Windows Credential Guard est une fonctionnalité de sécurité qui sécurise les informations d'authentification contre les attaques malveillantes. Il empêche les pirates de falsifier les outils système ou d'exécuter des codes malveillants sur votre ordinateur. Cette fonctionnalité est disponible sur les versions Enterprise et Pro de Windows 10 et Windows 11. Vous devriez envisager d'activer Credential Guard si vous gérez ou accédez à des données sensibles localement ou à distance sur un domaine ou un groupe de travail Windows.
Qu'est-ce que Credential Guard exactement ?
Lorsque vous démarrez votre ordinateur, un processus appelé Local Security Authority Server Service (LSASS) authentifie les identifiants de connexion et vous accorde l'accès. LSASS stocke également ces informations d'identification (mots de passe cryptés
, hachages NT, hachages LM et tickets Kerberos) en mémoire pendant les sessions actives, de sorte que vous n'ayez pas à ressaisir votre mot de passe chaque fois que vous devez apporter des modifications ou accéder à des fichiers.L'enregistrement des informations d'identification en mémoire pendant les sessions est pratique par rapport à l'alternative: l'authentification manuelle de l'identité à chaque étape. Certes, la saisie des identifiants d'authentification de temps en temps améliore la sécurité. Mais les identifiants d'authentification sont longs, en particulier sous leurs formes hachées. Ce serait particulièrement gênant si vous deviez faire un changement rapidement et particulièrement frustrant si vous faisiez une erreur et deviez ressaisir un mot de passe. Et si vous devez écrire le mot de passe quelque part, cela pourrait potentiellement augmenter votre risque de sécurité. LSASS gère les authentifications, de sorte que l'utilisation de votre appareil est efficace.
Mais comme vous pouvez l'imaginer, avec tout ce qui stocke des données précieuses et sensibles, LSASS est un jackpot pour les pirates. Ils peuvent compromettre LSASS via attaques de vol d'informations d'identification en utilisant des outils comme Mimikatz, Crackmapexec et Lsassy. Les pirates utilisent ces outils pour supprimer, remplacer ou modifier le fichier système réel (lsass.exe).
Il existe des moyens d'arrêter le vol d'informations d'identification avant qu'un pirate ne fasse d'immenses dégâts, et il est possible d'arrêter une attaque une fois que vous l'avez découverte. Cependant, il est préférable d'empêcher l'attaque en premier lieu. Credential Guard protège contre les attaques malveillantes en créant un processus LSASS isolé (LSAIso) qui stocke les données d'authentification en toute sécurité.
Pourquoi vous devriez activer Credential Guard sur votre PC
La fonction de sécurité isole les identifiants de connexion du reste de la mémoire du système ainsi que du processus principal (lsass.exe) qui gère l'authentification. Donc, c'est essentiellement une boîte noire.
Vous devez utiliser Credential Guard si plusieurs ordinateurs font partie d'un domaine ou d'un groupe de travail. Pourquoi? Un attaquant qui compromet un appareil avec des identifiants de connexion administrateur peut compromettre l'ensemble du réseau. L'activation de cette fonctionnalité empêche efficacement un attaquant d'obtenir le contrôle total des informations sensibles s'il compromet un système.
Votre système doit répondre aux exigences
Windows Credential Guard est exclusif aux versions Enterprise et Pro de Windows 10 et 11. Les versions récentes des serveurs Windows disposent également de cette fonctionnalité de sécurité, mais l'appareil doit répondre à des exigences matérielles et logicielles strictes.
Pour commencer, l'appareil doit disposer d'un processeur 64 bits (pour prendre en charge la sécurité basée sur la virtualisation) et d'un démarrage sécurisé. Microsoft recommande également d'avoir Module de plate-forme de confiance (TPM) versions 1.2 ou 2.0 et verrouillage UEFI (pour empêcher les attaquants de contourner la configuration de sécurité avec regedit). Vous pouvez vérifier le exigences de base en fonction de l'ordinateur ou du serveur que vous souhaitez protéger.
