विंडोज क्रेडेंशियल गार्ड एक सुरक्षा सुविधा है जो दुर्भावनापूर्ण हमलों के खिलाफ प्रमाणीकरण क्रेडेंशियल्स की सुरक्षा करती है। यह हैकर्स को सिस्टम टूल्स के साथ छेड़छाड़ करने या आपके कंप्यूटर पर दुर्भावनापूर्ण कोड चलाने से रोकता है। यह सुविधा विंडोज 10 और विंडोज 11 के एंटरप्राइज और प्रो फ्लेवर पर उपलब्ध है। यदि आप विंडोज डोमेन या वर्कग्रुप पर स्थानीय रूप से या दूरस्थ रूप से संवेदनशील डेटा को हैंडल या एक्सेस करते हैं तो आपको क्रेडेंशियल गार्ड को सक्षम करने पर विचार करना चाहिए।
क्रेडेंशियल गार्ड वास्तव में क्या है?
जब आप अपना कंप्यूटर शुरू करते हैं, तो स्थानीय सुरक्षा प्राधिकरण सर्वर सेवा (एलएसएएसएस) नामक एक प्रक्रिया लॉगिन प्रमाणिकता प्रमाणित करती है और आपको पहुंच प्रदान करती है। LSASS सक्रिय सत्रों के दौरान इन क्रेडेंशियल्स (एन्क्रिप्टेड पासवर्ड, NT हैश, LM हैश, और करबरोस टिकट) को मेमोरी में भी संग्रहीत करता है, इसलिए जब भी आप परिवर्तन करते हैं या फ़ाइलों तक पहुँचते हैं तो आपको अपना पासवर्ड फिर से दर्ज करने की आवश्यकता नहीं होती है।
सत्रों के दौरान मेमोरी में क्रेडेंशियल सहेजना विकल्प की तुलना में आसान है: हर कदम पर मैन्युअल पहचान प्रमाणीकरण। दी गई, प्रमाणीकरण क्रेडेंशियल दर्ज करने से सुरक्षा में सुधार होता है। लेकिन प्रमाणीकरण क्रेडेंशियल लंबे होते हैं, विशेष रूप से उनके हैशेड रूपों में।
यह विशेष रूप से असुविधाजनक हो सकता है यदि आपको जल्दी से बदलाव करने की आवश्यकता है और विशेष रूप से निराशा होती है यदि आप कोई गलती करते हैं और पासवर्ड को फिर से दर्ज करना पड़ता है।
और अगर आपको कहीं पासवर्ड लिखना है, तो यह संभावित रूप से आपके सुरक्षा जोखिम को बढ़ा सकता है। एलएसएएसएस प्रमाणीकरण को संभालता है, इसलिए आपका डिवाइस उपयोग कुशल है।
लेकिन जैसा कि आप कल्पना कर सकते हैं, जैसा कि मूल्यवान, संवेदनशील डेटा संग्रहीत करने वाली किसी भी चीज़ के साथ, एलएसएएसएस हैकर्स के लिए एक जैकपॉट है। वे Mimikatz, Crackmapexec, और Lsassy जैसे टूल का उपयोग करके क्रेडेंशियल चोरी के हमलों के माध्यम से LSASS से समझौता कर सकते हैं। हैकर्स वास्तविक सिस्टम फ़ाइल (lsass.exe) को हटाने, संशोधित करने या बदलने के लिए इन उपकरणों का उपयोग करते हैं।
किसी हैकर द्वारा महत्वपूर्ण नुकसान करने से पहले क्रेडेंशियल चोरी को रोकने के तरीके हैं, और एक बार जब आप इसे खोज लेते हैं तो किसी हमले को रोकना संभव है। हालांकि, पहले हमले को रोकना बेहतर है। क्रेडेंशियल गार्ड एक पृथक LSASS प्रक्रिया (LSAIso) बनाकर दुर्भावनापूर्ण हमलों से बचाता है जो प्रमाणीकरण डेटा को सुरक्षित रूप से संग्रहीत करता है।
आपको अपने पीसी पर क्रेडेंशियल गार्ड को क्यों सक्षम करना चाहिए
लेकिन जैसा कि आप कल्पना कर सकते हैं, जैसा कि मूल्यवान, संवेदनशील डेटा संग्रहीत करने वाली किसी भी चीज़ के साथ, एलएसएएसएस हैकर्स के लिए एक जैकपॉट है। वे Mimikatz, Crackmapexec, और Lsassy जैसे टूल का उपयोग करके क्रेडेंशियल चोरी के हमलों के माध्यम से LSASS से समझौता कर सकते हैं। हैकर्स वास्तविक सिस्टम फ़ाइल (lsass.exe) को हटाने, संशोधित करने या बदलने के लिए इन उपकरणों का उपयोग करते हैं।
