Что такое Credential Guard в Windows 10

Windows 10 представила несколько новых функций безопасности. Одна новая функция безопасности, которая была добавлена, называется Credential Guard, которая помогает защитить производные учетные данные домена.

Credential Guard в Windows 10

Credential Guard – это одна из основных функций безопасности, доступных в Windows 10. Она обеспечивает защиту от взлома учетных данных домена, предотвращая захват хакерами корпоративных сетей. Наряду с такими функциями, как Device Guard и Secure Boot, Windows 10 более безопасна, чем любая из предыдущих операционных систем Windows.

Что такое функция Credential Guard в Windows 10

Как видно из названия, эта функция в Windows 10 защищает учетные данные в пользовательских доменах сети и между ними. В то время как предыдущие операционные системы от Microsoft использовали для хранения идентификатора и пароля для учетных записей пользователей в локальной оперативной памяти, Credential Guard создает виртуальный контейнер и хранит все секреты домена в этом виртуальном контейнере, к которым операционная система не может получить прямой доступ. Вам не нужна внешняя виртуализация. Эта функция использует Hyper-V, который можно настроить в апплете «Программы и компоненты» на панели управления.

Когда хакеры взломали операционную систему Windows ранее, они могли получить доступ к хешу, используемому для шифрования учетных данных пользователя, так как он будет храниться в локальной оперативной памяти без особой защиты. С помощью Credential Manager учетные данные хранятся в виртуальном контейнере, поэтому даже если хакеры взломают систему, они не смогут получить доступ к хешу. Таким образом, они не могут проникнуть через компьютеры в сети.

Короче говоря, функция Credential Guard в Windows 10 повышает безопасность учетных данных домена и связанных хэшей , так что хакерам становится практически невозможно получить доступ к секрету и применить его к другим компьютерам. Таким образом, любая возможность атаки останавливается только при входе. Я не скажу, что Credential Guard не может быть взломан, но он наверняка повышает уровень безопасности, так что ваш компьютер и сеть в безопасности.

В отличие от учетных данных в предыдущих версиях Windows, в Windows 10 запрещены несколько протоколов, которые могут позволить хакерам достичь виртуального контейнера, в котором хранятся хэшированные учетные данные. Однако эта функция доступна не для всех компьютеров.

Читать . Remote Credential Guard защищает учетные данные Remote Desktop.

Системные требования к учетным данным

Есть несколько ограничений – особенно если вы находитесь на бюджетных ноутбуках. Даже ультрабуки, которые не поддерживают Trusted Platform Module (TPM) , не могут запускать Credential Guard, хотя книга работает под управлением Windows 10 Enterprise.

Credential Guard работает только в Enterprise Edition Windows 10. Если вы используете Pro или Education, вы не сможете использовать эту функцию.

Ваш компьютер должен поддерживать безопасную загрузку и 64-разрядную виртуализацию . Это оставляет все 32-битные компьютеры за рамками этой функции.

Это не означает, что вы должны обновить все свои компьютеры одновременно. Вы можете использовать любые компьютеры, которые отвечают требованиям, после создания поддомена и помещения в него несовместимых компьютеров. Когда вы настраиваете верхние домены с помощью Credential Guard и несовместимые компьютеры находятся в нижнем поддомене, безопасность все равно будет достаточно хорошей, чтобы помешать попыткам взлома учетных данных.

Пределы мандатной охраны

Хотя для Credential Guard в Windows 10 Enterprise edition существуют некоторые требования к оборудованию, эта функция должна защищать не все. Вы не должны ожидать следующего от Credential Guard:

1. Защита локальных и учетных записей Microsoft
2. Защита учетных данных, управляемых сторонним программным обеспечением
3. Защита от клавиатурных шпионов.

Credential Guard обеспечит защиту от попыток прямого взлома и поиска вредоносных программ. Если учетные данные уже украдены до того, как вы сможете внедрить Credential Guard, это не помешает хакерам использовать хеш-ключ на других компьютерах в этом же домене.

Для получения дополнительной информации и сценариев для управления функцией Credential Guard в Windows 10, пожалуйста, посетите TechNet.

Завтра мы увидим, как включить Credential Guard с помощью групповой политики.

