых сторонним программным обеспечением
3. Защита от клавиатурных шпионов.

Credential Guard обеспечит защиту от попыток прямого взлома и поиска вредоносных программ. Если учетные данные уже украдены до того, как вы сможете внедрить Credential Guard, это не помешает хакерам использовать хеш-ключ на других компьютерах в этом же домене.

Для получения дополнительной информации и сценариев для управления функцией Credential Guard в Windows 10, пожалуйста, посетите TechNet.

Завтра мы увидим, как включить Credential Guard с помощью групповой политики.

Диспетчер учетных данных в Windows 7. (Credential Manager)

Диспетчер учетных данных (Credential Manager) — предназначен для хранения и управления учетных данных пользователей. Данный механизм позволяет автоматически выполнять вход на компьютер, сайт, почту и тд. Данные хранятся в так называемых хранилищах Windows локальная папка на компьютере в зашифрованном виде.

Например, вы подключаетесь к принтеру по локальной сети к другому компьютеру, выставляя галочку «запомнить учетные данные»:

или подключимся «удаленным рабочим столом», опять же в настройках выставляя галочку «запомнить учетные данные»:

При выставлении опции «запомнить учетные данные», мы вносим значения в хранилище windows. Как уже упоминалось выше, хранилище это папка «Credentials», расположенная по пути: «C:\Users\имя_пользователя\AppData\Local\Microsoft\», все файлы в ней зашифрованы и доступ к ней осуществляется как раз «диспетчером учетных данных (Credential Manager).

Чтобы запустить «Диспетчер учетных данных (Credential Manager)» необходимо перейти в «панель управления»:В диспетчере имеются три группы:

Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
Учетные данные на основе сертификатов (Certificate-Based Credentials) — предназначены для аутентификации с помощью смарт-карт;
Общие учетные данные (Generic Credentials) — используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему.

Развернув одну из учетных записей можно её редактировать.
Также можно заводить новые учетные записи в самом диспетчере. И при новом подключении их не потребуется вводить.

В Диспетчере учетных данных (Credential Manager), есть возможность архивирования хранилища и его восстановление, например для переноса на другой компьютер или повреждения хранилища.

Для запуска мастера архивирования нажмем соответствующую ссылку:

Указываем где будем сохранять архив:

Идем далее по мастеру, мастер потребует введения пароля к архиву, в безопасном режиме с нажатием блокировки, нужно будет нажать сочетание клавиш:

Восстановление проходит в обратном порядке. Сохранять архив рекомендуется на отдельный носитель или локальный диск (не системный).

Диспетчер учетных данных — это место, где Windows хранит пароли и данные для входа. вот как это использовать! — Безопасность — 2021

Table of Contents:

Знаете ли вы, где Windows хранит пароли и данные для входа, которые вы сохраняете при использовании этой операционной системы? Например, вы получаете доступ к общему сетевому ресурсу и вводите имя пользователя и пароль, чтобы получить к нему доступ. Когда вы делаете это, Windows сохраняет эти данные для последующего использования. Это происходит в скрытом настольном приложении с именем Credential Manager . Вот как найти это приложение, как узнать, какие учетные данные хранятся в Windows и как ими управлять:

Что такое диспетчер учетных данных?

Диспетчер учетных данных — это «цифровой шкафчик», в котором Windows хранит учетные данные для входа в систему, такие как имена пользователей, пароли и адреса. Эта информация может быть сохранена Windows для использования на вашем локальном компьютере, на других компьютерах в той же сети, на серверах или в интернет-расположениях, таких как веб-сайты. Эти данные могут использоваться самой Windows или приложениями и программами, такими как File Explorer, Microsoft Office, Skype, программное обеспечение для виртуализации и так далее. Полномочия делятся на несколько категорий:

• Учетные данные Windows — используются только Windows и ее службами. Например, Windows может использовать эти учетные данные для автоматического входа в общие папки другого компьютера в сети. Он также может хранить пароль домашней группы, к которой вы присоединились, и использовать его автоматически каждый раз, когда вы получаете доступ к общедоступной группе. Если вы введете неправильные учетные данные для входа, Windows запомнит их и не сможет получить доступ к тому, что вам нужно. В этом случае вы можете отредактировать или удалить неправильные учетные данные, как показано в последующих разделах этой статьи.
• Учетные данные на основе сертификатов — они используются вместе со смарт-картами, в основном в сложных бизнес-сетевых средах. Большинству людей никогда не потребуется использовать такие учетные данные, и этот раздел пуст на их компьютерах. Однако, если вы хотите узнать о них больше, прочитайте эту статью от Microsoft: Руководство по включению входа в систему с помощью смарт-карт в сторонних центрах сертификации.
• Общие учетные данные — определяются и используются некоторыми приложениями, которые вы устанавливаете в Windows, так что они получают разрешение на использование определенных ресурсов. Примеры таких приложений включают OneDrive, Slack, Xbox Live и т. Д.
• Веб-учетные данные — они представляют информацию для входа на веб-сайты, которая хранится в Windows, Skype, Internet Explorer или других приложениях Microsoft. Они существуют только в Windows 10 и Windows 8.1, но не в Windows 7.

