Credential Guard Yapılandırılması yazımızda sizlere Credential guard ne olduğundan ve ne tür ataklardan bizleri korumaktadır. Bunların hepsini sizlere detaylı olarak anlatacağım. Öncellikle yazımızda GPO ile dağıtımını yapacağım. Sizler isterseniz Windows makine üzerinde manuel olarak set edebilirsiniz.
Credential Guard kimlik bilgilerini yalnızca ayrıcalıkla sistem yazılımının erişebileceği şekilde yalıtmak için sanallaştırma tabanlı güvenlik kurar. Windows önceki sürümleri bu kimlik bilgilerini LSA saklıyordu. Credential guard aktif edildiğinde LSA prosesini sanallaştırma içinde güvenli olarak saklamaktadır. LSA ile sadece kernel iletişim kurabilmektedir. Bu sebepten dolayı kimlik hırsızlığını engellemenin yollarından biridir.
Öncellikle Credential Guard etkinleştirmemiş cihazda bazı testler yapalım.
Mimikatz ile kimliklere bir bakalım.
Bir tane kullanıcı yakaladık. NTLM Hash değerine sahip bu hash değeriyle neler yapabileceğiniz zaten biliyoruz.
Sıra Geldi Credential Guard denemeye, GPO ile oluşturmadan önce Makinelerde Secure Boot ve Virtualization Technology özelliklerinin Enabled duruma gelmiş olması gerekmektedir. Aşağıdaki GPO da enable with UEFI lock ile VSM ayarlarının uzaktan erişimine kapamış olmaktayız. Eğer bu ayarı değiştirmek istersek fiziksel müdahale gerekmektedir. Credential guard enable edildiğinde unconstrained Kerberos Delegation ve Des şifrelemesine izin vermez.
Computer Configuration > Policies> Administrative Templates > System > Device Guard--- Turn On Virtualization Based Security=Enabled
Aşağıda görüldüğü gibi LSASS ve LSAlso çalışması görülmektedir.
Gpupdate ve restart ettikten sonra Makinemiz Policy aldı , msinfo32 (System Information) bakıldığında Virtualization-based Security running olarak görmekteyiz. Credential Guard devrede
En son olarak LSALSO.exe Credential Guard aittir. Kontrol edebilirsiniz.
Şimdi mimikatz ile yeniden logon password kontrollerini yapıyorum.
Sonuç olarak Credential Guard yapılandırılması ile , memory üzerinde bulunan kimlik bilgilerini korumak için kullanılan yöntemlerden biridir. Ayrıca bizlere Kerberos , NTLM ve Credential Manager şifreleri için sanallaştırılmış güvenli bir alan alarak korumuş olduk. Diğer yazılarımızı aşağıdaki kategorilerden kontrol edebilirsiniz.