Что такое Диспетчер учетных данных?

Диспетчер учетных данных, или Credential Manager — это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).

Например, мы хотим получить доступ к папке, находящейся на другом компьютере, и удаленный компьютер запрашивает наши учетные данные. Вводим логин, пароль и отмечаем галочкой пункт «Запомнить учетные данные». Или, при подключении к удаленному рабочему столу разрешаем сохранение учетных данных, чтобы не вводить их каждый раз.

Строго говоря, с веб-сайтами история отдельная. Диспетчер учетных данных отвечает далеко не за все данные, используемые для для доступа к интернет-ресурсам. Большинство этих данных обрабатываются и хранятся в самом веб-браузере Internet Explorer, в котором есть для этого специальная функция автозаполнения (AutoComplete).

Этот нюанс исправили в Windows 8, где в Диспетчере учетных данных есть отдельный раздел под названием «Учетные данные для Интернета». И если вы укажете сохранить, к примеру пароль от Яндекс-почты, то он будет сохранен именно здесь. Однако работает эта возможность только с Internet Explorer, остальные браузеры ей не пользуются и по прежнему хранят все данные у себя.

Все сохраненные таким образом учетные данные попадают в так называемое Хранилище Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле, хранилище — это просто более понятное название папки Credentials. Для доменных пользователей эта папка находится по адресу:

(в англ. версии C:\Users\Имя_пользователя\AppData\Roaming\Microsoft),

для локальных — C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft

(в англ. версии C:\Users\Имя_пользователя\AppData\Local\Microsoft).

Все файлы в этой папке, естественно, зашифрованы, и доступ к ним осуществляется как раз с помощью Диспетчера учетных данных.

Открыть его можно через Панель управления, или просто набрав в строке поиска Диспетчер учетных данных (Credentials Manager для англоязычной версии).

Все данные в Диспетчер учетных данных сгруппированы по трем категориям:
• Учетные данные Windows (Windows Credentials) — это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
• Учетные данные на основе сертификатов (Certificate-Based Credentials) — предназначены для аутентификации с помощью смарт-карт;
• Общие учетные данные (Generic Credentials) — используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.

Вы можете задать вопрос по статье специалисту.

Хранилище учетных данных Credential locker

В этой статье описано, как приложения универсальной платформы Windows (UWP) могут использовать хранилище учетных данных для безопасного хранения и получения учетных данных пользователя и их перемещения между устройствами с помощью учетной записи Майкрософт пользователя. This article describes how Universal Windows Platform (UWP) apps can use the Credential Locker to securely store and retrieve user credentials, and roam them between devices with the user’s Microsoft account.

Предположим, ваше приложение подключается к некоторой службе для получения доступа к защищенным ресурсам (например, файлам мультимедиа, социальным сетям и т. д.). For example, you have an app that connects to a service to access protected resources such as media files, or social networking. Эта служба запрашивает учетные данные пользователя. Your service requires login information for each user. Вы добавили в приложение элементы управления для ввода имени и пароля пользователя, которые затем используются для входа в службу. You’ve built UI into your app that gets the username and password for the user, which is then used to log the user into the service. С помощью API хранилища учетных данных вы сможете сохранить имя и пароль пользователя, а затем, при следующем запуске приложения, извлечь их, чтобы автоматически выполнить вход для пользователя независимо от устройства. Using the Credential Locker API, you can store the username and password for your user and easily retrieve them and log the user in automatically the next time they open your app, regardless of what device they’re on.

Срок действия пользовательских учетных данных, сохраненных в CredentialLocker, не истекает, на них не влияет ApplicationData.RoamingStorageQuota, и они не будут удалены из-за неактивности, как традиционные перемещаемые данные. User credentials stored in the CredentialLocker do not expire, are not affected by the ApplicationData.RoamingStorageQuota, and will not be cleared out due to inactivity like traditional roaming data. Однако в CredentialLocker можно сохранить не более 20 учетных данных на приложение. However, you can only store up to 20 credentials per app in the CredentialLocker.

