Ενεργοποιήστε ή απενεργοποιήστε το Credential Guard στα Windows 10

Ενεργοποίηση ή απενεργοποίηση του Credential Guard στα Windows 10:  (Enable or Disable Credential Guard in Windows 10: )Το Credential Guard(Windows Credential Guard) των Windows χρησιμοποιεί ασφάλεια που βασίζεται σε εικονικοποίηση για την απομόνωση μυστικών, έτσι ώστε μόνο το προνομιακό λογισμικό συστήματος να έχει πρόσβαση σε αυτά. Η μη εξουσιοδοτημένη πρόσβαση σε αυτά τα μυστικά μπορεί να οδηγήσει σε επιθέσεις κλοπής διαπιστευτηρίων, όπως Pass-the-Hash ή Pass-The-Ticket . Το Windows Credential Guard(Windows Credential Guard) αποτρέπει αυτές τις επιθέσεις προστατεύοντας τους κατακερματισμούς κωδικών πρόσβασης NTLM , τα εισιτήρια χορήγησης εισιτηρίων Kerberos(Kerberos Ticket Granting Tickets) και τα διαπιστευτήρια που αποθηκεύονται από εφαρμογές ως διαπιστευτήρια τομέα.

Ενεργοποιήστε ή απενεργοποιήστε το Credential Guard στα Windows 10

Με την ενεργοποίηση του Windows Credential Guard παρέχονται οι ακόλουθες δυνατότητες και λύσεις:(By enabling Windows Credential Guard the following features and solutions are provided:)

Ασφάλεια υλικού Ασφάλεια (Hardware security)
βασισμένη σε εικονικοποίηση (Virtualization-based security)
Καλύτερη προστασία από προηγμένες επίμονες απειλές(Better protection against advanced persistent threats)

Τώρα ξέρετε τη σημασία του Credential Guard , θα πρέπει οπωσδήποτε να το ενεργοποιήσετε για το σύστημά σας. Επομένως, χωρίς να χάνουμε χρόνο, ας δούμε πώς να ενεργοποιήσετε ή να απενεργοποιήσετε το Credential Guard(Disable Credential Guard) στα Windows 10 με τη βοήθεια του παρακάτω οδηγού.

Ενεργοποιήστε ή απενεργοποιήστε το Credential Guard στα Windows 10

Φροντίστε να  δημιουργήσετε ένα σημείο επαναφοράς(create a restore point)  σε περίπτωση που κάτι πάει στραβά.

Μέθοδος 1: Ενεργοποιήστε ή απενεργοποιήστε το Credential Guard στα Windows 10 χρησιμοποιώντας το πρόγραμμα επεξεργασίας πολιτικής ομάδας(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)

Σημείωση:(Note:) Αυτή η μέθοδος λειτουργεί μόνο εάν διαθέτετε Windows Pro , Education ή Enterprise Edtion . Για την αρχική(Windows Home) έκδοση των Windows, οι χρήστες παραλείπουν αυτήν τη μέθοδο και ακολουθούν την επόμενη.

1. Πατήστε Windows Key + R και, στη συνέχεια, πληκτρολογήστε regedit και πατήστε Enter για να ανοίξετε το Group Policy Editor.

Εκτελέστε την εντολή regedit

2. Πλοηγηθείτε στην ακόλουθη διαδρομή:

Computer Configuration > Administrative Templates > System > Device Guard

3. Βεβαιωθείτε ότι έχετε επιλέξει το Device Guard παρά στο δεξιό παράθυρο του παραθύρου, κάντε διπλό κλικ στην πολιτική "Ενεργοποίηση ασφάλειας βάσει εικονικοποίησης"(“Turn On Virtualization Based Security”) .

Κάντε διπλό κλικ στην επιλογή Ενεργοποίηση πολιτικής ασφαλείας που βασίζεται σε εικονικοποίηση

4.Στο παράθυρο Ιδιότητες(Properties) της παραπάνω πολιτικής βεβαιωθείτε ότι έχετε επιλέξει Ενεργοποιημένο.(Enabled.)