किसी हैकर द्वारा महत्वपूर्ण नुकसान करने से पहले क्रेडेंशियल चोरी को रोकने के तरीके हैं, और एक बार जब आप इसे खोज लेते हैं तो किसी हमले को रोकना संभव है। हालांकि, पहले हमले को रोकना बेहतर है। क्रेडेंशियल गार्ड एक पृथक LSASS प्रक्रिया (LSAIso) बनाकर दुर्भावनापूर्ण हमलों से बचाता है जो प्रमाणीकरण डेटा को सुरक्षित रूप से संग्रहीत करता है।
आपके सिस्टम को आवश्यकताओं को पूरा करना चाहिए
विंडोज क्रेडेंशियल गार्ड विंडोज 10 और 11 के एंटरप्राइज और प्रो फ्लेवर के लिए विशिष्ट है। विंडोज सर्वर के हाल के संस्करणों में भी यह सुरक्षा सुविधा है, लेकिन डिवाइस को सख्त हार्डवेयर और सॉफ्टवेयर आवश्यकताओं को पूरा करना होगा।
शुरुआत करने वालों के लिए, डिवाइस में 64-बिट सीपीयू (वर्चुअलाइजेशन-आधारित सुरक्षा का समर्थन करने के लिए) और सुरक्षित बूट होना चाहिए। Microsoft विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल (TPM) संस्करण 1.2 या 2.0 और एक UEFI लॉक (हमलावरों को regedit के साथ सुरक्षा सेटअप को बायपास करने से रोकने के लिए) रखने की भी सिफारिश करता है। आप जिस प्रकार के कंप्यूटर या सर्वर की सुरक्षा करना चाहते हैं, उसके आधार पर आप मूलभूत आवश्यकताओं की जांच कर सकते हैं।
विंडोज पर क्रेडेंशियल गार्ड को कैसे इनेबल करें
यदि आपका कंप्यूटर या सर्वर Microsoft की मूलभूत आवश्यकताओं को पूरा करता है, तो उसमें डिफ़ॉल्ट रूप से क्रेडेंशियल गार्ड सक्षम होगा। यह जाँचने के लिए कि क्या यह सुरक्षा सुविधा पहले से सक्षम है, प्रारंभ दबाएँ और फिर “msinfo32.exe” टाइप करें। सिस्टम सूचना > सिस्टम सारांश चुनें। आपको एक दूसरे के बगल में “वर्चुअलाइजेशन-आधारित सुरक्षा सेवाएं चल रही हैं” और “क्रेडेंशियल गार्ड, हाइपरविजर एनफोर्सिंग कोड इंटीग्रिटी” दिखाई देनी चाहिए।
यदि क्रेडेंशियल गार्ड आपके कंप्यूटर पर सक्षम नहीं है, तो आप सुविधा को तीन मुख्य तरीकों से सक्षम कर सकते हैं: समूह नीति के माध्यम से, Windows रजिस्ट्री का संपादन, या Microsoft Intune का उपयोग करना। यदि आप एक शक्तिशाली उपयोगकर्ता हैं, तो UEFI लॉक के साथ क्रेडेंशियल गार्ड को सक्षम करने का विकल्प भी है। अधिकांश व्यवस्थापकों के लिए समूह नीति के साथ इस सुविधा को सक्षम करना आसान होगा।
विंडोज पर क्रेडेंशियल गार्ड को डिसेबल कैसे करें
क्रेडेंशियल चोरी को रोकने और हैश हमलों को पास करने में इसकी उपयोगिता के बावजूद, क्रेडेंशियल गार्ड कुछ सेवाओं और प्रोटोकॉल को तोड़ने का कारण बनेगा। उदाहरण के लिए, सुरक्षा सुविधा को सक्षम करना आपको Windows To Go, Kerberos unconstrained डेलिगेशन और DES एन्क्रिप्शन का उपयोग करने से रोकता है।
साथ ही, आप किसी तृतीय-पक्ष सुरक्षा सहायता प्रदाता (SSP) का उपयोग नहीं कर सकते हैं।
