Device Guard и Credential Guard нужны не для «общей безопасности», а для двух конкретных задач: Device Guard, который сейчас чаще называют WDAC или Microsoft Defender Application Control, ограничивает запуск программ, а Credential Guard защищает доменные учетные данные от кражи из памяти. Если включить их без подготовки, можно получить заблокированные рабочие приложения или проблемы с входом. Если включить грамотно — вы закроете две популярные линии атаки: запуск вредоносного кода и кражу учетных данных для дальнейшего движения по сети.
Не включайте Device Guard/WDAC сразу в режим блокировки на всех компьютерах. Сначала аудит, инвентаризация приложений и тест на небольшой группе устройств.
Что именно делают Device Guard и Credential Guard
Название Device Guard осталось в старых документах, настройках и разговорах администраторов. В новых версиях Windows 10/11 под этим чаще понимают Windows Defender Application Control, или WDAC. Его задача — разрешать запуск только тем программам, скриптам и компонентам, которым вы доверяете.
Credential Guard работает иначе. Он не решает, какие программы запускать. Он изолирует чувствительные данные LSASS: NTLM-хэши, Kerberos TGT и другие доменные секреты. Если злоумышленник уже запустил вредоносный процесс с правами администратора, Credential Guard не гарантирует полную защиту, но сильно усложняет кражу учетных данных для pass-the-hash и pass-the-ticket атак.
| Компонент | Что защищает | Как работает | Где будет заметен результат | Главный риск внедрения |
|---|---|---|---|---|
| Device Guard / WDAC | Запуск приложений, скриптов и кода | Политика целостности кода разрешает только доверенные исполняемые файлы, подписи, пакеты или каталоги | Неподписанная утилита, макрос или скрипт может перестать запускаться | Блокировка легитимных программ, если включить без аудита |
| Credential Guard | Доменные учетные данные в памяти | Изолирует LSASS через Virtualization-Based Security | Инструменты вроде Mimikatz не смогут просто выгрузить доменные секреты | Несовместимость с частью старого ПО, драйверов или средств виртуализации |
| VBS / HVCI | Базовая платформа изоляции и целостности | Использует возможности гипервизора Windows, Secure Boot, TPM и виртуализации процессора | Credential Guard и часть сценариев Device Guard зависят от работоспособности VBS | На старом железе или со старыми драйверами может не включиться |
Когда их действительно стоит включать
Эти технологии имеют наибольший смысл там, где есть доменная инфраструктура, корпоративные ноутбуки, удаленный доступ, админские учетные записи или пользователи, которые работают с чувствительными данными.
- Если у пользователя есть доступ к файловым шарам, CRM, бухгалтерии, ERP или админским ресурсам — Credential Guard снижает риск кражи доменных учетных данных.
- Если пользователи регулярно открывают вложения, скачивают утилиты, работают с макросами или сторонними скриптами — WDAC уменьшает шанс, что случайный exe или PowerShell-скрипт просто запустится.
- Если администраторы подключаются по RDP к серверам — стоит смотреть в сторону Remote Credential Guard, чтобы сервер не получал повторно используемые доменные секреты.
- Если компьютеры управляются через домен или Intune — внедрение проще: политики можно развернуть централизованно и быстро откатить.
Для домашнего ноутбука или небольшой организации без инвентаризации программ WDAC часто оказывается избыточным. В таком случае разумнее начать с обновлений, антивирусной защиты, контроля учетных записей, BitLocker и проверки, работает ли VBS/Memory Integrity. Credential Guard имеет смысл, если вы понимаете, зачем защищаете доменные учетные данные и можете управлять его включением.
Что проверить до включения
Перед проектом не начинайте с политик. Сначала проверьте железо, редакцию Windows и текущую совместимость.
- Редакция Windows. Для управляемого корпоративного внедрения ориентируйтесь на Windows 10/11 Enterprise или Education. На Pro-редакциях часть возможностей может отличаться в зависимости от версии и способа управления, поэтому перед массовым rollout это нужно проверить.
- UEFI и Secure Boot. В BIOS/UEFI должны быть включены Secure Boot, TPM или его firmware-аналоги вроде Intel PTT/AMD fTPM, виртуализация процессора Intel VT-x/AMD-V и, желательно, IOMMU: Intel VT-d или AMD-Vi.
- Статус VBS. Откройте
msinfo32и посмотрите строки Virtualization-based security, Credential Guard и Hypervisor-enforced Code Integrity. Если VBS не работает, Credential Guard не заработает нормально. - Инвентаризация приложений. Для WDAC нужно понимать, чем реально пользуется организация: офисные программы, бухгалтерия, CAD, VPN-клиенты, агенты мониторинга, PowerShell-скрипты, самописные утилиты.
- План отката. Заранее подготовьте способ быстро отключить политику или заменить ее на разрешающую. Для WDAC это особенно важно.
Проверить состояние можно через PowerShell:
Get-CimInstance -Namespace root\Microsoft\Windows\DeviceGuard -ClassName