Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
Starting with the April Windows security update (KB5055523), Credential Guard protected machine accounts is temporarily disabled in Windows Server 2025 and Windows 11, version 24H2. Эта функция отключена из-за проблемы с сменой пароля компьютера с помощью Kerberos. Эта функция остается отключенной до тех пор, пока не будет доступно постоянное исправление. Дополнительные сведения о проблеме смены паролей компьютера см. в статье об известных проблемах и уведомлениях Windows Server 2025 .
Последние функции Windows, такие как расширение Kerberos Armoring, также известное как расширение Flexible Authentication Secure Tunneling (FAST) Kerberos, становятся все более зависимыми от учетных записей компьютеров для улучшения безопасности. Учетная запись компьютера используется для внесения энтропии в секретный ключ клиента, и теперь как учетные записи службы gMSA, так и dMSA зависят от учетных записей компьютеров и предоставляют им доступ к учетным записям служб. Однако эта зависимость от учетных записей компьютеров создала уязвимость в безопасности учетной записи службы, так как учетные записи компьютеров можно легко извлечь из реестра и использовать для доступа к высокозащищенным учетным записям служб.
Чтобы укрепить безопасность учетных записей сервисов, функция добровольного участия учетных записей компьютеров в Credential Guard теперь доступна на устройствах Windows Server 2025 с включенной функцией Credential Guard. Важно принять меры по решению этой проблемы. Эта функция перемещает хранилище учетных данных учетной записи компьютера из реестра в Credential Guard, которая предоставляет отдельную надежную среду выполнения для пароля учетной записи компьютера. Безопасность улучшается, обеспечивая:
- Пароль не может быть доступен для непривилегированных пользователей, администраторов или драйверов.
- Улучшена безопасность учетных записей компьютеров, что повышает общую безопасность учетных записей служб в Active Directory (AD).
Изоляция машинной идентификации
Включение изоляции идентичности машины позволяет защитить учетные записи компьютеров AD на основе виртуализации. При включении учетные данные учетной записи компьютера устройства будут перемещены в Credential Guard. В результате все будущие проверки подлинности учетной записи компьютера, такие как вход в присоединенное к домену устройство, будут перенаправлены через Credential Guard. Однако если Credential Guard не удается запустить после перезагрузки устройства, это приведет к невозможности завершить проверку подлинности домена, потенциально требуя вмешательства от учетной записи локального администратора для восстановления.
Конфигурация изоляции машинного удостоверения
Чтобы включить параметр конфигурации изоляции машинного удостоверения, откройте Групповую Политику, перейдите по следующему пути и выберите Включено.
- Конфигурация компьютера\Административные шаблоны\System\Device Guard\Включение безопасности на основе виртуализации
Доступные параметры для этого конкретного параметра:
Disabled: Turns off Machine Identity Isolation. Если эта политика ранее была включена в режиме аудита, дальнейшие действия не требуются. Если эта политика ранее была включена в принудительном режиме, устройство должно быть отсоединено и повторно присоединено к домену, так как в противном случае оно не сможет пройти проверку подлинности.
Note
Если локальный кэшированный вход включен при отключении этого параметра, локальный вход по-прежнему будет работать во время обновления кэша, но проверка подлинности домена будет нарушена.
Только учетная запись локального администратора может использоваться для отсоединять и повторно присоединиться к компьютеру.
Включен в режиме аудита: этот параметр создает новый секрет в Credential Guard и копирует его в локальный центр безопасности (LSA). Затем удаляется старый секрет LSA. При аудите сначала попытаются использовать копию идентификатора машины в Credential Guard для проверки подлинности. Если это не удается, проверка подлинности вновь использует исходное удостоверение компьютера из LSA.
Note
Если политика была ранее установлена в режиме принудительного выполнения, устройство должно быть вручную отсоединено и повторно присоединено.
Включен в режиме принудительного применения: этот параметр перемещает секрет учетной записи компьютера в Credential Guard и удаляет его из LSA. Это делает секрет учетной записи компьютера недоступным, за исключением использования Credential Guard для проверки подлинности компьютера.
Not Configured: Leaves the policy setting undefined. Групповая политика не записывает параметр политики в реестр и не влияет на компьютеры или пользователей. Если в реестре есть текущий параметр, он не будет изменен.