विंडोज क्रेडेंशियल गार्ड एक सुरक्षा सुविधा है जो दुर्भावनापूर्ण हमलों के खिलाफ प्रमाणीकरण क्रेडेंशियल्स को सुरक्षित करती है। यह हैकर्स को सिस्टम टूल्स के साथ छेड़छाड़ करने या आपके कंप्यूटर पर दुर्भावनापूर्ण कोड चलाने से रोकता है। यह सुविधा विंडोज 10 और विंडोज 11 के एंटरप्राइज और प्रो फ्लेवर पर उपलब्ध है। यदि आप Windows डोमेन या वर्कग्रुप पर स्थानीय रूप से या दूरस्थ रूप से संवेदनशील डेटा को संभालते या एक्सेस करते हैं, तो आपको क्रेडेंशियल गार्ड को सक्षम करने पर विचार करना चाहिए।
क्रेडेंशियल गार्ड वास्तव में क्या है?
जब आप अपना कंप्यूटर शुरू करते हैं, तो स्थानीय सुरक्षा प्राधिकरण सर्वर सेवा (एलएसएएसएस) नामक एक प्रक्रिया लॉगिन प्रमाणिकता प्रमाणित करती है और आपको पहुंच प्रदान करती है। LSASS इन क्रेडेंशियल्स को भी स्टोर करता है (एन्क्रिप्टेड पासवर्ड, NT हैश, LM हैश और करबरोस टिकट) सक्रिय सत्रों के दौरान मेमोरी में, इसलिए आपको हर बार परिवर्तन करने या फ़ाइलों तक पहुँचने के लिए अपना पासवर्ड दोबारा दर्ज करने की आवश्यकता नहीं है।
सत्रों के दौरान मेमोरी में क्रेडेंशियल्स को सहेजना विकल्प की तुलना में आसान है: हर कदम पर मैन्युअल पहचान प्रमाणीकरण। दी गई, प्रमाणीकरण प्रमाण-पत्र दर्ज करने से सुरक्षा में सुधार होता है। लेकिन प्रमाणीकरण क्रेडेंशियल्स लंबे हैं, विशेष रूप से उनके हैशेड रूपों में। यह विशेष रूप से असुविधाजनक होगा यदि आपको जल्दी से बदलाव करना पड़े और विशेष रूप से निराशा होती है यदि आपने कोई गलती की है और पासवर्ड पुनः दर्ज करना पड़ा है। और अगर आपको कहीं पासवर्ड लिखना है, तो यह संभावित रूप से आपके सुरक्षा जोखिम को बढ़ा सकता है। एलएसएएसएस प्रमाणीकरण को संभालता है, इसलिए आपका डिवाइस उपयोग कुशल है।
लेकिन जैसा कि आप कल्पना कर सकते हैं, मूल्यवान, संवेदनशील डेटा संग्रहीत करने वाली किसी भी चीज़ के साथ, LSASS हैकर्स के लिए एक जैकपॉट है। वे LSASS के माध्यम से समझौता कर सकते हैं क्रेडेंशियल चोरी के हमले Mimikatz, Crackmapexec, और Lsassy जैसे टूल का उपयोग करना। हैकर्स वास्तविक सिस्टम फ़ाइल (lsass.exe) को हटाने, बदलने या बदलने के लिए इन उपकरणों का उपयोग करते हैं।
इससे पहले कि कोई हैकर भारी नुकसान करे, क्रेडेंशियल चोरी को रोकने के तरीके हैं, और एक बार जब आप इसे खोज लेते हैं तो किसी हमले को रोकना संभव है। हालांकि, हमले को पहले स्थान पर रोकना बेहतर है। क्रेडेंशियल गार्ड एक पृथक LSASS प्रक्रिया (LSAIso) बनाकर दुर्भावनापूर्ण हमलों से बचाता है जो प्रमाणीकरण डेटा को सुरक्षित रूप से संग्रहीत करता है।
आपको अपने पीसी पर क्रेडेंशियल गार्ड को क्यों सक्षम करना चाहिए
