Windows 11/10 a introduit plusieurs nouvelles fonctionnalités de sécurité. Une nouvelle fonctionnalité de sécurité qui a été ajoutée est appelée Credential Guard, qui aide à protéger les informations d’identification de domaine dérivées.
Credential Guard dans Windows 11/10
Credential Guard est l’une des principales fonctionnalités de sécurité disponibles avec Windows 11/10. Il permet une protection contre le piratage des informations d’identification de domaine, empêchant ainsi les pirates de prendre le contrôle des réseaux d’entreprise. Outre des fonctionnalités telles que Device Guard et Secure Boot, Windows 11/10 est plus sécurisé que tous les systèmes d’exploitation Windows précédents.
Qu’est-ce que la fonctionnalité Credential Guard dans Windows 11/0
Comme son nom l’indique, cette fonctionnalité de Windows 11/10 protège les informations d’identification dans et entre les domaines d’utilisateurs d’un réseau. Alors que les systèmes d’exploitation précédents de Microsoft stockaient l’ID et le mot de passe des comptes d’utilisateurs dans la RAM locale, Credential Guard crée un conteneur virtuel et stocke tous les secrets de domaine dans ce conteneur virtuel auxquels le système d’exploitation ne peut pas accéder directement. Vous n’avez pas besoin de virtualisation externe. La fonctionnalité utilise Hyper-V que vous pouvez configurer dans l’applet Programmes et fonctionnalités du Panneau de configuration.
Lorsque les pirates ont compromis un système d’exploitation Windows plus tôt, ils pouvaient accéder au hachage utilisé pour chiffrer les informations d’identification de l’utilisateur, car il serait stocké dans la RAM locale, sans beaucoup de protection. Avec Credential Manager, les informations d’identification sont stockées dans un conteneur virtuel de sorte que même si les pirates compromettent le système, ils ne peuvent pas accéder au hachage. De cette façon, ils ne peuvent pas pénétrer dans les ordinateurs du réseau.
En bref, la fonctionnalité Credential Guard de Windows 11/10 augmente la sécurité des informations d’identification de domaine et des hachages associés de sorte qu’il devient presque impossible pour les pirates d’accéder au secret et de l’appliquer à d’autres ordinateurs. Ainsi toute possibilité d’attaque est arrêtée à l’entrée seulement. Je ne dirai pas que Credential Guard est incassable, mais il augmente certainement le niveau de sécurité afin que votre ordinateur et le réseau soient en sécurité.
Contre les Credential Guards dans les versions précédentes de Windows, celui de Windows 11/10 interdit plusieurs protocoles qui peuvent permettre aux pirates d’atteindre le conteneur virtuel où les informations d’identification hachées sont stockées. Cependant, la fonctionnalité n’est pas disponible pour tous les ordinateurs.
Lire: Remote Credential Guard protège les informations d’identification du bureau à distance.
Configuration système requise pour Credential Guard
Il y a quelques limitations, surtout si vous utilisez des ordinateurs portables à petit budget. Même les Ultrabooks qui ne prennent pas en charge Module de plate-forme sécurisée (TPM) ne peut pas exécuter Credential Guard bien que le livre exécute Windows 11/10 Enterprise.
Credential Guard s’exécute uniquement dans l’édition Enterprise de Windows 11/10. Si vous utilisez Pro ou Education, vous ne pourrez pas utiliser cette fonctionnalité.
Votre machine doit être prise en charge du démarrage sécurisé et de la virtualisation 64 bits. Cela laisse tous les ordinateurs 32 bits hors de portée de cette fonctionnalité.
Cela ne signifie pas que vous devez mettre à niveau tous vos ordinateurs en même temps. Vous pouvez utiliser tous les ordinateurs qui répondent aux exigences après avoir créé un sous-domaine et placé des ordinateurs incompatibles dans le sous-domaine. Lorsque vous configurez les domaines supérieurs avec Credential Guard et que les ordinateurs incompatibles se trouvent dans un sous-domaine inférieur, la sécurité sera toujours suffisante pour contrecarrer les tentatives de piratage des informations d’identification.
Limites de Credential Guard
Bien que certaines exigences matérielles existent pour Credential Guard dans Windows 11/10 Enterprise Edition, tout n’est pas censé être protégé par la fonctionnalité. Vous ne devez pas attendre ce qui suit de Credential Guard :
- Protection des comptes locaux et Microsoft
- Protection des identifiants gérée par un logiciel tiers
- Protection contre les enregistreurs de frappe.
Credential Guard offrira une protection contre les tentatives de piratage directes et les logiciels malveillants recherchant des informations d’identification. Si les informations d’identification sont déjà volées avant que vous ne puissiez implémenter Credential Guard, cela n’empêchera pas les pirates d’utiliser la clé de hachage sur d’autres ordinateurs du même domaine.
Pour plus d’informations et pour les scripts permettant de gérer la fonctionnalité Credential Guard dans Windows 11/10, veuillez visiter Tech Net.
Demain, nous verrons comment activer Credential Guard en utilisant la stratégie de groupe.
Dois-je activer Credential Guard ?
La protection des informations d’identification garantit que les secrets du domaine ne sont pas compromis. S’il est déjà compromis, Windows Defender Credential Guard ne pourra pas sécuriser l’appareil ou l’identité. Par conséquent, non seulement il est recommandé de l’activer, mais cela doit être fait avant que l’appareil ne rejoigne le domaine.
