Омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10

Омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10:  (Enable or Disable Credential Guard in Windows 10: )Виндовс Цредентиал Гуард(Windows Credential Guard) користи безбедност засновану на виртуелизацији да изолује тајне тако да само привилеговани системски софтвер може да им приступи. Неовлашћени приступ овим тајнама може довести до напада крађе акредитива, као што су Пасс-тхе-Хасх(Pass-the-Hash) или Пасс-Тхе-Тицкет(Pass-The-Ticket) . Виндовс Цредентиал Гуард(Windows Credential Guard) спречава ове нападе тако што штити НТЛМ хешове(NTLM) лозинке, Керберос карте(Kerberos Ticket Granting Tickets) за одобравање тикета и акредитиве које апликације чувају као акредитиве домена.

Омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10

Омогућавањем Виндовс Цредентиал Гуард-а обезбеђују се следеће функције и решења:(By enabling Windows Credential Guard the following features and solutions are provided:)

Безбедност хардвера Безбедност (Hardware security)
заснована на виртуелизацији (Virtualization-based security)
Боља заштита од напредних упорних претњи(Better protection against advanced persistent threats)

Сада знате важност Цредентиал Гуард-(Credential Guard) а , свакако бисте то требали омогућити за свој систем. Дакле, без губљења времена, хајде да погледамо како да омогућите или онемогућите Цредентиал Гуард(Disable Credential Guard) у оперативном систему Виндовс 10(Windows 10) уз помоћ доле наведеног упутства.

Омогућите или онемогућите Цредентиал Гуард(Guard) у оперативном систему Виндовс 10(Windows 10)

Обавезно  креирајте тачку враћања(create a restore point)  у случају да нешто крене наопако.

Метод 1: Омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10 помоћу уређивача смерница групе(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)

Напомена:(Note:) Овај метод функционише само ако имате Виндовс Про(Pro) , Едуцатион(Education) или Ентерприсе Едитион(Enterprise Edtion) . За Виндовс Хоме(Windows Home) верзију корисници прескоче овај метод и следе следећи.

1. Притисните тастер Виндовс + Р, а затим откуцајте регедит(regedit) и притисните Ентер да бисте отворили уређивач смерница групе.( Group Policy Editor.)

Покрените команду регедит

2. Идите на следећу путању:

Computer Configuration > Administrative Templates > System > Device Guard

3. Обавезно изаберите Девице Гуард(Device Guard) него у десном окну прозора двапут кликните на смерницу „Укључи безбедност засновану на виртуелизацији“(“Turn On Virtualization Based Security”) .

Двапут кликните на Укључи безбедносну политику засновану на виртуелизацији

4. У прозору Својства(Properties) горње политике обавезно изаберите Омогућено.(Enabled.)

Подесите Укључи безбедност засновану на виртуелизацији на Омогућено

5. Сада из падајућег менија „ Изабери ниво безбедности платформе(Select Platform Security Level) “ изаберите Безбедно покретање или Безбедно покретање и ДМА( Secure Boot or Secure Boot and DMA) заштиту.

Из падајућег менија Селецт Платформ Сецурити Левел изаберите Сецуре Боот или Сецуре Боот анд ДМА Протецтион

6. Следеће, у падајућем менију „ Конфигурација заштите акредитива “ изаберите (Credential Guard Configuration)Омогућено са УЕФИ закључавањем(Enabled with UEFI lock) . Ако желите даљински да искључите Цредентиал Гуард(Credential Guard) , изаберите Омогућено без закључавања уместо Омогућено са УЕФИ(UEFI) закључавањем.

7. Када завршите, кликните на Примени(Apply) , а затим на ОК.

8. Поново покрените рачунар да бисте сачували промене.

Метод 2: Омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10 помоћу уређивача регистра(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)

Цредентиал Гуард(Guard) користи безбедносне функције засноване на виртуелизацији које прво морају да буду омогућене из функције Виндовс(Windows) пре него што можете да омогућите или онемогућите Цредентиал Гуард(Guard) у уређивачу регистра(Registry Editor) . Уверите(Make) се да користите само један од доле наведених метода да бисте омогућили безбедносне функције засноване на виртуелизацији.

Додајте безбедносне функције засноване на виртуелизацији помоћу програма и функција(Add the virtualization-based security features by using Programs and Features)

1. Притисните тастер Виндовс + Р, а затим откуцајте аппвиз.цпл(appwiz.cpl) и притисните Ентер да отворите Програм и функције.(Program and Features.)

откуцајте аппвиз.цпл и притисните Ентер да бисте отворили Програме и функције

2. Из прозора са леве стране кликните на „ Укључи или искључи Виндовс функције(Turn Windows Features on or off) “.

укључити или искључити карактеристике Виндовса

3. Пронађите и проширите Хипер-В(Hyper-V) , а затим на сличан начин проширите Хипер-В платформу(Hyper-V Platform) .

4. Испод Хипер-В платформе означите(checkmark)Хипер-В хипервизор(Hyper-V Hypervisor) “.

Испод Хипер-В платформе означите Хипер-В хипервизор

5. Сада померите надоле и означите „Изоловани кориснички режим“(checkmark “Isolated User Mode”) и кликните на ОК.

Додајте безбедносне функције засноване на виртуелизацији ванмрежној слици помоћу ДИСМ-а(Add the virtualization-based security features to an offline image by using DISM)

1. Притисните тастер Windows Key + X , а затим изаберите Цомманд Промпт (Админ).(Command Prompt (Admin).)

