Menjelaskan Windows Defender Credential Guard
Windows Defender Credential Guard membantu melindungi Anda dari serangan NTLM Pass-the-Hash atau serangan Kerberos Pass-the-Ticket. Ini melindungi Anda dengan membatasi akses ke hash kata sandi NTLM (Pass-the-Hash), Kerberos TGT (Pass-the-Ticket), dan info masuk aplikasi yang disimpan sebagai info masuk domain untuk proses dan memori khusus yang mengelola dan menyimpan data terkait otorisasi dan autentikasi tersebut. Oleh karena itu, hanya elemen tertentu yang diotorisasi secara digital dari sistem operasi host—yang memverifikasi elemen tersebut—yang dapat mengakses proses dan memori khusus. Ini memblokir operasi yang tidak sah atau perangkat lunak yang tidak sah dari mendapatkan akses ke proses dan memori yang dilindungi, lalu membatasi aksesnya ke data terkait otorisasi dan autentikasi tersebut. Windows Defender Credential Guard juga memberikan keamanan perangkat keras dengan memanfaatkan fitur keamanan perangkat keras seperti boot aman dan virtualisasi untuk NTLM, Kerberos, dan Credential Manager.
Bagaimana Windows Defender Credential Guard bekerja
Windows Defender Credential Guard melindungi info masuk pengguna dari kompromi dengan mengisolasi info masuk tersebut dalam kontainer tervirtualisasi yang dilindungi, terpisah dari sistem operasi lainnya. Hanya perangkat lunak sistem yang memiliki hak istimewa yang dapat mengakses info masuk.
Sistem operasi kontainer virtual berjalan secara paralel, tetapi independen dari sistem operasi host. Sistem operasi ini melindungi proses ini dari upaya oleh entitas eksternal mana pun untuk membaca informasi yang disimpan dan digunakan oleh proses tersebut. Ini berarti info masuk lebih terlindungi, bahkan jika malware telah menembus seluruh sistem Anda.
Persyaratan Windows Defender Credential Guard
Anda dapat menyebarkan Windows Defender Credential Guard hanya pada perangkat yang memenuhi persyaratan perangkat keras tertentu. Windows Defender Credential Guard harus digunakan di komputer mana pun yang staf IT-nya menggunakan info masuk istimewa, terutama stasiun kerja khusus untuk akses istimewa.
Windows Defender Credential Guard memerlukan yang berikut ini:
Windows 10 Enterprise atau Windows Server 2016 atau lebih baru
CPU 64-bit
Ekstensi virtualisasi CPU ditambah tabel halaman yang diperluas (Intel VT-x atau AMD-V)
Modul Platform Tepercaya (TPM) 1.2 atau 2.0
Firmware Unified Extensible Firmware Interface (UEFI) versi 2.3.1.c atau yang lebih baru
UEFI Boot aman
Pembaruan firmware aman UEFI
Windows Defender Credential Guard dapat melindungi rahasia di mesin virtual Microsoft Hyper-V saat:
Host Hyper-V memiliki unit manajemen memori I/O (IOMMU) dan menjalankan Windows Server 2016 atau yang lebih baru, atau menjalankan Windows 10 Enterprise.
Mesin virtual harus Generasi 2, mengaktifkan TPM virtual, dan menjalankan sistem operasi yang mendukung Windows Defender Credential Guard.
Windows Defender Credential Guard tidak mendukung:
Delegasi Kerberos yang tidak dibatasi
NTLMv1
MS-CHAPv2
Autentikasi digest
Delegasi info masuk (CredSSP)
Enkripsi Kerberos DES (Standar Enkripsi Data)
Windows Defender Credential Guard tidak didukung pada pengendali domain. Ini juga tidak memberikan perlindungan untuk database AD DS (Active Directory Domain Services) atau Manajer Akun Keamanan (SAM).