Che cos’è Windows Credential Guard e dovresti usarlo?

Windows Credential Guard è una funzionalità di sicurezza che protegge le credenziali di autenticazione da attacchi dannosi. Impedisce agli hacker di manomettere gli strumenti di sistema o eseguire codici dannosi sul tuo computer. Questa funzionalità è disponibile nelle versioni Enterprise e Pro di Windows 10 e Windows 11. Dovresti prendere in considerazione l’abilitazione di Credential Guard se gestisci o accedi a dati sensibili in locale o in remoto su un dominio o gruppo di lavoro Windows.

Cos’è esattamente Credential Guard?

Quando avvii il computer, un processo chiamato Local Security Authority Server Service (LSASS) autentica le credenziali di accesso e ti concede l’accesso. LSASS memorizza anche queste credenziali (password crittografate, hash NT, hash LM e ticket Kerberos) durante le sessioni attive, quindi non è necessario reinserire la password ogni volta che è necessario apportare modifiche o accedere ai file.

Il salvataggio delle credenziali in memoria durante le sessioni è utile rispetto all’alternativa: l’autenticazione manuale dell’identità in ogni fase. Certo, l’inserimento occasionale delle credenziali di autenticazione migliora la sicurezza. Ma le credenziali di autenticazione sono lunghe, specialmente nelle loro forme con hash. Sarebbe particolarmente scomodo se dovessi apportare una modifica rapidamente e particolarmente frustrante se commetti un errore e dovessi reinserire una password. E se devi annotare la password da qualche parte, questo potrebbe potenzialmente aumentare il tuo rischio per la sicurezza. LSASS gestisce le autenticazioni, quindi l’utilizzo del tuo dispositivo è efficiente.

Ma come puoi immaginare, con tutto ciò che memorizza dati preziosi e sensibili, LSASS è un jackpot per gli hacker. Possono compromettere LSASS attraverso attacchi di furto di credenziali utilizzando strumenti come Mimikatz, Crackmapexec e Lsassy. Gli hacker utilizzano questi strumenti per eliminare, sostituire o alterare il vero file di sistema (lsass.exe).

Esistono modi per fermare il furto di credenziali prima che un hacker faccia danni immensi ed è possibile fermare un attacco una volta scoperto. Tuttavia, è meglio prevenire l’attacco in primo luogo. Credential Guard protegge da attacchi dannosi creando un processo LSASS isolato (LSAIso) che memorizza i dati di autenticazione in modo sicuro.

Perché dovresti abilitare Credential Guard sul tuo PC

La funzione di sicurezza isola le credenziali di accesso dal resto della memoria del sistema e dal processo principale (lsass.exe) che gestisce l’autenticazione. Quindi, è essenzialmente una scatola nera.

Dovresti usare Credential Guard se disponi di diversi computer che fanno parte di un dominio o di un gruppo di lavoro. Come mai? Un utente malintenzionato che compromette un dispositivo con credenziali di accesso amministratore può compromettere l’intera rete. L’abilitazione di questa funzione impedisce efficacemente a un utente malintenzionato di ottenere il controllo totale delle informazioni sensibili se compromette un sistema.

Il tuo sistema deve soddisfare i requisiti

Windows Credential Guard è un’esclusiva delle versioni Enterprise e Pro di Windows 10 e 11. Anche le versioni recenti dei server Windows dispongono di questa funzionalità di sicurezza, ma il dispositivo deve soddisfare severi requisiti hardware e software.

Per cominciare, il dispositivo deve avere una CPU a 64 bit (per supportare la sicurezza basata sulla virtualizzazione) e un avvio sicuro. Microsoft consiglia inoltre di avere Trusted Platform Module (TPM) versioni 1.2 o 2.0 e il blocco UEFI (per impedire agli aggressori di aggirare la configurazione della sicurezza con regedit). È possibile controllare i requisiti di base in base al computer o al server che si desidera proteggere.

