Рекомендации по использованию Credential Guard в Защитнике Windows Considerations when using Windows Defender Credential Guard

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

Пароли по-прежнему небезопасны, Passwords are still weak. поэтому мы рекомендуем организациям не только развертывать Credential Guard в Защитнике Windows, но и переходить от использования паролей к другим методам проверки подлинности, например физическим смарт-картам, виртуальным смарт-картам или Windows Hello для бизнеса. We recommend that in addition to deploying Windows Defender Credential Guard, organizations move away from passwords to other authentication methods, such as physical smart cards, virtual smart cards, or Windows Hello for Business.

Credential Guard в Защитнике Windows использует аппаратные функции безопасности, поэтому некоторые функции, например Windows To Go, не поддерживаются. Windows Defender Credential Guard uses hardware security, so some features such as Windows To Go, are not supported.

Рекомендации, связанные с Wi-Fi и VPN Wi-fi and VPN Considerations

Когда вы включаете Защитник Windows, вы больше не можете использовать классическую проверку подлинности NTLM для единого входа. When you enable Windows Defender Credential Guard, you can no longer use NTLM classic authentication for Single Sign-On. Вы будете вынуждены вводить учетные данные для использования этих протоколов и не сможете сохранить учетные данные для использования в будущем. You will be forced to enter your credentials to use these protocols and cannot save the credentials for future use. Если вы используете конечные точки Wi-Fi и VPN на основе MS-CHAPv2, то они подвержены атакам, схожим с атаками на NTLMv1. If you are using WiFi and VPN endpoints that are based on MS-CHAPv2, they are subject to similar attacks as for NTLMv1. Для подключений через Wi-Fi и VPN Майкрософт рекомендует организациям перейти с подключений на основе MSCHAPv2, таких как PEAP-MSCHAPv2 и EAP-MSCHAPv2, на проверку подлинности на основе сертификатов, такую как PEAP-TLS или EAP-TLS. For WiFi and VPN connections, Microsoft recommends that organizations move from MSCHAPv2-based connections such as PEAP-MSCHAPv2 and EAP-MSCHAPv2, to certificate-based authentication such as PEAP-TLS or EAP-TLS.

Рекомендации по использованию Kerberos Kerberos Considerations

После того как вы включите Credential Guard в Защитнике Windows, вы больше не сможете использовать неограниченное делегирование Kerberos или шифрование DES. When you enable Windows Defender Credential Guard, you can no longer use Kerberos unconstrained delegation or DES encryption. Благодаря неограниченному делегированию злоумышленники могут извлечь ключи Kerberos из изолированного процесса LSA. Unconstrained delegation could allow attackers to extract Kerberos keys from the isolated LSA process. Вместо этого следует использовать ограниченное делегирование Kerberos или делегирование Kerberos на основе ресурсов. Use constrained or resource-based Kerberos delegation instead.

Рекомендации по сторонним поставщикам поддержки безопасности 3rd Party Security Support Providers Considerations

Некоторые сторонние поставщики поддержки безопасности (SSP и AP) могут быть не совместимы с Credential Guard в Защитнике Windows, так как это средство не разрешает сторонним SSP запрашивать хэши паролей из LSA. Some 3rd party Security Support Providers (SSPs and APs) might not be compatible with Windows Defender Credential Guard because it does not allow third-party SSPs to ask for password hashes from LSA. При этом SSP и AP все равно получают уведомление о пароле, когда пользователь входит в систему или меняет пароль. However, SSPs and APs still get notified of the password when a user logs on and/or changes their password. Никакое использование недокументированных API с другими поставщиками общих служб и AP не поддерживается. Any use of undocumented APIs within custom SSPs and APs are not supported. Рекомендуется проверять взаимодействие пользовательских реализаций SPP и AP с Credential Guard в Защитнике Windows. We recommend that custom implementations of SSPs/APs are tested with Windows Defender Credential Guard. SSP и AP, зависящие от недокументированного или неподдерживаемого поведения, использовать не удастся. SSPs and APs that depend on any undocumented or unsupported behaviors fail. Например, не поддерживается использование API KerbQuerySupplementalCredentialsMessage. For example, using the KerbQuerySupplementalCredentialsMessage API is not supported. Замена SSP NTLM или Kerberos другими SSP и AP. Replacing the NTLM or Kerberos SSPs with custom SSPs and APs. Более подробную информацию см. в статье Ограничения на регистрацию и установку пакетов безопасности на веб-сайте MSDN. For more info, see Restrictions around Registering and Installing a Security Package on MSDN.

