Windows Credential Guard adalah fitur keamanan yang mengamankan kredensial autentikasi dari serangan jahat. Ini mencegah peretas merusak alat sistem atau menjalankan kode berbahaya di komputer Anda. Fitur ini tersedia pada versi Enterprise dan Pro Windows 10 dan Windows 11. Anda harus mempertimbangkan untuk mengaktifkan Penjaga Kredensial jika Anda menangani atau mengakses data sensitif secara lokal atau jarak jauh di domain atau grup kerja Windows.
Apa Tepatnya Penjaga Kredensial?
Saat Anda menyalakan komputer, proses yang disebut Layanan Server Otoritas Keamanan Lokal (LSASS) mengautentikasi kredensial masuk dan memberi Anda akses. LSASS juga menyimpan kredensial ini (kata sandi terenkripsi, hash NT, hash LM, dan tiket Kerberos) di memori selama sesi aktif, jadi Anda tidak perlu memasukkan ulang kata sandi setiap kali perlu membuat perubahan atau mengakses file.
Menyimpan kredensial dalam memori selama sesi berguna dibandingkan dengan alternatifnya: autentikasi identitas manual di setiap langkah. Memang, memasukkan kredensial otentikasi sesekali meningkatkan keamanan. Tapi kredensial autentikasi panjang, terutama dalam bentuk hash. Akan sangat merepotkan jika Anda harus melakukan perubahan dengan cepat dan sangat membuat frustrasi jika Anda melakukan kesalahan dan harus memasukkan kembali kata sandi. Dan jika Anda harus menuliskan kata sandi di suatu tempat, ini berpotensi meningkatkan risiko keamanan Anda. LSASS menangani autentikasi, sehingga penggunaan perangkat Anda efisien.
Namun seperti yang dapat Anda bayangkan, dengan apa pun yang menyimpan data sensitif dan berharga, LSASS adalah jackpot bagi peretas. Mereka dapat mengkompromikan LSASS melalui serangan mencuri kredensial menggunakan alat seperti Mimikatz, Crackmapexec, dan Lsassy. Peretas menggunakan alat ini untuk menghapus, mengganti, atau mengubah file sistem yang sebenarnya (lsass.exe).
Ada cara untuk menghentikan pencurian kredensial sebelum peretas melakukan kerusakan besar, dan Anda dapat menghentikan serangan begitu Anda menemukannya. Namun, lebih baik mencegah serangan itu sejak awal. Penjaga Kredensial melindungi dari serangan jahat dengan membuat proses LSASS terisolasi (LSAIso) yang menyimpan data autentikasi dengan aman.
Mengapa Anda Harus Mengaktifkan Penjaga Kredensial di PC Anda
Fitur keamanan mengisolasi kredensial login dari sisa memori sistem serta proses utama (lsass.exe) yang menangani autentikasi. Jadi, ini pada dasarnya adalah kotak hitam.
Anda harus menggunakan Penjaga Kredensial jika Anda memiliki beberapa komputer yang merupakan bagian dari domain atau grup kerja. Mengapa? Penyerang yang menyusupi perangkat dengan kredensial masuk admin dapat menyusupi seluruh jaringan. Mengaktifkan fitur ini secara efektif mencegah penyerang mendapatkan kontrol penuh atas informasi sensitif jika mereka membahayakan sistem.
Sistem Anda Harus Memenuhi Persyaratan
Windows Credential Guard eksklusif untuk versi Enterprise dan Pro dari Windows 10 dan 11. Versi terbaru Windows Server juga memiliki fitur keamanan ini, tetapi perangkat harus memenuhi persyaratan perangkat keras dan perangkat lunak yang ketat.
Sebagai permulaan, perangkat harus memiliki CPU 64-bit (untuk mendukung keamanan berbasis virtualisasi) dan boot yang aman. Microsoft juga merekomendasikan memiliki Modul Platform Tepercaya (TPM) versi 1.2 atau 2.0 dan kunci UEFI (untuk mencegah penyerang melewati pengaturan keamanan dengan regedit). Anda dapat memeriksa persyaratan dasar berdasarkan komputer atau server yang ingin Anda lindungi.