Comment activer Credential Guard sous Windows
Votre ordinateur ou votre serveur aura Credential Guard activé par défaut s'il répond aux exigences de base de Microsoft. Pour vérifier si cette fonction de sécurité est déjà activée, appuyez sur Commencer puis tapez "msinfo32.exe". Sélectionner Informations système > Résumé du système. Vous devriez voir « Services de sécurité basés sur la virtualisation en cours d'exécution » et « Credential Guard, intégrité du code appliquée par l'hyperviseur » l'un à côté de l'autre.
Si Credential Guard n'est pas activé sur votre ordinateur, vous pouvez activer la fonctionnalité de trois manières principales: via la stratégie de groupe, la modification du registre Windows ou l'utilisation de Microsoft Intune. Il existe également la possibilité d'activer Credential Guard avec le verrouillage UEFI si vous êtes un utilisateur expérimenté. La plupart des administrateurs trouveront plus facile d'activer cette fonctionnalité avec la stratégie de groupe.
Comment désactiver Credential Guard sous Windows
Malgré son utilité pour empêcher le vol d'informations d'identification et les attaques Pass the Hash, Credential Guard entraînera la rupture de certains services et protocoles. Par exemple, l'activation de la fonctionnalité de sécurité vous empêche d'utiliser Windows To Go, la délégation sans contrainte Kerberos et le chiffrement DES.
En outre, vous ne pouvez pas utiliser de fournisseurs de support de sécurité (SSP) tiers, car ils sont vulnérables aux attaques de vol d'informations d'identification. Les points de terminaison Wi-Fi et VPN basés sur MS-CHAPv2 sont également vulnérables et seront désactivés lorsque vous activez Credentials Guard.
Si vous avez besoin de certaines des fonctionnalités susmentionnées, vous pouvez désactiver Credential Guard aussi longtemps que nécessaire. Mais assurez-vous de définir un rappel pour le réactiver.
Désactivation avec l'éditeur de stratégie de groupe
Votre première option consiste à désactiver Credential Guard en modifiant les paramètres de stratégie de groupe.
Pour ce faire, appuyez sur Commencer et tapez "gpedit", puis sélectionnez Modifier la stratégie de groupe. Aller à Configuration ordinateur > Modèles d'administration > Système > Device Guard > Activer la sécurité basée sur la virtualisation > Options. Définissez "Configuration Credential Guard" sur Désactivé, Cliquez sur D'ACCORD pour enregistrer la modification, puis redémarrez votre ordinateur.
Désactiver avec Regedit
Cette option est idéale si vous avez activé Defender Credential Guard en utilisant une méthode différente du verrouillage UEFI et de la stratégie de groupe. Pour désactiver Credential Guard avec Regedit, appuyez sur Commencer et tapez "regedit". Sélectionner Éditeur de registre. Tout d'abord, accédez au chemin de fichier HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags et définissez la valeur sur "0".
Ensuite, revenez à HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags et définissez la valeur sur "0".
Vous pouvez également suivre Instructions de Microsoft pour désactiver Credential Guard avec verrouillage UEFI ou désactiver la fonction de sécurité sur une machine virtuelle.
L'activation de Credential Guard n'est qu'une prévention
La règle d'or consiste à installer une clôture autour de votre jardin avant de planter, surtout si vous vivez dans une zone où le bétail est en liberté. Cette clôture serait inutile si vous avez déjà des chèvres sur votre propriété, auquel cas vous devrez les chasser.
Le même principe s'applique à la sauvegarde de vos données de connexion sensibles. Lorsqu'il est activé, Credential Guard empêche les pirates de voler vos données. Cependant, il serait inefficace si l'attaquant s'est déjà établi dans votre réseau ou a compromis l'appareil. Ainsi, si vous décidez d'utiliser cette fonctionnalité de sécurité sur un nouvel ordinateur de travail, assurez-vous qu'elle est activée avant que l'ordinateur ne rejoigne le domaine ou le groupe de travail Windows.
