Tweet
Windows Defender Credential Guard – Lá Chắn Bảo Vệ Thông Tin Xác Thực Trên Windows
Trong các cuộc tấn công vào hệ thống Windows hiện nay, mục tiêu của kẻ tấn công thường không chỉ là chiếm quyền một máy tính đơn lẻ mà còn là đánh cắp thông tin xác thực (credentials) để di chuyển ngang (Lateral Movement) trong toàn bộ hệ thống. Các kỹ thuật nổi tiếng như Pass-the-Hash (PtH) và Pass-the-Ticket (PtT) đã được sử dụng trong rất nhiều vụ tấn công ransomware và APT.
Để giải quyết vấn đề này, Microsoft giới thiệu Windows Defender Credential Guard.
Credential Guard sử dụng công nghệ Virtualization-Based Security (VBS) để tạo ra một môi trường thực thi cô lập dựa trên Hyper-V. Thay vì lưu trữ trực tiếp các thông tin nhạy cảm của dịch vụ LSASS (Local Security Authority Subsystem Service) trong không gian của hệ điều hành, Credential Guard di chuyển các thông tin này vào một vùng bộ nhớ được bảo vệ bằng phần cứng.
Điều này có nghĩa là ngay cả khi malware hoặc kẻ tấn công chiếm được quyền Administrator trên hệ điều hành, chúng vẫn rất khó truy cập được:
Nhờ đó, nguy cơ bị tấn công bằng các kỹ thuật Pass-the-Hash và Pass-the-Ticket giảm đáng kể. Credential Guard hoạt động như thế nào?
Kiến trúc của Credential Guard dựa trên ba thành phần chính:
Khi khởi động, Hyper-V tạo ra một vùng bảo mật riêng gọi là Virtual Secure Mode (VSM). Dịch vụ LSAIso.exe chạy trong vùng này và chịu trách nhiệm lưu trữ các thông tin xác thực nhạy cảm.
Hệ điều hành Windows thông thường không thể truy cập trực tiếp vào vùng VSM mà chỉ có thể giao tiếp thông qua các kênh được Microsoft kiểm soát. Điều này làm giảm đáng kể khả năng malware trích xuất credential từ bộ nhớ. Các yêu cầu triển khai
Để triển khai Credential Guard, hệ thống cần:
Đối với môi trường Hyper-V:
Trong môi trường doanh nghiệp, Credential Guard thường được triển khai bằng Group Policy:
Computer Configuration
→ Administrative Templates
→ System
→ Device Guard
→ Turn On Virtualization Based Security
Ngoài ra, Microsoft cung cấp công cụ:
DG_Readiness_Tool.ps1 -Enable -AutoReboot
Công cụ này sẽ kiểm tra tính tương thích phần cứng, cấu hình VBS và tự động khởi động lại máy khi cần. Một số lưu ý khi triển khai
Credential Guard mang lại khả năng bảo vệ rất mạnh đối với thông tin xác thực, tuy nhiên cần lưu ý:
Trong môi trường Active Directory hiện đại, việc bảo vệ credential là một trong những yếu tố quan trọng nhất để ngăn chặn các cuộc tấn công di chuyển ngang và chiếm quyền Domain Admin. Windows Defender Credential Guard là một tính năng bảo mật mạnh mẽ của Microsoft, sử dụng ảo hóa, TPM, Secure Boot và Hyper-V để cô lập hoàn toàn thông tin xác thực khỏi hệ điều hành thông thường.
Nếu doanh nghiệp đang sử dụng Windows Server 2016 trở lên hoặc Windows 10/11 Enterprise, việc triển khai Credential Guard nên được xem là một best practice về bảo mật endpoint và danh tính (Identity Security) nhằm giảm thiểu rủi ro từ các kỹ thuật tấn công như Pass-the-Hash và Pass-the-Ticket.
Trong các cuộc tấn công vào hệ thống Windows hiện nay, mục tiêu của kẻ tấn công thường không chỉ là chiếm quyền một máy tính đơn lẻ mà còn là đánh cắp thông tin xác thực (credentials) để di chuyển ngang (Lateral Movement) trong toàn bộ hệ thống. Các kỹ thuật nổi tiếng như Pass-the-Hash (PtH) và Pass-the-Ticket (PtT) đã được sử dụng trong rất nhiều vụ tấn công ransomware và APT.
Để giải quyết vấn đề này, Microsoft giới thiệu Windows Defender Credential Guard.