Cara Mengaktifkan Penjaga Kredensial di Windows
Komputer atau server Anda akan mengaktifkan Penjaga Kredensial secara default jika memenuhi persyaratan dasar Microsoft. Untuk memeriksa apakah fitur keamanan ini sudah diaktifkan, tekan Awal lalu ketik "msinfo32.exe". Pilih Informasi Sistem > Ringkasan Sistem. Anda akan melihat "Layanan keamanan berbasis virtualisasi Berjalan" dan "Pelindung Kredensial, Integritas Kode yang ditegakkan Hypervisor" di samping satu sama lain.
Jika Penjaga Kredensial tidak diaktifkan di komputer Anda, Anda dapat mengaktifkan fitur tersebut dengan tiga cara utama: melalui Kebijakan Grup, mengedit Windows Registry, atau menggunakan Microsoft Intune. Ada juga opsi untuk mengaktifkan Penjaga Kredensial dengan kunci UEFI jika Anda adalah pengguna yang kuat. Sebagian besar admin akan lebih mudah mengaktifkan fitur ini dengan Kebijakan Grup.
Cara Menonaktifkan Penjaga Kredensial di Windows
Terlepas dari kegunaannya dalam mencegah pencurian kredensial dan serangan Pass the Hash, Credential Guard akan menyebabkan beberapa layanan dan protokol rusak. Misalnya, mengaktifkan fitur keamanan mencegah Anda menggunakan Windows To Go, delegasi tanpa kendala Kerberos, dan enkripsi DES.
Selain itu, Anda tidak dapat menggunakan Penyedia Dukungan Keamanan (SSP) pihak ketiga karena rentan terhadap serangan pencurian kredensial. Titik akhir Wi-Fi dan VPN berdasarkan MS-CHAPv2 sama-sama rentan dan akan dinonaktifkan saat Anda mengaktifkan Penjaga Kredensial.
Jika Anda memerlukan beberapa fitur yang disebutkan di atas, Anda dapat menonaktifkan Penjaga Kredensial selama yang Anda butuhkan. Tetapi pastikan untuk mengatur pengingat untuk mengaktifkannya kembali.
Menonaktifkan Dengan Editor Kebijakan Grup
Opsi pertama Anda adalah menonaktifkan Penjaga Kredensial dengan mengubah pengaturan Kebijakan Grup.
Untuk melakukan ini, tekan Awal dan ketik “gpedit”, lalu pilih Edit Kebijakan Grup. Pergi ke Konfigurasi Komputer > Template Administratif > Sistem > Penjaga Perangkat > Aktifkan Keamanan Berbasis Virtualisasi > Opsi. Setel "Konfigurasi Penjaga Kredensial" ke Dengan disabilitas, klik OKE untuk menyimpan perubahan dan kemudian restart komputer Anda.
Menonaktifkan Dengan Regedit
Opsi ini bagus jika Anda telah mengaktifkan Defender Credential Guard menggunakan metode yang berbeda dari UEFI Lock dan Group Policy. Untuk menonaktifkan Penjaga Kredensial dengan Regedit, tekan Awal dan ketik "regedit". Pilih Editor Registri. Pertama, navigasikan ke jalur file HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags dan atur nilainya menjadi "0".
Selanjutnya, navigasikan kembali ke HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags dan atur nilainya menjadi "0".
Anda juga bisa mengikuti instruksi Microsoft untuk menonaktifkan Penjaga Kredensial dengan kunci UEFI atau menonaktifkan fitur keamanan pada mesin virtual.
Mengaktifkan Penjaga Kredensial Hanyalah Pencegahan
Aturan praktisnya adalah memasang pagar di sekitar taman Anda sebelum menanam, terutama jika Anda tinggal di daerah dengan ternak bebas berkeliaran. Pagar itu tidak akan berguna jika Anda sudah memiliki kambing di properti Anda — dalam hal ini, Anda harus mengusirnya.
Prinsip yang sama berlaku untuk melindungi data login sensitif Anda. Saat diaktifkan, Penjaga Kredensial mencegah peretas mencuri data Anda. Namun, itu tidak akan efektif jika penyerang telah memantapkan dirinya di jaringan Anda atau membahayakan perangkat. Jadi, jika Anda memutuskan untuk menggunakan fitur keamanan ini di komputer kerja baru, pastikan fitur ini diaktifkan sebelum komputer bergabung dengan domain atau grup kerja Windows.