Вопросы обновления Upgrade Considerations

По мере увеличения масштабов защиты, осуществляемой Credential Guard в Защитнике Windows, последующие выпуски Windows10 с работающим Credential Guard в Защитнике Windows могут повлиять на сценарии, которые работали в прошлом. As the depth and breadth of protections provided by Windows Defender Credential Guard are increased, subsequent releases of Windows 10 with Windows Defender Credential Guard running may impact scenarios that were working in the past. Например, Credential Guard в Защитнике Windows может заблокировать использование определенного типа учетных данных или определенного компонента, чтобы не позволить вредоносному ПО воспользоваться уязвимостями. For example, Windows Defender Credential Guard may block the use of a particular type of credential or a particular component to prevent malware from taking advantage of vulnerabilities. Следует проверять сценарии, необходимые для работы организации, перед обновлением устройств, на которых используется Credential Guard в Защитнике Windows. Test scenarios required for operations in an organization before upgrading a device using Windows Defender Credential Guard.

Защита сохраненных учетных данных Windows Saved Windows Credentials Protected

Начиная с Windows 10 версии 1511, учетные данные домена, которые хранятся в диспетчере учетных данных, защищены с помощью Credential Guard в Защитнике Windows. Starting with Windows 10, version 1511, domain credentials that are stored with Credential Manager are protected with Windows Defender Credential Guard. Диспетчер учетных данных может хранить три типа учетных данных: учетные данные Windows, учетные данные на основе сертификатов и универсальные учетные данные. Credential Manager allows you to store three types of credentials: Windows credentials, certificate-based credentials, and generic credentials. Универсальные учетные данные, такие как имена пользователей и пароли, используемые для входа на веб-сайтах, не защищены, так как приложениям требуется пароль в виде открытого текста. Generic credentials such as user names and passwords that you use to log on to websites are not protected since the applications require your cleartext password. Если приложению не нужна копия пароля, оно может сохранять учетные данные как защищенные учетные данные Windows. If the application does not need a copy of the password, they can save domain credentials as Windows credentials that are protected. Учетные данные Windows используются для подключения к другим компьютерам в сети. Windows credentials are used to connect to other computers on a network. В отношении данных, хранящихся в диспетчере учетных данных и защищенных с помощью Credential Guard в Защитнике Windows, действуют следующие ограничения: The following considerations apply to the Windows Defender Credential Guard protections for Credential Manager:

• Учетные данные Windows, сохраненные клиентом удаленного рабочего стола, нельзя отправить на удаленный узел. Windows credentials saved by Remote Desktop Client cannot be sent to a remote host. Вам не удастся использовать сохраненные учетные данные Windows, при этом будет отображаться сообщение «Попытка входа в систему неудачна». Attempts to use saved Windows credentials fail, displaying the error message «Logon attempt failed.»
• Приложения, извлекающие учетные данные Windows, использовать не удастся. Applications that extract Windows credentials fail.
• Учетные данные невозможно восстановить при их резервном копировании с компьютера, на котором включена функция Credential Guard в Защитнике Windows. When credentials are backed up from a PC that has Windows Defender Credential Guard enabled, the Windows credentials cannot be restored. Если необходимо создать резервную копию учетных данных, это нужно сделать до включения Credential Guard в Защитнике Windows. If you need to back up your credentials, you must do this before you enable Windows Defender Credential Guard. В противном случае восстановить эти учетные данные будет невозможно. Otherwise, you cannot restore those credentials.

