Credential Guard 概述

Credential Guard 通过保护 NTLM 密码哈希、Kerberos 票证授予票证 (TGT) 以及应用程序存储为域凭据的凭据来防止凭据被盗攻击。

Credential Guard 使用 基于虚拟化的安全 (VBS) 来隔离机密,以便只有特权系统软件可以访问它们。 未经授权访问这些机密可能会导致凭据窃取攻击,例如 传递哈希传递票证

启用后,Credential Guard 具有以下优势:

  • 硬件安全性:NTLM、Kerberos 和凭据管理器利用平台安全功能(包括安全启动和虚拟化)来保护凭据
  • 基于虚拟化的安全性:NTLM、Kerberos 派生凭据和其他机密在与正在运行的操作系统隔离的受保护环境中运行
  • 防范高级持久性威胁:使用 VBS 保护凭据时,会阻止许多目标攻击中使用的凭据盗窃攻击技术和工具。 在具有管理权限的操作系统中运行的恶意软件无法提取受 VBS 保护的机密

注意

虽然 Credential Guard 是一种强大的缓解措施,但持续威胁攻击可能会转移到新的攻击技术,并且你还应合并其他安全策略和体系结构。

重要提示

从 Windows 11 开始,版本 22H2、VBS 和 Credential Guard 默认在满足系统要求的所有设备上启用。
有关与 Credential Guard 的默认启用相关的已知问题的信息,请参阅 Credential Guard:已知问题

系统要求

要使 Credential Guard 提供保护,设备必须满足某些硬件、固件和软件要求。

满足比最低要求更多的硬件和固件资格、获得额外保护并更能抵御某些威胁的设备。

硬件和软件要求

Credential Guard 需要以下功能:

虽然不是必需的,但建议使用以下功能来提供其他保护:

  • 受信任的平台模块 (TPM) ,因为它提供到硬件的绑定。 支持 TPM 版本 1.2 和 2.0(离散或固件)
  • UEFI 锁定,因为它可以防止攻击者使用注册表项更改禁用 Credential Guard

有关与硬件和固件选项关联的增强安全性保护的详细信息,请参阅 其他安全资格

虚拟机中的 Credential Guard

Credential Guard 可以保护 Hyper-V 虚拟机中的机密,就像在物理计算机上一样。 在 VM 上启用 Credential Guard 后,机密将受到保护,使其免受 VM 内部 的攻击。 Credential Guard 不提供针对源自主机的特权系统攻击的保护。

在 Hyper-V 虚拟机中运行 Credential Guard 的要求如下:

  • Hyper-V 主机必须具有 IOMMU
  • Hyper-V 虚拟机必须是第 2 代

注意

Hyper-V 或 Azure 第 1 代 VM 不支持 Credential Guard。 Credential Guard 仅在第 2 代 VM 上可用。

Windows 版本和许可要求

下表列出了支持 Credential Guard 的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

Credential Guard 许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

应用程序要求

启用 Credential Guard 后,将阻止某些身份验证功能。 需要此类功能的应用程序会中断。 我们将这些要求称为 应用程序要求

应在部署之前测试应用程序,以确保与减少的功能兼容。

警告

不建议在域控制器上启用 Credential Guard。 Credential Guard 不会为域控制器提供任何附加的安全性,并可能导致域控制器上的应用程序兼容性问题。

注意

Credential Guard 不为 Active Directory 数据库或安全帐户管理器 (SAM) 提供保护。 启用 Credential Guard 后受 Kerberos 和 NTLM 保护的凭据也位于 Active Directory 数据库(位于域控制器)和 SAM(对于本地帐户)中。

如果应用程序需要:它们会中断:

  • Kerberos DES 加密支持
  • Kerberos 非约束委派
  • 提取 Kerberos TGT
  • NTLMv1

应用程序在需要以下条件时提示凭据并将其公开给风险:

  • 摘要式身份验证
  • 凭据委派
  • MS-CHAPv2

当应用程序尝试挂钩隔离的 Credential Guard 进程 LSAIso.exe时,它们可能会导致性能问题。

依赖于 Kerberos 的服务或协议(例如文件共享或远程桌面)将继续工作,并且不受 Credential Guard 的影响。

后续步骤