Credential Guard sử dụng công nghệ Virtualization-Based Security (VBS) để tạo ra một môi trường thực thi cô lập dựa trên Hyper-V. Thay vì lưu trữ trực tiếp các thông tin nhạy cảm của dịch vụ LSASS (Local Security Authority Subsystem Service) trong không gian của hệ điều hành, Credential Guard di chuyển các thông tin này vào một vùng bộ nhớ được bảo vệ bằng phần cứng.
Điều này có nghĩa là ngay cả khi malware hoặc kẻ tấn công chiếm được quyền Administrator trên hệ điều hành, chúng vẫn rất khó truy cập được:
- NTLM Hashes
- Kerberos Ticket Granting Tickets (TGT)
- Cached Domain Credentials
- Các secret được LSASS lưu trữ
Nhờ đó, nguy cơ bị tấn công bằng các kỹ thuật Pass-the-Hash và Pass-the-Ticket giảm đáng kể. Credential Guard hoạt động như thế nào?
Kiến trúc của Credential Guard dựa trên ba thành phần chính:
- Hyper-V Virtualization
- Virtual Secure Mode (VSM)
- Isolated LSA (LSAIso.exe)
Khi khởi động, Hyper-V tạo ra một vùng bảo mật riêng gọi là Virtual Secure Mode (VSM). Dịch vụ LSAIso.exe chạy trong vùng này và chịu trách nhiệm lưu trữ các thông tin xác thực nhạy cảm.
Hệ điều hành Windows thông thường không thể truy cập trực tiếp vào vùng VSM mà chỉ có thể giao tiếp thông qua các kênh được Microsoft kiểm soát. Điều này làm giảm đáng kể khả năng malware trích xuất credential từ bộ nhớ. Các yêu cầu triển khai
Để triển khai Credential Guard, hệ thống cần:
- Windows Server 2016 trở lên hoặc Windows 10 Enterprise/Education/IoT Enterprise.
- CPU 64-bit hỗ trợ Intel VT-x hoặc AMD-V.
- TPM 1.2 hoặc TPM 2.0.
- UEFI Firmware 2.3.1c trở lên.
- UEFI Secure Boot.
- Hỗ trợ cập nhật firmware an toàn.
Đối với môi trường Hyper-V:
- Host Hyper-V phải chạy Windows Server 2016 trở lên.
- Hỗ trợ IOMMU (Intel VT-d hoặc AMD-Vi).
- Máy ảo Generation 2.
- Bật Virtual TPM (vTPM).
Trong môi trường doanh nghiệp, Credential Guard thường được triển khai bằng Group Policy:
Computer Configuration
→ Administrative Templates
→ System
→ Device Guard
→ Turn On Virtualization Based Security
Ngoài ra, Microsoft cung cấp công cụ:
DG_Readiness_Tool.ps1 -Enable -AutoReboot
Công cụ này sẽ kiểm tra tính tương thích phần cứng, cấu hình VBS và tự động khởi động lại máy khi cần. Một số lưu ý khi triển khai
Credential Guard mang lại khả năng bảo vệ rất mạnh đối với thông tin xác thực, tuy nhiên cần lưu ý:
- Yêu cầu phần cứng hiện đại hỗ trợ VBS.
- Một số cơ chế xác thực cũ có thể bị ảnh hưởng.
- Cần kiểm thử tương thích với các ứng dụng bảo mật của bên thứ ba.
- Có thể phát sinh một lượng nhỏ overhead do sử dụng Hyper-V và VBS.
Trong môi trường Active Directory hiện đại, việc bảo vệ credential là một trong những yếu tố quan trọng nhất để ngăn chặn các cuộc tấn công di chuyển ngang và chiếm quyền Domain Admin. Windows Defender Credential Guard là một tính năng bảo mật mạnh mẽ của Microsoft, sử dụng ảo hóa, TPM, Secure Boot và Hyper-V để cô lập hoàn toàn thông tin xác thực khỏi hệ điều hành thông thường.
Nếu doanh nghiệp đang sử dụng Windows Server 2016 trở lên hoặc Windows 10/11 Enterprise, việc triển khai Credential Guard nên được xem là một best practice về bảo mật endpoint và danh tính (Identity Security) nhằm giảm thiểu rủi ro từ các kỹ thuật tấn công như Pass-the-Hash và Pass-the-Ticket.
Attached Files