सुरक्षा सुविधा सिस्टम की बाकी मेमोरी के साथ-साथ प्रमाणीकरण को संभालने वाली मुख्य प्रक्रिया (lsass.exe) से लॉगिन क्रेडेंशियल्स को अलग करती है। तो, यह अनिवार्य रूप से एक ब्लैक बॉक्स है।
यदि आपके पास कई कंप्यूटर हैं जो एक डोमेन या कार्यसमूह का हिस्सा हैं, तो आपको क्रेडेंशियल गार्ड का उपयोग करना चाहिए। क्यों? एक हमलावर जो व्यवस्थापक लॉगिन प्रमाण-पत्र वाले डिवाइस से समझौता करता है, वह पूरे नेटवर्क से समझौता कर सकता है। इस सुविधा को प्रभावी ढंग से सक्षम करने से एक हमलावर को संवेदनशील जानकारी का पूर्ण नियंत्रण प्राप्त करने से रोकता है यदि वे किसी सिस्टम से समझौता करते हैं।
आपके सिस्टम को आवश्यकताओं को पूरा करना चाहिए
विंडोज क्रेडेंशियल गार्ड विंडोज 10 और 11 के एंटरप्राइज और प्रो फ्लेवर के लिए विशिष्ट है। विंडोज सर्वर के हाल के संस्करणों में भी यह सुरक्षा सुविधा है, लेकिन डिवाइस को सख्त हार्डवेयर और सॉफ्टवेयर आवश्यकताओं को पूरा करना होगा।
शुरुआत करने वालों के लिए, डिवाइस में 64-बिट सीपीयू (वर्चुअलाइजेशन-आधारित सुरक्षा का समर्थन करने के लिए) और सुरक्षित बूट होना चाहिए। Microsoft भी रखने की सलाह देता है विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (TPM) संस्करण 1.2 या 2.0 और UEFI लॉक (हमलावरों को regedit के साथ सुरक्षा सेटअप को बायपास करने से रोकने के लिए)। आप चेक कर सकते हैं आधारभूत आवश्यकताएं उस कंप्यूटर या सर्वर के आधार पर जिसे आप सुरक्षित करना चाहते हैं।
विंडोज पर क्रेडेंशियल गार्ड को कैसे इनेबल करें
यदि आपका कंप्यूटर या सर्वर Microsoft की आधारभूत आवश्यकताओं को पूरा करता है, तो उसके पास डिफ़ॉल्ट रूप से क्रेडेंशियल गार्ड सक्षम होगा। यह जांचने के लिए कि क्या यह सुरक्षा सुविधा पहले से सक्षम है, दबाएं शुरू फिर "msinfo32.exe" टाइप करें। चुनना सिस्टम सूचना> सिस्टम सारांश. आपको एक दूसरे के बगल में "वर्चुअलाइजेशन-आधारित सुरक्षा सेवाएँ चल रही हैं" और "क्रेडेंशियल गार्ड, हाइपरवाइज़र लागू कोड इंटीग्रिटी" देखना चाहिए।
यदि क्रेडेंशियल गार्ड आपके कंप्यूटर पर सक्षम नहीं है, तो आप सुविधा को तीन मुख्य तरीकों से सक्षम कर सकते हैं: समूह नीति के माध्यम से, Windows रजिस्ट्री का संपादन, या Microsoft Intune का उपयोग करना। यदि आप पावर उपयोगकर्ता हैं तो UEFI लॉक के साथ क्रेडेंशियल गार्ड को सक्षम करने का विकल्प भी है। अधिकांश व्यवस्थापक समूह नीति के साथ इस सुविधा को सक्षम करना आसान पाएंगे।
विंडोज पर क्रेडेंशियल गार्ड को डिसेबल कैसे करें
क्रेडेंशियल चोरी को रोकने और हैश हमलों को पास करने में इसकी उपयोगिता के बावजूद, क्रेडेंशियल गार्ड कुछ सेवाओं और प्रोटोकॉल को तोड़ने का कारण बनेगा। उदाहरण के लिए, सुरक्षा सुविधा को सक्षम करना आपको Windows To Go, Kerberos unconstrained डेलिगेशन, और DES एन्क्रिप्शन का उपयोग करने से रोकता है।
