Panoramica di Credential Guard

Credential Guard impedisce attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket di concessione di ticket Kerberos e le credenziali archiviate dalle applicazioni come credenziali di dominio.

Credential Guard usa la sicurezza basata su virtualizzazione (VBS) per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi. L'accesso non autorizzato a questi segreti può causare attacchi di furto di credenziali come passare l'hash e passare il ticket.

Se abilitata, Credential Guard offre i vantaggi seguenti:

  • Sicurezza hardware: NTLM, Kerberos e Credential Manager sfruttano le funzionalità di sicurezza della piattaforma, tra cui avvio protetto e virtualizzazione, per proteggere le credenziali
  • Sicurezza basata sulla virtualizzazione: NTLM, credenziali derivate da Kerberos e altri segreti vengono eseguiti in un ambiente protetto isolato dal sistema operativo in esecuzione
  • Protezione dalle minacce persistenti avanzate: quando le credenziali sono protette tramite VBS, le tecniche di attacco con furto di credenziali e gli strumenti usati in molti attacchi mirati vengono bloccati. Il malware in esecuzione nel sistema operativo con privilegi amministrativi non può estrarre i segreti protetti da VBS

Nota

Sebbene Credential Guard sia una potente mitigazione, gli attacchi alle minacce persistenti probabilmente passeranno a nuove tecniche di attacco ed è consigliabile incorporare anche altre strategie e architetture di sicurezza.

Importante

A partire da Windows 11, versione 22H2, VBS e Credential Guard sono abilitati per impostazione predefinita in tutti i dispositivi che soddisfano i requisiti di sistema.
Per informazioni sui problemi noti relativi all'abilitazione predefinita di Credential Guard, vedere Credential Guard: Problemi noti.

Requisiti di sistema

Affinché Credential Guard fornisca protezione, i dispositivi devono soddisfare determinati requisiti hardware, firmware e software.

I dispositivi che soddisfano più requisiti hardware e firmware rispetto ai requisiti minimi, ricevono protezioni aggiuntive e sono più protetti da determinate minacce.

Requisiti hardware e software

Credential Guard richiede le funzionalità seguenti:

Anche se non è necessario, è consigliabile usare le funzionalità seguenti per fornire protezioni aggiuntive:

  • Trusted Platform Module (TPM), in quanto fornisce l'associazione all'hardware. Sono supportate le versioni 1.2 e 2.0 di TPM, discrete o firmware
  • Blocco UEFI, in quanto impedisce agli utenti malintenzionati di disabilitare Credential Guard con una modifica della chiave del Registro di sistema

Per informazioni dettagliate sulle protezioni per una maggiore sicurezza associata alle opzioni hardware e firmware, vedere requisiti di sicurezza aggiuntivi.

Credential Guard nelle macchine virtuali

Credential Guard può proteggere i segreti nelle macchine virtuali Hyper-V, proprio come in un computer fisico. Quando Credential Guard è abilitato in una macchina virtuale, i segreti vengono protetti da attacchi all'interno della macchina virtuale. Credential Guard non fornisce protezione dagli attacchi di sistema con privilegi provenienti dall'host.

I requisiti per eseguire Credential Guard nelle macchine virtuali Hyper-V sono:

  • L'host Hyper-V deve avere un iommu
  • La macchina virtuale Hyper-V deve essere di generazione 2

Nota

Credential Guard non è supportato in macchine virtuali Hyper-V o Azure di generazione 1. Credential Guard è disponibile solo nelle macchine virtuali di seconda generazione.

Requisiti di licenza ed edizione di Windows

La tabella seguente elenca le edizioni di Windows che supportano Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
No No

I diritti di licenza di Credential Guard sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Requisiti delle applicazioni

Quando Credential Guard è abilitato, alcune funzionalità di autenticazione vengono bloccate. Le applicazioni che richiedono tali funzionalità si rompono. Questi requisiti vengono definiti requisiti dell'applicazione.

Le applicazioni devono essere testate prima della distribuzione per garantire la compatibilità con le funzionalità ridotte.

Warning

L'abilitazione di Credential Guard nei controller di dominio non è consigliata. Credential Guard non fornisce alcuna sicurezza aggiuntiva ai controller di dominio e può causare problemi di compatibilità delle applicazioni nei controller di dominio.

Nota

Credential Guard non fornisce protezioni per il database di Active Directory o per Security Accounts Manager (SAM). Le credenziali protette da Kerberos e NTLM quando Credential Guard è abilitato si trovano anche nel database di Active Directory (nei controller di dominio) e in SAM (per gli account locali).

Le applicazioni si interrompono se richiedono:

  • Supporto della crittografia DES Kerberos
  • Delega senza vincoli Kerberos
  • Estrazione di TGT Kerberos
  • NTLMv1

Le applicazioni richiedono ed espongono le credenziali a rischio se richiedono:

  • Autenticazione del digest
  • Delega delle credenziali
  • MS-CHAPv2

Le applicazioni possono causare problemi di prestazioni quando tentano di associare il processo LSAIso.exeisolato di Credential Guard.

I servizi o i protocolli che si basano su Kerberos, ad esempio condivisioni file o desktop remoto, continuano a funzionare e non sono interessati da Credential Guard.

Passaggi successivi