Ορίστε το Turn On Virtualization Based Security σε Enabled

5.Τώρα από το αναπτυσσόμενο μενού « Επιλογή επιπέδου ασφάλειας πλατφόρμας(Select Platform Security Level) » επιλέξτε Ασφαλής εκκίνηση ή Ασφαλής εκκίνηση και( Secure Boot or Secure Boot and DMA) Προστασία DMA.

Από το αναπτυσσόμενο μενού Επιλογή επιπέδου ασφαλείας πλατφόρμας, επιλέξτε Ασφαλής εκκίνηση ή Ασφαλής εκκίνηση και Προστασία DMA

6. Στη συνέχεια, από το αναπτυσσόμενο μενού « Διαμόρφωση φρουρού διαπιστευτηρίων(Credential Guard Configuration) » επιλέξτε Ενεργοποιημένο με κλείδωμα UEFI(Enabled with UEFI lock) . Εάν θέλετε να απενεργοποιήσετε το Credential Guard από απόσταση, επιλέξτε Ενεργοποιημένο χωρίς κλείδωμα αντί για Ενεργοποίηση με κλείδωμα UEFI .

7.Μόλις τελειώσετε, κάντε κλικ στο Apply και στη συνέχεια στο OK.

8.Επανεκκινήστε τον υπολογιστή σας για να αποθηκεύσετε τις αλλαγές.

Μέθοδος 2: Ενεργοποίηση ή απενεργοποίηση Credential Guard στα Windows 10 χρησιμοποιώντας τον Επεξεργαστή Μητρώου(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)

Το Credential Guard χρησιμοποιεί λειτουργίες ασφαλείας που βασίζονται σε εικονικοποίηση, οι οποίες πρέπει να ενεργοποιηθούν πρώτα από τη λειτουργία των Windows για να μπορέσετε να ενεργοποιήσετε ή να απενεργοποιήσετε το Credential Guard στον Επεξεργαστή Μητρώου(Registry Editor) . Βεβαιωθείτε(Make) ότι χρησιμοποιείτε μόνο μία από τις παρακάτω μεθόδους για να ενεργοποιήσετε τις λειτουργίες ασφαλείας που βασίζονται σε εικονικοποίηση.

Προσθέστε τις λειτουργίες ασφαλείας που βασίζονται σε εικονικοποίηση χρησιμοποιώντας Προγράμματα και δυνατότητες(Add the virtualization-based security features by using Programs and Features)

1. Πατήστε Windows Key + R και, στη συνέχεια, πληκτρολογήστε appwiz.cpl και πατήστε Enter για να ανοίξετε το Program and Features.(Program and Features.)

πληκτρολογήστε appwiz.cpl και πατήστε Enter για να ανοίξετε Προγράμματα και δυνατότητες

2. Από το αριστερό παράθυρο κάντε κλικ στο « Ενεργοποίηση ή απενεργοποίηση των δυνατοτήτων των Windows(Turn Windows Features on or off) ».

ενεργοποιήστε ή απενεργοποιήστε τις λειτουργίες των Windows

3. Βρείτε και αναπτύξτε το Hyper-V(Hyper-V) και, στη συνέχεια, αναπτύξτε παρόμοια πλατφόρμα Hyper-V(Hyper-V Platform) .

4. Κάτω από το σημάδι(checkmark) ελέγχου Hyper-V Platform " Hyper-V Hypervisor ".

Κάτω από το σημάδι επιλογής Hyper-V Platform Hyper-V Hypervisor

5.Τώρα μετακινηθείτε προς τα κάτω και επιλέξτε "Isolated User Mode"(checkmark “Isolated User Mode”) και κάντε κλικ στο OK.