В Windows 10 и Windows 8.1 учетные данные на основе сертификатов и общие учетные данные группируются в разделе учетных данных Windows .

Эти учетные данные автоматически сохраняются и управляются Windows и приложениями, которые вы используете. Диспетчер учетных данных получает уведомления об изменении данных аутентификации и автоматически обновляет их, сохраняя последнюю действительную информацию. Если вы не хотите знать, какие учетные данные хранятся на вашем компьютере, или вам нужно удалить или отредактировать неверный, вам не нужно использовать диспетчер учетных данных .

Как открыть диспетчер учетных данных в Windows

Метод, который работает одинаково во всех версиях Windows. Сначала откройте панель управления, а затем перейдите к « Учетные записи пользователей (и семейная безопасность) -> Диспетчер учетных данных».

Другой способ открыть Диспетчер учетных данных — использовать поиск. Если вы используете Windows 10, используйте окно поиска на панели задач и введите «учетные данные». Затем нажмите или коснитесь соответствующего результата поиска.

В Windows 7 откройте меню «Пуск» и введите «учетные данные » в поле поиска. Нажмите, щелкните Диспетчер учетных данных .

Если вы используете Windows 8.1, перейдите на начальный экран и найдите слово «учетные данные». В списке результатов поиска нажмите или коснитесь Диспетчер учетных данных .

Далее посмотрим, как работать с диспетчером учетных данных .

Как перемещаться по сохраненным учетным данным Windows

Диспетчер учетных данных выглядит немного по-разному в разных версиях Windows. Например, в Windows 7 вы можете видеть, что у вас есть только хранилище Windows со всеми типами учетных данных в одном списке, который вы можете прокрутить вниз.

В Windows 10 и Windows 8.1 у вас есть два хранилища вместо одного: веб-учетные данные и учетные данные Windows (которые включают в себя учетные данные на основе сертификатов, общие учетные данные и учетные данные Windows). Нажмите или нажмите на хранилище, которое вы хотите открыть, и прокрутите вниз список учетных данных, которые хранятся в Windows.

Как добавить учетные данные в Windows

Вы можете добавить учетные данные для автоматического использования Windows при необходимости. Например, вы можете добавить учетную запись и пароль для доступа к сетевому компьютеру и тому, чем этот компьютер делится с сетью. В категории учетных данных, которые вы хотите добавить, щелкните или нажмите ссылку «Добавить учетные данные». Например, если вы хотите добавить учетные данные Windows, нажмите или нажмите «Добавить учетные данные Windows».

Затем вас попросят ввести необходимые данные для входа. Сначала введите IP-адрес или имя сетевого компьютера. Затем введите имя пользователя, которое вы хотите использовать. Не забудьте ввести имя компьютера перед именем пользователя, как показано на скриншоте ниже. Затем введите пароль и нажмите ОК.

Теперь учетные данные сохраняются и используются автоматически при каждом доступе к этому сетевому компьютеру.

ПРИМЕЧАНИЕ. Важно помнить, что вы не можете вручную добавлять веб-учетные данные в диспетчере учетных данных . Они автоматически добавляются веб-приложениями, такими как Internet Explorer или Skype .

Как удалить учетные данные из Windows

Чтобы удалить учетные данные, сначала найдите их и раскройте, щелкнув по их имени или по стрелке справа. Затем нажмите или нажмите « Удалить» или « Удалить из хранилища» (в зависимости от названия параметра в вашей версии Windows).

Вас попросят подтвердить процесс удаления. Нажмите или нажмите Да .

Учетные данные были удалены и больше не могут использоваться Windows или приложением, которое использовало его.

Как редактировать существующие учетные данные

Чтобы отредактировать данные существующего удостоверения, сначала найдите его и раскройте, щелкнув его имя или стрелку справа от его имени. Затем нажмите « Изменить» .

Теперь вы можете изменить его детали. Не забудьте нажать Сохранить, чтобы сохранить ваши изменения.

ВАЖНО! Мы не рекомендуем изменять учетные данные с помощью зашифрованных паролей или учетных данных, которые используются специализированными приложениями, такими как программное обеспечение для виртуализации. Вам следует обновлять учетные данные в этих приложениях, а не в диспетчере учетных данных . Вы рискуете, что эти приложения больше не будут работать правильно, и вам, возможно, придется переустановить их и перенастроить с нуля.

Как сделать резервную копию учетных данных

Более осведомленные пользователи, которые уже знают о диспетчере учетных данных, могут захотеть узнать, как сделать резервную копию своих учетных данных и перенести их на другой компьютер или устройство Windows, когда это необходимо. Этот урок может быть им полезен: Как сделать резервную копию и восстановить пароли Windows Vault.

Заключение

Диспетчер учетных данных играет важную роль в вашей работе с компьютером. Знание того, как найти его и работать с ним, может быть важно, когда вы не можете войти в различные сети и веб-сайты из-за неправильных данных, которые хранятся и используются. Однако не всем следует возиться с этим, и при внесении изменений в диспетчер учетных данных рекомендуется проявлять осторожность.

Как сохранить и посмотреть сохраненные пароли в браузере Chrome, Яндекс, FireFox, Opera, Edge 🔐🌐💻 (Апрель 2021).