Вопросы, связанные с очисткой доверенного платформенного модуля Clearing TPM Considerations

Функция обеспечения безопасности на основе виртуализации использует доверенный платформенный модуль для защиты своего ключа. Virtualization-based Security (VBS) uses the TPM to protect its key. Поэтому при очистке доверенного платформенного модуля защищенный им ключ, который используется для шифрования секретов VBS, теряется. So when the TPM is cleared then the TPM protected key used to encrypt VBS secrets is lost.

Очистка доверенного платформенного модуля приводит к потере защищенных данных всех функций, использующих VBS для защиты данных. Clearing the TPM results in loss of protected data for all features that use VBS to protect data.
При очистке доверенного платформенного модуля ВСЕ функции, использующие VBS для защиты данных, теряют возможность расшифровки своих защищенных данных. When a TPM is cleared ALL features, which use VBS to protect data can no longer decrypt their protected data.

В результате, Credential Guard больше не может расшифровывать защищенные данные. As a result Credential Guard can no longer decrypt protected data. VBS создает новый ключ, защищенный доверенным платформенным модулем, для Credential Guard. VBS creates a new TPM protected key for Credential Guard. Credential Guard использует новый ключ для защиты новых данных. Credential Guard uses the new key to protect new data. Однако ранее защищенные данные теряются безвозвратно. However, the previously protected data is lost forever.

Credential Guard получает ключ во время инициализации, Credential Guard obtains the key during initialization. поэтому утеряны будут только постоянные данные после следующего запуска системы. So the data loss will only impact persistent data and occur after the next system startup.

Учетные данные Windows, сохраненные в диспетчере учетных данных Windows credentials saved to Credential Manager

Поскольку диспетчер учетных данных не может расшифровать сохраненные учетные данные Windows, они удаляются. Since Credential Manager cannot decrypt saved Windows Credentials, they are deleted. Приложения будут запрашивать ранее сохраненные учетные данные. Applications should prompt for credentials that were previously saved. При очередном сохранении учетные данные Windows защищаются Credential Guard. If saved again, then Windows credentials are protected Credential Guard.

Автоматически подготовленный открытый ключ устройства, присоединенного к домену Domain-joined device’s automatically provisioned public key

Начиная с Windows 10 и Windows Server 2016, устройства, присоединенные к домену, автоматически подготавливают привязанный открытый ключ. Дополнительные сведения об автоматической подготовке открытых ключей см. в разделе Проверка подлинности открытого ключа устройства, присоединенного к домену. Beginning with Windows 10 and Windows Server 2016, domain-devices automatically provision a bound public key, for more information about automatic public key provisioning, see Domain-joined Device Public Key Authentication.

Поскольку Credential Guard не может расшифровать защищенный закрытый ключ, Windows проверяет подлинность домена с помощью пароля компьютера, присоединенного к домену. Since Credential Guard cannot decrypt the protected private key, Windows uses the domain-joined computer’s password for authentication to the domain. При отсутствии дополнительно развернутых политик все функции должны остаться доступными. Unless additional policies are deployed, there should not be a loss of functionality. Если устройство настроено для использования только открытого ключа, оно не может пройти проверку подлинности с помощью пароля, пока соответствующая политика не будет отключена. If a device is configured to only use public key, then it cannot authenticate with password until that policy is disabled. Дополнительные сведения о настройке устройств для использования только открытого ключа см. в разделе Проверка подлинности открытого ключа устройства, присоединенного к домену. For more information on Configuring devices to only use public key, see Domain-joined Device Public Key Authentication.

