Обзор Credential Guard

Credential Guard предотвращает атаки на кражу учетных данных, защищая хэши паролей NTLM, билеты на предоставление билетов Kerberos (TGT) и учетные данные, хранящиеся приложениями в качестве учетных данных домена.

Credential Guard использует безопасность на основе виртуализации (VBS) для изоляции секретов, чтобы доступ к ним могли получить только привилегированные системные программы. Несанкционированный доступ к этим секретам может привести к атакам кражи учетных данных, таким как передача хэша и передача билета.

Если этот параметр включен, Credential Guard предоставляет следующие преимущества:

  • Аппаратная безопасность: NTLM, Kerberos и Credential Manager используют преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию, для защиты учетных данных.
  • Безопасность на основе виртуализации: ntlm, производные учетные данные Kerberos и другие секреты выполняются в защищенной среде, изолированной от работающей операционной системы.
  • Защита от сложных постоянных угроз: при защите учетных данных с помощью VBS методы и средства атаки на кражу учетных данных, используемые во многих целевых атаках, блокируются. Вредоносная программа, запущенная в операционной системе с правами администратора, не может извлекать секреты, защищенные С помощью VBS

Примечание.

Хотя Credential Guard — это мощная мера по устранению рисков, постоянные атаки с угрозами, скорее всего, перейдут на новые методы атак, и вам также следует включить другие стратегии и архитектуры безопасности.

Важно.

Начиная с Windows 11, версия 22H2, VBS и Credential Guard включены по умолчанию на всех устройствах, соответствующих требованиям к системе.
Сведения об известных проблемах, связанных с включением Credential Guard по умолчанию, см. в разделе Credential Guard: известные проблемы.

Системные требования

Для обеспечения защиты Credential Guard устройства должны соответствовать определенным требованиям к оборудованию, встроенному ПО и программному обеспечению.

Устройства, которые соответствуют большему объему требований к оборудованию и встроенному ПО, чем минимальные требования, получают дополнительную защиту и более защищенные от определенных угроз.

Требования к оборудованию и программному обеспечению

Для Credential Guard требуются следующие функции:

Хотя и не требуется, для обеспечения дополнительной защиты рекомендуется использовать следующие функции:

  • Доверенный платформенный модуль (TPM), так как он обеспечивает привязку к оборудованию. Поддерживаются версии TPM 1.2 и 2.0, либо дискретные, либо встроенные.
  • Блокировка UEFI, так как она не позволяет злоумышленникам отключить Credential Guard с изменением раздела реестра

Подробные сведения о защите для повышения безопасности, связанные с параметрами оборудования и встроенного ПО, см. в статье Дополнительные требования к безопасности.

Credential Guard на виртуальных машинах

Credential Guard может защищать секреты на виртуальных машинах Hyper-V так же, как и на физическом компьютере. Если credential Guard включен на виртуальной машине, секреты защищаются от атак внутри виртуальной машины. Credential Guard не обеспечивает защиту от привилегированных системных атак, происходящих с узла.

Требования к запуску Credential Guard на виртуальных машинах Hyper-V:

  • Узел Hyper-V должен иметь IOMMU
  • Виртуальная машина Hyper-V должна быть поколения 2

Примечание.

Credential Guard не поддерживается на виртуальных машинах Hyper-V или Azure поколения 1. Credential Guard доступен только на виртуальных машинах 2-го поколения.

Требования к выпуску и лицензированию Windows

В следующей таблице перечислены выпуски Windows, поддерживающие Credential Guard:

Windows Pro Windows Корпоративная Windows Pro для образовательных учреждений/SE Windows для образовательных учреждений
Нет Да Нет Да

Права на лицензии Credential Guard предоставляются следующими лицензиями:

Windows Pro/Pro для образовательных учреждений/SE Windows Корпоративная E3 Windows Корпоративная E5 Windows для образовательных учреждений A3 Windows для образовательных учреждений A5
Нет Да Да Да Да

Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.

Требования к приложениям

Если Credential Guard включен, некоторые возможности проверки подлинности блокируются. Приложения, которым требуются такие возможности, прерываются. Эти требования называются требованиями к приложениям.

Приложения должны быть протестированы перед развертыванием, чтобы обеспечить совместимость с ограниченными функциональными возможностями.

Warning

Не рекомендуется включать Credential Guard на контроллерах домена. Credential Guard не обеспечивает дополнительную безопасность для контроллеров домена и может вызвать проблемы совместимости приложений на контроллерах домена.

Примечание.

Credential Guard не обеспечивает защиту для базы данных Active Directory или диспетчера учетных записей безопасности (SAM). Учетные данные, защищенные с помощью Kerberos и NTLM при включенном Credential Guard, также находятся в базе данных Active Directory (на контроллерах домена) и SAM (для локальных учетных записей).

Приложения прерываются, если им требуется:

  • Поддержка шифрования Kerberos DES
  • Неограниченное делегирование Kerberos
  • Извлечение Kerberos TGT
  • NTLMv1

Приложения запрашивают и подвергают учетные данные риску, если им требуется:

  • Дайджест-проверка подлинности
  • Делегирование учетных данных
  • MS-CHAPv2

Приложения могут вызвать проблемы с производительностью при попытке подключить изолированный процесс LSAIso.exeCredential Guard .

Службы или протоколы, использующие Kerberos, такие как общие папки или удаленный рабочий стол, продолжают работать и не затрагиваются Credential Guard.

Дальнейшие действия