Accéder au contenu principal

Intune - Activation de Credential Guard via Microsoft Intune

Présentation rapide de la solution

Credential Guard, introduit avec Windows 10, utilise la sécurité basée via la virtualisation pour conteneuriser le processus d'authentification LSASS.
 
Cette solution vous protège contre la collecte d'informations d'identification en exécutant LSASS dans une machine virtuelle distincte sur le client afin d'éviter qu'une personne malveillante récupère vos informations d'authentification en dumpant par exemple le process d'authentification qui stocke vos identifiants NTLM et Kerberos.

Mise en œuvre de la solution via Microsoft Intune

Les prérequis matériel et logiciel

  • Prise en charge de la sécurité basée sur la virtualisation (obligatoire)
  • Démarrage sécurisé (obligatoire)
  • Les versions 1.2 et 2.0 du module de plateforme fiable (TPM, preferred - fournit une liaison au matériel) sont pris en charge, qu’elles soient discrètes ou microprogrammes.
  • Verrouillage UEFI (recommandé: empêche l’intrus de le désactiver à l’aide d’un simple changement de clé de registre
  • CPU 64bits
  • Extensions de virtualisation du processeur + tables de pages étendues
  • Windows hyperviseur (ne nécessite pas l’installation de Windows Hyper-V)

Configuration et déploiement du profil de configuration dans Microsoft Intune

Aller dans la console MEM, puis dans Appareils \ Profils de configuration \ Créer un Profil


Puis sélectionner Windows 10 et ultérieur \ Modèles \ Endpoint protection 


Donner un Nom a votre profil de configuration puis cliquer sur Suivant


Dans la section Microsoft Defender Credential Guard, sélectionner l'option Activer avec l'option de verrouillage souhaitée.


Sélectionner le groupe sur lequel vous souhaitez déployer la configuration et cliquer sur Suivant


Cliquer sur Suivant



Vérifier les paramètres de la configuration et cliquer sur Créer 

Vérification de l'activation de Crédential Guard

Pour vérifier l'état d'activation de Crédential Guard, vous avez deux possibilités :
  • Ouvrir PowerShell en mode Admin et exécuter la commande suivante 

'CredentialGuard' -match ((Get-ComputerInfo).DeviceGuardSecurityServicesConfigured)


Si la configuration s'est correctement appliquée, la valeur True apparaitra 



  • Deuxième possibilité, lancer la commande MSINFO32.exe, dans la section Résumé, aller en bas de la page et verifier que votre configuration correspond à celle-ci 




Commentaires

Posts les plus consultés de ce blog

Ping your infrastructure and send a desktop alert with Powershell

Presentation This script runs and loads the contents of a file to recover a list of devices to ping. If the device does not respond, an alert is issued on the desktop. In addition, a log file containing the list of available perimeters is created in the C:Logs directory. Github link :   Script Script exécution powershell.exe -executionpolicy ByPass -file C:\Temp\PingInfra.ps1 Result For each computer that is not available, you received a desktop alert A log file is created to the repository C:\Logs folder

SCCM - Erreur 0x87D00664 lors de l'installation de la mise à jour de Juin 2020

Lors de l'installation de la KB4561616 sur des systèmes serveurs via SCCM, vous pouvez vous heurter à l'erreur  0x87D00664 . Celle-ci correspond au délai fixé pour l'installation de la mise à jour qui est dépassé sur des machines à faibles performances : Pour corriger le problème, il suffit simplement d'aller dans : Allez dans "Software Library" Puis "Software Updates" Chercher la mise à jour concernée Clic droit , puis "Propriétés" de la mise à jour Changer la valeur "Maximum run time" Validez en appuyant sur "Apply"  Relancez ensuite l'installation de la mise à jour.

Edge Chromium - Les ADMX sont disponibles

Microsoft a récemment publié les fichiers ADMX pour faciliter la gestion de son navigateur Edge basé sur Chromium. Pour les récupérer, il suffit de se rendre sur la page suivante : https://www.microsoft.com/en-us/edge/business/download Ensuite, il suffit de sélectionner la version du navigateur publié, l'architecture système et cliquer sur  "GET POLICY FILES" Il suffira ensuite d'extraire le contenu du fichier .CAB et de placer les fichiers dans le dossier SYSVOL de votre site Active Directory.