Προσθέστε τις λειτουργίες ασφαλείας που βασίζονται σε εικονικοποίηση σε μια εικόνα εκτός σύνδεσης χρησιμοποιώντας το DISM(Add the virtualization-based security features to an offline image by using DISM)

1.Πατήστε Windows Key + X και μετά επιλέξτε Command Prompt (Admin).

γραμμή εντολών με δικαιώματα διαχειριστή

2. Πληκτρολογήστε την ακόλουθη εντολή στο cmd για να προσθέσετε το Hyper-V Hypervisor και πατήστε Enter :

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

Προσθέστε τις λειτουργίες ασφαλείας που βασίζονται σε εικονικοποίηση σε μια εικόνα εκτός σύνδεσης χρησιμοποιώντας το DISM

3.Προσθέστε τη δυνατότητα απομονωμένης λειτουργίας χρήστη(Isolated User Mode) εκτελώντας την ακόλουθη εντολή:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

Προσθέστε τη δυνατότητα απομονωμένης λειτουργίας χρήστη

4.Μόλις τελειώσετε, μπορείτε να κλείσετε τη γραμμή εντολών.

Ενεργοποιήστε ή απενεργοποιήστε το Credential Guard στα Windows 10(Enable or Disable Credential Guard in Windows 10)

1.Πατήστε Windows Key + R, πληκτρολογήστε regedit και πατήστε Enter για να ανοίξετε τον Επεξεργαστή Μητρώου.(Registry Editor.)

Εκτελέστε την εντολή regedit

2. Πλοηγηθείτε στο ακόλουθο κλειδί μητρώου:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. Κάντε δεξί κλικ στο DeviceGuard και, στη συνέχεια, επιλέξτε New > DWORD (32-bit) Value.

Κάντε δεξί κλικ στο DeviceGuard και, στη συνέχεια, επιλέξτε Νέα τιμή DWORD (32-bit).

4.Ονομάστε αυτό το DWORD που δημιουργήθηκε πρόσφατα ως EnableVirtualizationBasedSecurity και πατήστε Enter.

Ονομάστε αυτό το DWORD που δημιουργήθηκε πρόσφατα ως EnableVirtualizationBasedSecurity και πατήστε Enter

5. Κάντε διπλό κλικ στο EnableVirtualizationBasedSecurity DWORD και μετά αλλάξτε την τιμή του σε:

Για να ενεργοποιήσετε την ασφάλεια που βασίζεται σε εικονικοποίηση: 1 (To Enable Virtualization-based Security: 1)
Για να απενεργοποιήσετε την ασφάλεια που βασίζεται σε εικονικοποίηση: 0(To Disable Virtualization-based Security: 0)

Για να ενεργοποιήσετε την ασφάλεια που βασίζεται σε εικονικοποίηση, αλλάξτε την τιμή του DWORD σε 1

6.Τώρα κάντε ξανά δεξί κλικ στο DeviceGuard , επιλέξτε New > DWORD (32-bit) Value και ονομάστε αυτό το DWORD ως RequirePlatformSecurityFeatures και μετά πατήστε Enter.

Ονομάστε αυτό το DWORD ως RequirePlatformSecurityFeatures και, στη συνέχεια, πατήστε Enter

7. Κάντε διπλό κλικ στο RequirePlatformSecurityFeatures DWORD και αλλάξτε την τιμή του σε 1 για να χρησιμοποιήσετε μόνο την Ασφαλή εκκίνηση ή  (change it’s value to 1 to use Secure Boot only or )ορίστε το σε 3 για να χρησιμοποιήσετε την προστασία Ασφαλούς εκκίνησης και DMA.(set it to 3 to use Secure Boot and DMA protection.)

Αλλάξτε την τιμή του σε 1 για να χρησιμοποιήσετε μόνο την Ασφαλή εκκίνηση ή ορίστε την σε 3 για να χρησιμοποιήσετε την προστασία Ασφαλούς εκκίνησης και DMA.