Работа хранилища учетных данных немного отличается для учетных записей домена. Credential locker works a little differently for domain accounts. Если учетную запись Майкрософт, с которой связаны учетные данные пользователя, связать с учетной записью домена (которая, например, используется на работе), то учетные данные пользователя будут перемещены в эту учетную запись домена. If there are credentials stored with your Microsoft account, and you associate that account with a domain account (such as the account that you use at work), your credentials will roam to that domain account. Однако новые учетные данные, добавленные при входе с учетной записью домена, не будут перемещаться. However, any new credentials added when signed on with the domain account won’t roam. Это делается для того, чтобы частные учетные данные в домене не были доступны из-за пределов домена. This ensures that private credentials for the domain aren’t exposed outside of the domain.

Сохранение учетных данных пользователя Storing user credentials

1. Получите ссылку на хранилище учетных данных с помощью объекта PasswordVault из пространства имен Windows.Security.Credentials. Obtain a reference to the Credential Locker using the PasswordVault object from the Windows.Security.Credentials namespace.
2. Создайте объект PasswordCredential, содержащий идентификатор приложения, имя и пароль пользователя, и передайте этот объект в качестве входного параметра в метод PasswordVault.Add, после чего учетные данные будут добавлены в хранилище. Create a PasswordCredential object that contains an identifier for your app, the username and the password, and pass that to the PasswordVault.Add method to add the credential to the locker.

Получение учетных данных пользователя Retrieving user credentials

После получения ссылки на объект PasswordVault будет доступно несколько вариантов получения учетных данных пользователя из хранилища учетных данных. You have several options for retrieving user credentials from the Credential Locker after you have a reference to the PasswordVault object.

С помощью метода PasswordVault.RetrieveAll можно получить из хранилища все учетные данные, введенные пользователем в приложении. You can retrieve all the credentials the user has supplied for your app in the locker with the PasswordVault.RetrieveAll method.

Если известно имя пользователя сохраненных учетных данных, то с помощью метода PasswordVault.FindAllByUserName можно получить все учетные данные для этого имени пользователя. If you know the username for the stored credentials, you can retrieve all the credentials for that username with the PasswordVault.FindAllByUserName method.

Если известно имя ресурса из сохраненных учетных данных, то с помощью метода PasswordVault.FindAllByResource можно получить все учетные данные для этого имени ресурса. If you know the resource name for the stored credentials, you can retrieve all the credentials for that resource name with the PasswordVault.FindAllByResource method.

Наконец, если известны имя пользователя и имя ресурса для учетных данных, то эти учетные данные можно получить с помощью метода PasswordVault.Retrieve. Finally, if you know both the username and the resource name for a credential, you can retrieve just that credential with the PasswordVault.Retrieve method.

Рассмотрим следующий пример. Мы глобально сохранили имя ресурса в приложении и автоматически выполняем вход для пользователя, если находим его учетные данные. Let’s look at an example where we have stored the resource name globally in an app and we log the user on automatically if we find a credential for them. Если для одного пользователя находится несколько учетных данных, мы предлагаем ему выбрать учетные данные, которые по умолчанию будут использоваться для входа. If we find multiple credentials for the same user, we ask the user to select a default credential to use when logging on.

Удаление учетных данных пользователя Deleting user credentials

Удаление учетных данных пользователя из хранилища учетных данных также требует всего двух действий. Deleting user credentials in the Credential Locker is also a quick, two-step process.

Получите ссылку на хранилище учетных данных с помощью объекта PasswordVault из пространства имен Windows.Security.Credentials. Obtain a reference to the Credential Locker using the PasswordVault object from the Windows.Security.Credentials namespace.

Передайте учетные данные, которые следует удалить, в метод PasswordVault.Remove. Pass the credential you want to delete to the PasswordVault.Remove method.

Рекомендации Best practices

Хранилище учетных данных предназначено только для паролей. Его не следует использовать для больших двоичных объектов. Only use the credential locker for passwords and not for larger data blobs.

Сохраняйте пароли в хранилище учетных данных только в том случае, если: Save passwords in the credential locker only if the following criteria are met:

• пользователь успешно выполнил вход; The user has successfully signed in.
• пользователь дал согласие на сохранение паролей. The user has opted to save passwords.

Не храните учетные данные в виде обычного текста с помощью данных приложения или параметров перемещения. Never store credentials in plain-text using app data or roaming settings.