Кроме того, если для каких-либо проверок управления доступом, включая политики проверки подлинности, необходимо, чтобы устройства имели известные идентификаторы безопасности KEY TRUST IDENTITY (S-1-18-4) или FRESH PUBLIC KEY IDENTITY (S-1-18-3), эти проверки доступа завершатся ошибкой. Also if any access control checks including authentication policies require devices to have either the KEY TRUST IDENTITY (S-1-18-4) or FRESH PUBLIC KEY IDENTITY (S-1-18-3) well-known SIDs, then those access checks fail. Дополнительные сведения о политиках проверки подлинности см. в разделе Политики проверки подлинности и приемники команд политик проверки подлинности. For more information about authentication policies, see Authentication Policies and Authentication Policy Silos. Дополнительные сведения об известных идентификаторах безопасности см. в разделе 2.4.2.4 [MS-DTYP] «Структуры известных идентификаторов безопасности». For more information about well-known SIDs, see [MS-DTYP] Section 2.4.2.4 Well-known SID Structures.

Неисправность DPAPI на устройствах, присоединенных к домену Breaking DPAPI on domain-joined devices

На устройствах, присоединенных к домену, DPAPI может восстановить ключи пользователей с помощью контроллера домена пользователя. On domain-joined devices, DPAPI can recover user keys using a domain controller from the user’s domain. Если устройство, присоединенное к домену, не подключено к контроллеру домена, восстановление невозможно. If a domain-joined device has no connectivity to a domain controller, then recovery is not possible.

При очистке доверенного платформенного модуля на устройстве, присоединенном к домену, рекомендуется обеспечить сетевое подключение к контроллерам домена. Best practice when clearing a TPM on a domain-joined device is to be on a network with connectivity to domain controllers. Это необходимо, чтобы интерфейс DPAPI работал исправно, а пользователь не сталкивался с ошибками в поведении. This ensures DPAPI functions and the user does not experience strange behavior.
Автоматическая конфигурация VPN защищена с использованием DPAPI пользователя. Auto VPN configuration is protected with user DPAPI. Пользователь может потерпеть неудачу при попытке подключения к контроллерам домена с помощью VPN, так как конфигурации VPN утеряны. User may not be able to use VPN to connect to domain controllers since the VPN configurations are lost.

При очистке доверенного платформенного модуля на устройстве, присоединенном к домену, без подключения к контроллерам домена необходимо учесть следующее. If you must clear the TPM on a domain-joined device without connectivity to domain controllers, then you should consider the following.

Вход пользователя домена на устройстве, присоединенном к домену, после очистки доверенного платформенного модуля при условии отсутствия подключения к контроллеру домена: Domain user sign-in on a domain-joined device after clearing a TPM for as long as there is no connectivity to a domain controller:

После подключения устройства к контроллерам домена DPAPI восстанавливает ключ пользователя, а данные, находившиеся под защитой до очистки доверенного платформенного модуля, можно расшифровать. Once the device has connectivity to the domain controllers, DPAPI recovers the user’s key and data protected prior to clearing the TPM can be decrypted.

Влияние сбоев DPAPI на Windows Information Protection Impact of DPAPI failures on Windows Information Protection

Если данные, защищенные DPAPI пользователя, непригодны для использования, пользователь теряет доступ ко всем рабочим данным, находящимся под защитой Windows Information Protection. When data protected with user DPAPI is unusable, then the user loses access to all work data protected by Windows Information Protection. Последствия: Outlook 2016 не запускается, а защищенные рабочие документы невозможно открыть. The impact includes: Outlook 2016 is unable to start and work protected documents cannot be opened. Если DPAPI работает, новые созданные рабочие данные защищены и доступны. If DPAPI is working, then newly created work data is protected and can be accessed.

Решение. Для решения проблемы пользователи могут подключить устройство к домену и перезагрузить его или воспользоваться сертификатом агента восстановления данных шифрованной файловой системы. Workaround: Users can resolve the problem by connecting their device to the domain and rebooting or using their Encrypting File System Data Recovery Agent certificate. Дополнительные сведения о сертификате агента восстановления данных шифрованной файловой системы см. в разделе Создание и проверка сертификата агента восстановления данных (DRA) шифрованной файловой системы (EFS). For more information about Encrypting File System Data Recovery Agent certificate, see Create and verify an Encrypting File System (EFS) Data Recovery Agent (DRA) certificate.

См. также: See also

Связанные видео Related videos