8. Τώρα μεταβείτε στο ακόλουθο κλειδί μητρώου:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. Κάντε δεξί κλικ στο LSA και, στη συνέχεια, επιλέξτε New > DWORD (32-bit) Value και, στη συνέχεια, ονομάστε αυτό το DWORD ως LsaCfgFlags και πατήστε Enter.

Κάντε δεξί κλικ στο LSA και, στη συνέχεια, επιλέξτε Νέο και μετά Τιμή DWORD (32 bit).

10. Κάντε διπλό κλικ στο LsaCfgFlags DWORD και αλλάξτε την τιμή του σύμφωνα με:

Απενεργοποίηση Credential Guard: 0 (Disable Credential Guard: 0)
Ενεργοποίηση Credential Guard με κλείδωμα UEFI: 1 (Enable Credential Guard with UEFI lock: 1)
Ενεργοποίηση Credential Guard χωρίς κλείδωμα: 2(Enable Credential Guard without lock: 2)

Κάντε διπλό κλικ στο LsaCfgFlags DWORD και αλλάξτε την τιμή του ανάλογα

11.Μόλις τελειώσετε, κλείστε τον Επεξεργαστή Μητρώου(Registry Editor) .

Απενεργοποιήστε το Credential Guard στα Windows 10(Disable Credential Guard in Windows 10)

Εάν το Credential Guard ήταν ενεργοποιημένο χωρίς Κλείδωμα UEFI(UEFI Lock) , τότε μπορείτε να  απενεργοποιήσετε το Credential Guard των Windows( Disable Windows Credential Guard) χρησιμοποιώντας το εργαλείο ετοιμότητας υλικού Device Guard και Credential Guard(Device Guard and Credential Guard hardware readiness tool) ή την ακόλουθη μέθοδο:

1.Πατήστε Windows Key + R, πληκτρολογήστε regedit και πατήστε Enter για να ανοίξετε τον Επεξεργαστή Μητρώου.( Registry Editor.)

Εκτελέστε την εντολή regedit

2. Πλοηγηθείτε και διαγράψτε τα ακόλουθα κλειδιά μητρώου:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

Απενεργοποιήστε το Credential Guard των Windows

3. Διαγράψτε τις μεταβλητές του Windows Credential Guard EFI χρησιμοποιώντας το bcdedit(Delete the Windows Credential Guard EFI variables by using bcdedit) . Πατήστε Windows Key + X και μετά επιλέξτε Command Prompt (Admin).

γραμμή εντολών με δικαιώματα διαχειριστή

4. Πληκτρολογήστε την ακόλουθη εντολή στο cmd και πατήστε Enter :

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5. Μόλις τελειώσετε, κλείστε τη γραμμή εντολών και επανεκκινήστε τον υπολογιστή σας.

6. Αποδεχτείτε την ερώτηση για απενεργοποίηση του Windows Credential Guard .

Συνιστάται:(Recommended:)

Αυτό είναι που έχετε μάθει με επιτυχία πώς να ενεργοποιείτε ή να απενεργοποιείτε το Credential Guard στα Windows 10(How to Enable or Disable Credential Guard in Windows 10) , αλλά εάν εξακολουθείτε να έχετε απορίες σχετικά με αυτό το σεμινάριο, μπορείτε να τις ρωτήσετε στην ενότητα των σχολίων.



About the author

Είμαι επαγγελματίας τεχνικός ήχου και πληκτρολογίου με πάνω από 10 χρόνια εμπειρία. Έχω εργαστεί στον εταιρικό κόσμο, ως σύμβουλος και διευθυντής προϊόντων, και πιο πρόσφατα, ως μηχανικός λογισμικού. Οι δεξιότητες και η εμπειρία μου μου επιτρέπουν να εργάζομαι σε διάφορα είδη έργων από μικρές επιχειρήσεις έως μεγάλες εταιρείες. Είμαι επίσης ειδικός στα Windows 11 και εργάζομαι πάνω στο νέο λειτουργικό σύστημα για πάνω από δύο χρόνια τώρα.



Related posts