Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Начиная с накопительного обновления безопасности Windows за апрель 2025 г., Credential Guard для учетных записей компьютеров отключен в Windows Server 2025 и Windows 11 версии 24H2. Credential Guard для учетных записей компьютеров отключен, пока не будет доступно постоянное исправление. Дополнительные сведения о проблемах проверки подлинности из-за сбоя смены паролей в Kerberos см. в статье о известных проблемах и уведомлениях Windows Server 2025 .
Последние функции Windows, такие как расширение Kerberos Armoring, также известное как расширение Flexible Authentication Secure Tunneling (FAST) Kerberos, становятся все более зависимыми от учетных записей компьютеров для улучшения безопасности. Учетная запись компьютера используется для внесения энтропии в секретный ключ клиента, и теперь как учетные записи службы gMSA, так и dMSA зависят от учетных записей компьютеров и предоставляют им доступ к учетным записям служб. Однако эта зависимость от учетных записей компьютеров создала уязвимость в безопасности учетной записи службы, так как учетные записи компьютеров можно легко извлечь из реестра и использовать для доступа к высокозащищенным учетным записям служб.
Чтобы укрепить безопасность учетных записей сервисов, функция добровольного участия учетных записей компьютеров в Credential Guard теперь доступна на устройствах Windows Server 2025 с включенной функцией Credential Guard. Важно принять меры по решению этой проблемы. Эта функция перемещает хранилище учетных данных учетной записи компьютера из реестра в Credential Guard, которая предоставляет отдельную надежную среду выполнения для пароля учетной записи компьютера. Безопасность улучшается, обеспечивая:
- Пароль не может быть доступ к непривилегированных пользователям, администраторам или драйверам.
- Улучшена безопасность учетных записей компьютеров, что повышает общую безопасность учетных записей служб в Active Directory (AD).
Изоляция машинной идентификации
Включение изоляции идентичности машины позволяет защитить учетные записи компьютеров AD на основе виртуализации. При включении учетные данные учетной записи компьютера устройства будут перемещены в Credential Guard. В результате все будущие проверки подлинности учетной записи компьютера, такие как вход в присоединенное к домену устройство, будут перенаправлены через Credential Guard. Однако если Credential Guard не удается запустить после перезагрузки устройства, это приведет к невозможности завершить проверку подлинности домена, потенциально требуя вмешательства от учетной записи локального администратора для восстановления.
Конфигурация изоляции машинного удостоверения
Чтобы включить параметр конфигурации изоляции удостоверения компьютера, откройте групповую политику, перейдите по следующему пути, а затем выберите "Включено".
- Конфигурация компьютера\Административные шаблоны\System\Device Guard\Включение безопасности на основе виртуализации
Доступные параметры для этого конкретного параметра:
Отключено: выключает изоляцию машинной идентификации. Если эта политика ранее была включена в режиме аудита, дальнейшие действия не требуются. Если эта политика ранее была включена в режиме принудительного применения, устройство должно быть отсоединено и повторно присоединено к домену, так как иначе оно не может пройти проверку подлинности.
Примечание.
Если локальный кэшированный вход включен при отключении этого параметра, локальный вход по-прежнему будет работать во время обновления кэша, но проверка подлинности домена будет нарушена.
Только учетная запись локального администратора может использоваться для отсоединять и повторно присоединиться к компьютеру.
Включен в режиме аудита: этот параметр создает новый секрет в Credential Guard и копирует его в локальный центр безопасности (LSA). Затем удаляется старый секрет LSA. При аудите сначала попытаются использовать копию идентификатора машины в Credential Guard для проверки подлинности. Если это не удается, проверка подлинности возвращается к использованию исходного удостоверения компьютера из LSA.
Примечание.
Если политика была ранее установлена в режиме принудительного выполнения, устройство должно быть вручную отсоединено и повторно присоединено.
Включен в режиме принудительного применения: этот параметр перемещает секрет учетной записи компьютера в Credential Guard и удаляет его из LSA. Это делает секрет учетной записи компьютера недоступным, за исключением использования Credential Guard для проверки подлинности компьютера.
Не настроено: оставляет параметр политики неопределенным. Групповая политика не записывает параметр политики в реестр и не влияет на компьютеры или пользователей. Если в реестре есть текущий параметр, он не будет изменен.