командни редак са администраторским правима

2.Укуцајте следећу команду у цмд да бисте додали Хипер-В хипервизор(Hyper-V Hypervisor) и притисните Ентер(Enter) :

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

Додајте безбедносне функције засноване на виртуелизацији ванмрежној слици помоћу ДИСМ-а

3. Додајте функцију изолованог корисничког режима(Isolated User Mode) тако што ћете покренути следећу команду:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

Додајте функцију изолованог корисничког режима

4. Када завршите, можете затворити командну линију.

Омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10(Enable or Disable Credential Guard in Windows 10)

1. Притисните тастер Виндовс + Р, а затим откуцајте регедит(regedit) и притисните Ентер да отворите уређивач регистра.(Registry Editor.)

Покрените команду регедит

2. Дођите до следећег кључа регистратора:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. Кликните десним тастером миша на ДевицеГуард(DeviceGuard) , а затим изаберите New > DWORD (32-bit) Value.

Кликните десним тастером миша на ДевицеГуард, а затим изаберите Нова ДВОРД (32-битна) вредност

4. Именујте овај новокреирани ДВОРД као ЕнаблеВиртуализатионБаседСецурити(EnableVirtualizationBasedSecurity) и притисните Ентер.

Именујте овај новостворени ДВОРД као ЕнаблеВиртуализатионБаседСецурити и притисните Ентер

5. Двапут кликните на ЕнаблеВиртуализатионБаседСецурити ДВОРД(EnableVirtualizationBasedSecurity DWORD) , а затим промените његову вредност у:

Да бисте омогућили безбедност засновану на виртуелизацији: 1 (To Enable Virtualization-based Security: 1)
Да бисте онемогућили безбедност засновану на виртуелизацији: 0(To Disable Virtualization-based Security: 0)

Да бисте омогућили безбедност засновану на виртуелизацији, промените вредност ДВОРД у 1

6. Сада поново кликните десним тастером миша на ДевицеГуард(DeviceGuard) , а затим изаберите New > DWORD (32-bit) Value и назовите овај ДВОРД као РекуиреПлатформСецуритиФеатурес(RequirePlatformSecurityFeatures) , а затим притисните Ентер.

Именујте овај ДВОРД као РекуиреПлатформСецуритиФеатурес, а затим притисните Ентер

7. Двапут кликните на РекуиреПлатформСецуритиФеатурес ДВОРД (RequirePlatformSecurityFeatures) и(DWORD) промените његову вредност на 1 да бисте користили само безбедно покретање или  (change it’s value to 1 to use Secure Boot only or )је поставите на 3 да бисте користили безбедно покретање и ДМА заштиту.(set it to 3 to use Secure Boot and DMA protection.)

Промените њену вредност на 1 да бисте користили само безбедно покретање или је поставите на 3 да бисте користили безбедно покретање и ДМА заштиту.

8. Сада идите до следећег кључа регистратора:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. Кликните десним тастером миша на ЛСА, а затим изаберите New > DWORD (32-bit) Value , а затим назовите овај ДВОРД као ЛсаЦфгФлагс( LsaCfgFlags) и притисните Ентер.

Кликните десним тастером миша на ЛСА, а затим изаберите Ново, а затим ДВОРД (32-битна) вредност

10. Двапут кликните на ЛсаЦфгФлагс ДВОРД(LsaCfgFlags DWORD) и промените његову вредност према:

Онемогући Цредентиал Гуард: 0 (Disable Credential Guard: 0)
Омогући Цредентиал Гуард са УЕФИ закључавањем: 1 (Enable Credential Guard with UEFI lock: 1)
Омогући Цредентиал Гуард без закључавања: 2(Enable Credential Guard without lock: 2)

Двапут кликните на ЛсаЦфгФлагс ДВОРД и промените његову вредност према

11. Када завршите, затворите Регистри Едитор(Registry Editor) .

Онемогућите Цредентиал Гуард у оперативном систему Виндовс 10(Disable Credential Guard in Windows 10)

Ако је Цредентиал Гуард(Credential Guard) био омогућен без УЕФИ Лоцк(UEFI Lock) , можете да  онемогућите Виндовс Цредентиал Гуард( Disable Windows Credential Guard) помоћу алата Девице Гуард и Цредентиал Гуард за спремност хардвера(Device Guard and Credential Guard hardware readiness tool) или на следећи начин:

1. Притисните тастер Виндовс + Р, а затим откуцајте регедит(regedit) и притисните Ентер да отворите уређивач регистра.( Registry Editor.)

Покрените команду регедит

2. Крећите се и избришите следеће кључеве регистратора:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

Онемогућите Виндовс Цредентиал Гуард

3. Избришите ЕФИ променљиве Виндовс Цредентиал Гуард користећи бцдедит(Delete the Windows Credential Guard EFI variables by using bcdedit) . Притисните Windows Key + X , а затим изаберите Цомманд Промпт (Админ).(Command Prompt (Admin).)

командни редак са администраторским правима

4.Укуцајте следећу команду у цмд и притисните Ентер(Enter) :

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5. Када завршите, затворите командну линију и поново покрените рачунар.

6. Прихватите упит да онемогућите Виндовс Цредентиал Гуард(Windows Credential Guard) .

Препоручено:(Recommended:)

То је то што сте успешно научили како да омогућите или онемогућите Цредентиал Гуард у оперативном систему Виндовс 10(How to Enable or Disable Credential Guard in Windows 10) , али ако још увек имате питања у вези са овим водичем, слободно их питајте у одељку за коментаре.



Alexander Moore

About the author

Ја сам софтверски инжењер и истраживач. Имам искуства са Мицрософт Ксбок 360 и Гоогле Екплорер-ом. У могућности сам да пружим стручне препоруке за одређене алате за развој софтвера, као и да помогнем људима да отклоне уобичајене грешке у програму Екплорер.


Related posts