Credential Guard Yapılandırılması yazımızda sizlere Credential guard ne olduğundan ve ne tür ataklardan bizleri korumaktadır. Bunların hepsini sizlere detaylı olarak anlatacağım. Öncellikle yazımızda GPO ile dağıtımını yapacağım. Sizler isterseniz Windows makine üzerinde manuel olarak set edebilirsiniz.
Credential Guard kimlik bilgilerini yalnızca ayrıcalıkla sistem yazılımının erişebileceği şekilde yalıtmak için sanallaştırma tabanlı güvenlik kurar. Windows önceki sürümleri bu kimlik bilgilerini LSA saklıyordu. Credential guard aktif edildiğinde LSA prosesini sanallaştırma içinde güvenli olarak saklamaktadır. LSA ile sadece kernel iletişim kurabilmektedir. Bu sebepten dolayı kimlik hırsızlığını engellemenin yollarından biridir.
Öncellikle Credential Guard etkinleştirmemiş cihazda bazı testler yapalım.
Mimikatz ile kimliklere bir bakalım.
![Credential Guard against mimikatz](https://koraycankaraduman.com/wp-content/uploads/2023/06/creg1.jpg)
Bir tane kullanıcı yakaladık. NTLM Hash değerine sahip bu hash değeriyle neler yapabileceğiniz zaten biliyoruz.
![Credential Guard PTH](https://koraycankaraduman.com/wp-content/uploads/2023/06/creg2.jpg)
Sıra Geldi Credential Guard denemeye, GPO ile oluşturmadan önce Makinelerde Secure Boot ve Virtualization Technology özelliklerinin Enabled duruma gelmiş olması gerekmektedir. Aşağıdaki GPO da enable with UEFI lock ile VSM ayarlarının uzaktan erişimine kapamış olmaktayız. Eğer bu ayarı değiştirmek istersek fiziksel müdahale gerekmektedir. Credential guard enable edildiğinde unconstrained Kerberos Delegation ve Des şifrelemesine izin vermez.
Computer Configuration > Policies> Administrative Templates > System > Device Guard--- Turn On Virtualization Based Security=Enabled
![Credential Guard Yapılandırılması GPO](https://koraycankaraduman.com/wp-content/uploads/2023/06/creg6-1024x628.jpg)
Aşağıda görüldüğü gibi LSASS ve LSAlso çalışması görülmektedir.
![Credential Guard Yapılandırılması](https://koraycankaraduman.com/wp-content/uploads/2023/06/credguard.png)
Gpupdate ve restart ettikten sonra Makinemiz Policy aldı , msinfo32 (System Information) bakıldığında Virtualization-based Security running olarak görmekteyiz. Credential Guard devrede
![Credential Guard Yapılandırılması VSM](https://koraycankaraduman.com/wp-content/uploads/2023/06/creg7-1024x722.jpg)
En son olarak LSALSO.exe Credential Guard aittir. Kontrol edebilirsiniz.
![Credential Guard lsalso](https://koraycankaraduman.com/wp-content/uploads/2023/06/creg9.jpg)
Şimdi mimikatz ile yeniden logon password kontrollerini yapıyorum.
![Credential Guard Yapılandırılması Protect](https://koraycankaraduman.com/wp-content/uploads/2023/06/creg8.jpg)
Sonuç olarak Credential Guard yapılandırılması ile , memory üzerinde bulunan kimlik bilgilerini korumak için kullanılan yöntemlerden biridir. Ayrıca bizlere Kerberos , NTLM ve Credential Manager şifreleri için sanallaştırılmış güvenli bir alan alarak korumuş olduk. Diğer yazılarımızı aşağıdaki kategorilerden kontrol edebilirsiniz.