Antivirüs çözümleri gibi geleneksel yöntemler yeni saldırı yöntemlerine karşı yetersiz bir savunma sağlar. Device Guard ve Credential Guard sistemleri kötü amaçlı yazılımlara karşı korumak için geliştirilen yeni savunma yöntemlerinden biridir. Yaptıkları iş birbirlerinden farklıdır fakat aynı process içerisinde etkinleştirilirler. Yani Device Guard etkinleştirildiğinde Credential Guard’da etkinleştirmiş olacaktır. Device Guard ve Credential Guard özelliği Windows 10 Enterprise versiyonunda yer almaktadır.

Credential Guard

Sisteme login olurken kullandığımız şifreler oturum esnasında bellekte tutulur. Hatta bilgisayarımızı yeniden başlattığımızda bile bilgisayarımıza daha önce login olmuş kullanıcılarının şifrelerine erişilebilir. Pass-The-Hash ve Pass-The-Ticket gibi kimlik hırsızlığı saldırılarıyla şifrelerimiz istenmeyen kişilerin eline geçebilir.

Credential guard ile NTLM password hash’lerini, crendential manager kayıtlarını, kerberos granting ticket’larımızı koruma altına almış oluruz.

Credential Guard Nasıl Çalışır?

Oturum şifreleri, Local Security Authority (LSA) içerisinde saklanır. LSA, Windows’un önceki sürümlerinde fiziksel olarak bellekte tutulur ve yukarıda bahsettiğimiz kimlik hırsızlığı saldırılarıyla okunabilir.

Windows 10 Credendial Guard etkinleştirildiğinde ise LSA bellekte tutulmaz. Hyper-V ile sanallaştırılmış ve izole edilmiş konteynır içerisinde tutulur. Bu konteynıra Virtual Secure Mode (VSM) denir. Sanal konteynır içerisine alınan LSA ile sadece kernel iletişim kurabilir. İletişim sırasında rpc komutları kullanılır. İşletim sisteminin geri kalanı LSA ile iletişim kuramaz. Credantal Guard ile Kerberos, NTLM ve Crenditial Manager şifreleri sanallaştırma tabanlı (hyper-v) güvenlik duvarı oluşturularak korunmuş olur.

VSM içerisinde izole edilmiş LSA, güvenlik nedeniyle herhangi bir aygıt sürücüsü barındırmaz. Bunun yerine dosyaların güvenliğini sağlamak için küçük bir binary set barındırır. Binary set, VSM tarafından güvenilen bir sertifika ile boot işleminden önce onaylanır. Set içerisinde Kernel Mode Code Integrity (KMCI) ve Hyper Code Integrty (HVCI) vardır.

Crendital guard etkinleştirildiğinde LSA’nın kendisinin (LSASS) ve izoleli bir örneğinin (LSAIsor – Isolated LSA) oluşmasına neden olur.

NOT : Biz aşağıda vereceğimiz örnekte tüm özelliklerini kullanacağımız için, en yüksek ve katı şekilde yapılandırdık. Ancak siz aşağıdaki seçeneklerden size en uygun olanı seçerek ilerlemeniz sizin yapınız için daha sağlıklı olacaktır. İlgili alanda seçim yapmadan önce Help kısmından bütün seçeneklerle ilgili geniş kapsamlı bilgilere ulaşabilirsiniz.

Group Policy Kullanarak Credential Guard’ı Etkinleştirmek

Makinalarda Credential Guard korumasını devreye alabilmemiz için, BIOS üzerinden “Secure Boot” ve “Virtualization Technology” özelliklerinin Enabled duruma getirilmiş olması gerekmektedir.

GPO üzerinden yapacağım politika ile, Hyper-V Platform özelliği otomatik olarak yüklenecektir. Group Policy Management ekranı üzerinden politikayı uygulayacağımız OU’nun üzerine geldikten sonra, yeni bir politika oluşturuyoruz ve edit diyerek aşağıdaki işlemleri gerçekleştiriyoruz.

1. Group Policy Management Console üzerinden Computer Configuration/ Administrative Templates/System/Device Guard içerisine girilir.
2. Turn On Virtualization Based Security üzerine çift tıklanarak Enabled yapılır.
3. Select Platform Security Level kutusu içinden Secure Boot and DMA Protection seçilir.
4. Virtualization Based Protection of Code Integrity kutusu içinden Enabled with UEFI lock seçilir.
5. Credential Guard Configuration kutusu içinden Enabled with UEFI lock seçilir.
6. Secure Launch Configuration Enabled seçilir.
7. Group Policy Management konsolunu kapatılır.
8. Politikayı almasını istediğimiz makine üzerinde Gpupdate /force komutu çalıştırılır.

Aktif edip güvenlik ayarlarını aşağıdaki şekilde yapıyoruz.

Enable with UEFI lock seçeneği ile VSM ayarlarının uzaktan yapılmasını devre dışı bırakmış olduk. Eğer bu ayarı geri çekmek istiyorsak bilgisayarlara tek tek fiziksel erişim gerekmektedir.

Enable without lock ise uzak erişimi müsaade eder. Devre dışı bırakmak istersek grup ilkelerini kullanabiliriz.

Credential Guard’ı Local Group Policy ile Etkinleştirmek

Eğer Group Policy kullanmazsak, Credential Guard’ı Local Group Policy üzerinden de etkinleştirebiliriz. Bu yöntem Hyper-V Platform özelliğini yüklemez. İlk olarak bilgisayarımızda “Secure Boot” ve “Virtualization Technology” özelliğini açmamız gerekmektedir.

Bilgisayarımızda bu özellikleri açtıktan sonra, Control Panel/Programs and Features/Turn Windows features on or off seçeneğine gelerek Hyper V/Hyper-V Platform/Hyper-V Hypervisor özelliğini aktif hale getiriyoruz. Bu işlemden sonra bilgisayarımızı restart ediyoruz.

Bilgisayarımız açıldıktan sonra start menüsünden run’ı açıyor ve gelen ekrana gpedit.msc yazarak, Local Group Policy Editor ekranına ulaşıyoruz. Bu ekran üzerinden Computer Configuration/Administrative Templates/System/Device Guard üzerine gelerek, Turn on Virtualization Based Security seçeneğini Enabled, duruma getiriyor ve aşağıdaki şekilde ayarlamalarımızı yaparak, bilgisayarımızda bu özelliği aktif hale getirmiş oluyoruz.

Şimdi bilgisayarımızda bu özelliğin aktif olup olmadığını, çalışıp çalışmadığını anlamak için, yine start menüsü üzerinden run’a gelerek msinfo32.exe yazıyoruz, açılan System Information ekranında Virtualization-based security’nin Running durumda olduğunu ve Virtualization-based security ile ilgili diğer ayarlarında aktif olduğunu görüyoruz.

Bilgisayarlarımızda başarılı bir şekilde bu özelliği devreye almış olduk.