साथ ही, आप तृतीय-पक्ष सुरक्षा सहायता प्रदाता (एसएसपी) का उपयोग नहीं कर सकते क्योंकि वे क्रेडेंशियल चोरी करने वाले हमलों के लिए असुरक्षित हैं। MS-CHAPv2 पर आधारित वाई-फाई और वीपीएन एंडपॉइंट समान रूप से असुरक्षित हैं और जब आप क्रेडेंशियल गार्ड को सक्षम करते हैं तो वे अक्षम हो जाएंगे।
यदि आपको उपरोक्त सुविधाओं में से कुछ की आवश्यकता है, तो आप क्रेडेंशियल गार्ड को कितने समय के लिए अक्षम कर सकते हैं। लेकिन इसे फिर से सक्षम करने के लिए एक रिमाइंडर सेट करना सुनिश्चित करें।
समूह नीति संपादक के साथ अक्षम करना
आपका पहला विकल्प ग्रुप पॉलिसी सेटिंग्स को बदलकर क्रेडेंशियल गार्ड को अक्षम करना है।
ऐसा करने के लिए, दबाएँ शुरू और “gpedit” टाइप करें, फिर सेलेक्ट करें समूह नीति संपादित करें. के लिए जाओ कंप्यूटर कॉन्फ़िगरेशन > व्यवस्थापकीय टेम्पलेट > सिस्टम > डिवाइस गार्ड > वर्चुअलाइज़ेशन आधारित सुरक्षा चालू करें > विकल्प. "क्रेडेंशियल गार्ड कॉन्फ़िगरेशन" को सेट करें अक्षम, क्लिक करें ठीक परिवर्तन को सहेजने के लिए और फिर अपने कंप्यूटर को पुनरारंभ करें।
Regedit के साथ अक्षम करना
यह विकल्प बहुत अच्छा है यदि आपने डिफेंडर क्रेडेंशियल गार्ड को यूईएफआई लॉक और ग्रुप पॉलिसी से अलग विधि का उपयोग करके सक्षम किया है। क्रेडेंशियल गार्ड को Regedit के साथ अक्षम करने के लिए, दबाएँ शुरू और "regedit" टाइप करें। चुनना रजिस्ट्री संपादक. सबसे पहले, फ़ाइल पथ HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags पर नेविगेट करें और मान को "0" पर सेट करें।
इसके बाद, HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags पर वापस नेविगेट करें और मान को "0" पर सेट करें।
आप भी अनुसरण कर सकते हैं माइक्रोसॉफ्ट के निर्देश यूईएफआई लॉक के साथ क्रेडेंशियल गार्ड को अक्षम करने या वर्चुअल मशीन पर सुरक्षा सुविधा को अक्षम करने के लिए।
क्रेडेंशियल गार्ड को सक्षम करना केवल एक रोकथाम है
अंगूठे का नियम रोपण से पहले अपने बगीचे के चारों ओर एक बाड़ स्थापित करना है, खासकर यदि आप खुले घूमने वाले पशुओं के क्षेत्र में रहते हैं। यदि आपके पास पहले से ही आपकी संपत्ति पर बकरियां हैं तो यह बाड़ बेकार होगी - इस मामले में, आपको उनका पीछा करना होगा।
आपके संवेदनशील लॉगिन डेटा की सुरक्षा के लिए भी यही सिद्धांत लागू होता है। सक्षम होने पर, क्रेडेंशियल गार्ड हैकर्स को आपका डेटा चोरी करने से रोकता है। हालांकि, यह अप्रभावी होगा यदि हमलावर ने पहले ही खुद को आपके नेटवर्क में स्थापित कर लिया है या डिवाइस से समझौता कर लिया है। इसलिए, यदि आप किसी नए कार्य कंप्यूटर पर इस सुरक्षा सुविधा का उपयोग करने का निर्णय लेते हैं, तो सुनिश्चित करें कि यह कंप्यूटर के Windows डोमेन या कार्यसमूह में शामिल होने से पहले सक्षम है।