问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

Windows 11高级凭据保护功能详解

创作时间:
作者:
@小白创作中心

Windows 11高级凭据保护功能详解

引用
1
来源
1.
https://learn.microsoft.com/zh-cn/windows/security/book/identity-protection-advanced-credential-protection

在Windows 11中,微软引入了多项高级凭据保护功能,以增强用户和域凭据的安全性。这些功能包括LSA保护、Credential Guard、远程Credential Guard、VBS密钥保护、令牌保护、帐户锁定策略以及访问管理和控制等。本文将详细介绍这些安全特性及其在Windows 11版本24H2中的新增功能。

除了采用无密码登录外,组织还可以使用Credential Guard和远程凭据防护在Windows 11中增强用户和域凭据的安全性。

本地安全机构 (LSA) 保护

Windows有几个关键过程来验证用户的身份。验证过程包括本地安全机构(LSA),后者负责对用户进行身份验证和验证Windows登录。LSA处理用于单一登录Microsoft帐户和Entra ID帐户的令牌和凭据。

LSA仅加载受信任的已签名代码,可有效防止凭据被盗。LSA保护支持使用组策略和其他设备管理解决方案进行配置。

Windows 11版本 24H2 中的新增功能

为了帮助保护这些凭据的安全,默认情况下,在MSA、Microsoft Entra加入、混合和本地的所有设备上启用LSA保护。对于新安装,会立即启用它。对于升级,它在评估期为五天后重新启动后启用。

用户能够在设备安全>核心>隔离本地安全机构保护下管理Windows安全中心应用程序中的LSA保护状态。

为了确保所有用户的无缝转换和增强的安全性,LSA保护的企业策略优先于升级时启用。

Credential Guard

Credential Guard使用硬件支持的基于虚拟化的安全性(VBS)来防止凭据被盗。使用Credential Guard,本地安全机构(LSA)在作系统的其余部分无法访问的独立环境中存储和保护Active Directory(AD)机密。LSA使用远程过程调用来与隔离的LSA进程进行通信。

通过基于虚拟化的安全性保护LSA进程,Credential Guard可保护系统免受用户凭据盗窃攻击技术(如哈希传递或票证传递)的侵害。它还有助于防止恶意软件访问系统机密,即使进程以管理员权限运行也是如此。

Windows 11版本 24H2 中的新增功能

Credential Guard保护已扩展为(可选)包括已加入Active Directory的设备的计算机帐户密码。管理员可以使用Credential Guard策略设置启用审核模式或强制实施此功能。

远程 Credential Guard

远程凭据防护通过将Kerberos请求重定向回请求的设备,帮助组织通过远程桌面连接保护凭据。它还为远程桌面会话提供单一登录体验。

管理员凭据具有很高的特权,必须受到保护。如果将Remote Credential Guard配置为在远程桌面会话期间进行连接,则凭据和凭据派生项永远不会通过网络传递到目标设备。如果目标设备遭到入侵,则不会公开凭据。

VBS 密钥保护

VBS密钥保护使开发人员能够使用基于虚拟化的安全性(VBS)来保护加密密钥。VBS使用CPU的虚拟化扩展功能在正常OS之外创建独立运行时。使用时,VBS密钥在安全过程中隔离,允许进行密钥作,而无需在此空间外部公开私钥材料。静态时,私钥材料由TPM密钥加密,该密钥将VBS密钥绑定到设备。以这种方式保护的密钥不能从进程内存转储或以纯文本形式从用户计算机导出,从而防止任何管理员级攻击者进行外泄攻击。

令牌保护 (预览版)

令牌保护尝试使用Microsoft Entra ID令牌盗窃来减少攻击。令牌保护通过将令牌与设备机密进行加密绑定,使令牌只能从其预期设备使用。使用令牌时,必须同时提供令牌和设备机密的证明。条件访问策略可以配置为在对特定服务使用登录令牌时需要令牌保护。

登录会话令牌保护策略

此功能允许应用程序和服务以加密方式将安全令牌绑定到设备,从而限制攻击者在令牌被盗时在不同设备上模拟用户的能力。

帐户锁定策略

安装了Windows 11的新设备将具有默认安全的帐户锁定策略。这些策略可缓解暴力攻击,例如黑客试图通过远程桌面协议(RDP)访问Windows设备。

帐户锁定阈值策略现在默认设置为10次失败的登录尝试,帐户锁定持续时间设置为10分钟。现在默认启用“允许管理员帐户锁定”。默认情况下,“重置帐户锁定”计数器现在也设置为10分钟。

访问管理和控制

Windows中的访问控制可确保共享资源可供资源所有者以外的用户和组使用,并受到保护,防止未经授权的使用。IT管理员可以管理用户、组和计算机对网络或计算机上的对象和资产的访问权限。对用户进行身份验证后,Windows将实施第二阶段,即使用内置授权和访问控制技术保护资源。这些技术确定经过身份验证的用户是否具有正确的权限。

访问控制Lists(ACL)描述特定对象的权限,还可以包含系统访问控制Lists(ACL)。ACL提供了一种审核特定系统级别事件的方法,例如当用户尝试访问文件系统对象时。这些事件对于跟踪敏感或有价值且需要额外监视的对象的活动至关重要。能够审核资源何时尝试读取或写入作系统的一部分,对于了解潜在攻击至关重要。

IT管理员可以优化应用程序和管理对以下对象的访问:

  • 防止滥用大量和多种网络资源
  • 将用户设置为以符合组织策略及其作业要求的方式访问资源。组织可以实施最低特权访问原则,该原则断言应仅向用户授予对执行作业所需的数据和作的访问权限
  • 随着组织策略的更改或用户作业的更改,更新用户定期访问资源的能力
  • 支持不断变化的工作场所需求,包括从混合或远程位置访问,或者从快速扩展的设备阵列(包括平板电脑和手机)进行访问
  • 识别并解决合法用户无法访问执行作业所需的资源时的访问问题
热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号