Windows Üzerinde Device Guard ve Credential Guard Yapılandırma

Antivirüs çözümleri gibi geleneksel yöntemler yeni saldırı yöntemlerine karşı yetersiz bir savunma sağlar. Device Guard ve Credential Guard sistemleri kötü amaçlı yazılımlara karşı korumak için geliştirilen yeni savunma yöntemlerinden biridir. Yaptıkları iş birbirlerinden farklıdır fakat aynı process içerisinde etkinleştirilirler. Yani Device Guard etkinleştirildiğinde Credential Guard’da etkinleştirmiş olacaktır. Device Guard ve Credential Guard özelliği Windows 10 Enterprise versiyonunda yer almaktadır.

Credential Guard

Sisteme login olurken kullandığımız şifreler oturum esnasında bellekte tutulur. Hatta bilgisayarımızı yeniden başlattığımızda bile bilgisayarımıza daha önce login olmuş kullanıcılarının şifrelerine erişilebilir. Pass-The-Hash ve Pass-The-Ticket gibi kimlik hırsızlığı saldırılarıyla şifrelerimiz istenmeyen kişilerin eline geçebilir.

Credential guard ile NTLM password hash’lerini, crendential manager kayıtlarını, kerberos granting ticket’larımızı koruma altına almış oluruz.

Group Policy Kullanarak Credential Guard’ı Etkinleştirmek

Makinalarda Credential Guard korumasını devreye alabilmemiz için, BIOS üzerinden “Secure Boot” ve “Virtualization Technology” özelliklerinin enabled duruma getirilmiş olması gerekmektedir.

 GPO üzerinden yapacağım politika ile, Hyper-V ve “virtualization-based” özelliği otomatik olarak yüklenecektir. Group Policy Management ekranı üzerinden politikayı uygulayacağımız OU’nun üzerine geldikten sonra, yeni bir politika oluşturuyoruz ve edit diyerek aşağıdaki işlemleri gerçekleştiriyoruz.

  1. Group Policy Management Console üzerinden Computer Configuration/ Administrative Templates/System/Device Guard içerisine girilir.
  2. Turn On Virtualization Based Security üzerine çift tıklanır.
  3. Select Platform Security Level kutusu içinden Secure Boot seçilir.
  4. Virtualization Based Protection of Code Integrity kutusu içinden Enabled with UEFI lock seçilir.
  5. Credential Guard Configuration kutusu içinden Enabled with UEFI lock seçilir.
  6. Group Policy Management konsolunu kapatılır.
  7. Politikayı almasını istediğimiz makine üzerinde Gpupdate /force komutu çalıştırılır.

Aktif edip güvenlik ayarlarını aşağıdaki şekilde yapıyoruz.

Enable with UEFI lock seçeneği ile VSM ayarlarının uzaktan yapılmasını devre dışı bırakmış olduk. Eğer bu ayarı geri çekmek istiyorsak bilgisayarlara tek tek fiziksel erişim gerekmektedir.

Enable without lock ise uzak erişimi müsaade eder. Devre dışı bırakmak istersek eğer gene grup ilkelerini kullanabiliriz.

Credential Guard’ı Local Group Policy ile Etkinleştirmek

Eğer Group Policy kullanmazsak, Credential Guard’ı Local Group Policy üzerinden de etkinleştirebiliriz. Bu yöntem Hyper-V özelliğini yüklemez. İlk olarak bilgisayarımızda “Secure Boot” ve “Virtualization Technology” özelliğini açmamız gerekmektedir.

Bilgisayarımızda bu özellikleri açtıktan sonra, Control Panel/Programs and Features/Turn Windows features on or off seçeneğine gelerek Hyper-V özelliğini aktif hale getiriyoruz. Bu işlemden sonra bilgisayarımızı restart ediyoruz.

Bilgisayarımız açıldıktan sonra start menüsünden run’ı açıyor ve gelen ekrana gpedit.msc yazarak, Local Group Policy Editor ekranına ulaşıyoruz. Bu ekran üzerinden Computer Configuration/Administrative Templates/System/Device Guard üzerine gelerek, Turn on Virtualization Based Security seçeneğini Enabled, duruma getiriyor ve aşağıdaki şekilde ayarlamalarımızı yaparak, bilgisayarımızda bu özelliği aktif hale getirmiş oluyoruz.

Şimdi bilgisayarımızda bu özelliğin aktif olup olmadığını, çalışıp çalışmadığını anlamak için, yine start menüsü üzerinden run’a gelerek msinfo32.exe yazıyoruz, açılan System Information ekranında Virtualization-based security’nin Running durumda olduğunu ve Virtualization-based security ile ilgili diğer ayarlarında aktif olduğunu görüyoruz.

Bilgisayarlarımızda başarılı bir şekilde bu özelliği devreye almış olduk.