Abilitare Defender Credential Guard

Come abilitare Defender Credential Guard in Win Server 2016/2019

Abilitare Defender Credential Guard sulle tue macchine server potrebbe aiutarti a migliorare la sicurezza degli utenti di Active Directory.

In parole povere Microsoft Windows Defender Credential Guard è una funzione di sicurezza che isola le informazioni di accesso degli utenti dal resto del sistema operativo per prevenire il furto. Microsoft ha introdotto Credential Guard in Windows 10 Enterprise, Windows Server 2016 e Windows Server 2019. Quando Credential Guard è attivo, il software di sistema privilegiato è l’unica cosa che può accedere alle credenziali dell’utente.

Come funziona Microsoft Windows Defender Credential Guard

Microsoft Windows Defender Credential Guard utilizza la virtualizzazione per archiviare le credenziali in contenitori protetti separati dal sistema operativo. Di conseguenza, le informazioni che Credential Guard protegge sono sicure anche da malware o altri attacchi dannosi penetrano nella rete di un’organizzazione.

È particolarmente efficace contro gli attacchi pass-the-hash perché protegge gli hash delle password NT LAN Manager (NTLM) e i ticket di concessione ticket Kerberos . Microsoft Windows Defender Credential Guard archivia hash casuali a lunghezza intera per contrastare minacce di tentativi ed errori come gli attacchi di forza bruta . Inoltre, Credential Guard difende tutte le credenziali archiviate dalle applicazioni come credenziali di dominio.

Come abilitare Defender Credential Guard tramite Criteri di Gruppo

E’ possibile abilitare Defender Credential Guard utilizzando Criteri di gruppo o il registro di Windows. È necessario accedere come amministratore per abilitare o disabilitare Credential Guard.

  1. Aprire l’ Editor criteri di gruppo locali (gpedit.msc).
  2. Passare alla chiave in basso nel riquadro sinistro dell’Editor criteri di gruppo locali. (vedi screenshot sotto)
    Configurazione computer \ Modelli amministrativi \ Sistema \ Device Guard
  3. Fai doppio clic su Attiva sicurezza basata su virtualizzazione e quindi fai clic sull’opzione Attivata.
  4. Nella casella Seleziona il livello di sicurezza della piattaforma, scegli Avvio protetto o Avvio protetto e protezione DMA
  5. Nella casella Configurazione di Credential Guard fai clic su Abilitato con blocco UEFI e quindi fai clic su OK. Se vuoi poter disattivare Windows Defender Credential Guard in remoto, scegli Abilitato senza blocco.
  6. Chiudi Console Gestione Criteri di gruppo.

    Abilitare Defender Credential Guard criteri di gruppo.
    Abilitare Defender Credential Guard criteri di gruppo.

Per applicare l’elaborazione dell’impostazione di Criteri di gruppo, puoi eseguire gpupdate /force.

Attivare Defender Credential Guard con il Registro di sistema

Se non usi Criteri di gruppo, puoi abilitare Windows Defender Credential Guard usando il Registro di sistema. Windows Defender Credential Guard usa funzionalità di sicurezza basata su virtualizzazione che devono essere prima di tutto abilitate in alcuni sistema operativi.

A partire da Windows 10 versione 1607 e Windows Server 2016, l’abilitazione delle funzionalità di Windows per usare la sicurezza basata su virtualizzazione non è necessaria e puoi saltare questo passaggio.

Se usi Windows 10 versione 1507 (RTM) o Windows 10 versione 1511, le funzionalità di Windows devono essere abilitate per usare la sicurezza basata su virtualizzazione. Puoi farlo usando il Pannello di controllo.

  1. Apri Programmi e funzionalità nel Pannello di controllo.
  2. Fai clic su Attiva o disattiva funzionalità di Windows.
  3. Vai a Hyper-V -> Piattaforma Hyper-V e quindi seleziona la casella di controllo Hypervisor Hyper-V.
  4. Seleziona la casella di controllo Modalità utente isolato al primo livello della selezione delle funzionalità.
  5. Fai clic su OK.

Abilitare tramite Registro di Sistema (regedit.msc)

  1. Apri l’editor del Registro di sistema.
  2. Abilita la sicurezza basata su virtualizzazione:
  • Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard
  • Aggiungi un nuovo valore DWORD chiamato EnableVirtualizationBasedSecurity. Imposta il valore di questa impostazione del Registro di sistema su 1 per abilitare la sicurezza basata su virtualizzazione e su 0 per disabilitarla.
  • Aggiungi un nuovo valore DWORD chiamato RequirePlatformSecurityFeatures. Imposta il valore di questa impostazione del Registro di sistema su 1 per usare solo Avvio protetto o su 3 per usare Avvio protetto e protezione DMA.

    Abilitare Defender Credential Guard Registro di sistema
    Abilitare Defender Credential Guard Registro di sistema

3.Abilitare Windows Defender Credential Guard:

  • Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
  • Aggiungi un nuovo valore DWORD chiamato LsaCfgFlags. Imposta il valore di questa impostazione del Registro di sistema su 1 per abilitare Windows Defender Credential Guard con il blocco UEFI, su 2 per attivare Windows Defender Credential Guard senza blocco, su 0 per disabilitare Windows Defender Credential Guard.

4. Chiudi l’Editor del Registro di sistema.

Conclusione

Abbiamo visto come abilitare Defender Credential Guard in due diversi modi, ti consiglio al fine di evitate problematiche di utilizzare il metodo con i criteri di gruppo.

Potrebbero interessarti:

 

Autore Bartolomeo

Consulente tecnico con la passione per il web e la tecnologia e tutto quello che le ronza intorno.
Nel tempo libero scrivo articoli per il mio blog su argomenti vari, in particolare su configurazione Windows, Linux e WordPress.

Condividi questo articolo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto la policy privacy e accetto il trattamento dei miei dati personali in conformità al D.Lgs. 196/2003