Come abilitare Credential Guard su Windows

Il tuo computer o server avrà Credential Guard abilitato per impostazione predefinita se soddisfa i requisiti di base di Microsoft. Per verificare se questa funzione di sicurezza è già abilitata, premere Start quindi digitare “msinfo32.exe”. Seleziona Informazioni di sistema > Riepilogo di sistema . Dovresti vedere “Servizi di sicurezza basati sulla virtualizzazione in esecuzione” e “Credential Guard, integrità del codice applicata dall’hypervisor” uno accanto all’altro.

Se Credential Guard non è abilitato sul tuo computer, puoi abilitare la funzionalità in tre modi principali: tramite Criteri di gruppo, modificando il registro di Windows o utilizzando Microsoft Intune. C’è anche la possibilità di abilitare Credential Guard con blocco UEFI se sei un utente esperto. La maggior parte degli amministratori troverà più facile abilitare questa funzione con Criteri di gruppo.

Come disabilitare Credential Guard su Windows

Nonostante la sua utilità nel prevenire il furto di credenziali e gli attacchi Pass the Hash, Credential Guard causerà la rottura di alcuni servizi e protocolli. Ad esempio, l’abilitazione della funzione di sicurezza ti impedisce di utilizzare Windows To Go, la delega senza vincoli Kerberos e la crittografia DES.

Inoltre, non è possibile utilizzare provider di supporto per la sicurezza (SSP) di terze parti perché sono vulnerabili agli attacchi di furto di credenziali. Gli endpoint Wi-Fi e VPN basati su MS-CHAPv2 sono ugualmente vulnerabili e verranno disabilitati quando abiliti Credentials Guard.

Se hai bisogno di alcune delle funzionalità sopra menzionate, puoi disabilitare Credential Guard per tutto il tempo necessario. Ma assicurati di impostare un promemoria per riattivarlo.

Disabilitazione con l’editor dei criteri di gruppo

La tua prima opzione è disabilitare Credential Guard modificando le impostazioni dei Criteri di gruppo.

Per fare ciò, premi Start e digita “gpedit”, quindi seleziona Modifica criteri di gruppo . Vai a Configurazione computer > Modelli amministrativi > Sistema > Protezione dispositivo > Attiva sicurezza basata sulla virtualizzazione > Opzioni . Impostare “Credential Guard Configuration” su Disabled , fare clic su OK per salvare la modifica e quindi riavviare il computer.

Disabilitare con Regedit

Questa opzione è ottima se hai abilitato Defender Credential Guard utilizzando un metodo diverso da UEFI Lock e Group Policy. Per disabilitare Credential Guard con Regedit, premi Start e digita “regedit”. Seleziona Editor del Registro di sistema . Innanzitutto, vai al percorso del file HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags e imposta il valore su “0”.

Successivamente, torna a HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags e imposta il valore su “0”.

Puoi anche seguire le istruzioni di Microsoft per disabilitare Credential Guard con il blocco UEFI o disabilitare la funzionalità di sicurezza su una macchina virtuale.

L’abilitazione di Credential Guard è solo una prevenzione

La regola pratica è installare una recinzione intorno al tuo giardino prima di piantare, soprattutto se vivi in ​​​​una zona con bestiame in libertà. Quel recinto sarebbe inutile se hai già delle capre nella tua proprietà, nel qual caso dovresti cacciarle.

Lo stesso principio si applica alla salvaguardia dei tuoi dati di accesso sensibili. Se abilitato, Credential Guard impedisce agli hacker di rubare i tuoi dati. Tuttavia, sarebbe inefficace se l’attaccante si è già stabilito nella tua rete o ha compromesso il dispositivo. Pertanto, se decidi di utilizzare questa funzionalità di sicurezza su un nuovo computer di lavoro, assicurati che sia abilitata prima che il computer si unisca al dominio o al gruppo di lavoro di Windows.