Übersicht über Credential Guard
Credential Guard verhindert Angriffe zum Diebstahl von Anmeldeinformationen, indem NTLM-Kennworthashes, Kerberos Ticket Granting Tickets (TGTs) und Von Anwendungen als Domänenanmeldeinformationen gespeicherte Anmeldeinformationen geschützt werden.
Credential Guard verwendet virtualisierungsbasierte Sicherheit (VBS), um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Nicht autorisierter Zugriff auf diese Geheimnisse kann zu Diebstahlangriffen von Anmeldeinformationen führen, z. B. das Übergeben des Hashs und das Übergeben des Tickets.
Wenn diese Option aktiviert ist, bietet Credential Guard die folgenden Vorteile:
- Hardwaresicherheit: NTLM, Kerberos und Anmeldeinformations-Manager nutzen Plattformsicherheitsfeatures wie sicherer Start und Virtualisierung, um Anmeldeinformationen zu schützen.
- Virtualisierungsbasierte Sicherheit: NTLM, von Kerberos abgeleitete Anmeldeinformationen und andere Geheimnisse werden in einer geschützten Umgebung ausgeführt, die vom ausgeführten Betriebssystem isoliert ist.
- Schutz vor erweiterten persistenten Bedrohungen: Wenn Anmeldeinformationen mithilfe von VBS geschützt werden, werden die Techniken und Tools zum Diebstahl von Anmeldeinformationen blockiert, die bei vielen gezielten Angriffen verwendet werden. Schadsoftware, die im Betriebssystem mit Administratorrechten ausgeführt wird, kann keine Geheimnisse extrahieren, die durch VBS geschützt sind.
Hinweis
Credential Guard ist zwar eine leistungsstarke Gegenmaßnahme, aber persistente Bedrohungsangriffe werden sich wahrscheinlich auf neue Angriffstechniken verlagern, und Sie sollten auch andere Sicherheitsstrategien und -architekturen integrieren.
Wichtig
Ab Windows 11, Version 22H2, sind VBS und Credential Guard standardmäßig auf allen Geräten aktiviert, die die Systemanforderungen erfüllen.
Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung von Credential Guard finden Sie unter Credential Guard: Bekannte Probleme.
Systemanforderungen
Damit Credential Guard Schutz bietet, müssen die Geräte bestimmte Hardware-, Firmware- und Softwareanforderungen erfüllen.
Geräte, die mehr Hardware- und Firmwarequalifikationen als die Mindestanforderungen erfüllen, erhalten zusätzlichen Schutz und sind besser gegen bestimmte Bedrohungen geschützt.
Hardware- und Softwareanforderungen
Für Credential Guard sind folgende Features erforderlich:
- Virtualisierungsbasierte Sicherheit (VBS)
Hinweis
VBS hat unterschiedliche Anforderungen, um es auf verschiedenen Hardwareplattformen zu aktivieren. Weitere Informationen finden Sie unter Virtualisierungsbasierte Sicherheitsanforderungen.
- Sicherer Start
Obwohl nicht erforderlich, werden die folgenden Features empfohlen, um zusätzlichen Schutz bereitzustellen:
- Trusted Platform Module (TPM), da es eine Bindung an Hardware bereitstellt. TPM-Versionen 1.2 und 2.0 werden unterstützt, entweder diskret oder Firmware
- UEFI-Sperre, da sie verhindert, dass Angreifer Credential Guard mit einer Änderung des Registrierungsschlüssels deaktivieren
Ausführliche Informationen zu Den Schutzmaßnahmen für verbesserte Sicherheit, die mit Hardware- und Firmwareoptionen verbunden sind, finden Sie unter Zusätzliche Sicherheitsqualifikationen.
Credential Guard auf virtuellen Computern
Credential Guard kann Geheimnisse auf virtuellen Hyper-V-Computern genau wie auf einem physischen Computer schützen. Wenn Credential Guard auf einem virtuellen Computer aktiviert ist, werden Geheimnisse vor Angriffen innerhalb des virtuellen Computers geschützt. Credential Guard bietet keinen Schutz vor privilegierten Systemangriffen, die vom Host ausgehen.
Zum Ausführen von Credential Guard auf virtuellen Hyper-V-Computern gelten folgende Anforderungen:
- Der Hyper-V-Host muss über eine IOMMU verfügen.
- Der virtuelle Hyper-V-Computer muss generation 2 sein.
Hinweis
Credential Guard wird auf Hyper-V- oder Azure-VMs der Generation 1 nicht unterstützt. Credential Guard ist nur auf VMs der 2. Generation verfügbar.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Credential Guard unterstützen:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Nein | Ja | Nein | Ja |
Credential Guard-Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Nein | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Anforderungen an Anwendungen
Wenn Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert. Anwendungen, für die solche Funktionen erforderlich sind, werden unterbrochen. Wir bezeichnen diese Anforderungen als Anwendungsanforderungen.
Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der eingeschränkten Funktionalität sicherzustellen.
Warnung
Das Aktivieren von Credential Guard auf Domänencontrollern wird nicht empfohlen. Credential Guard bietet keine zusätzliche Sicherheit für Domänencontroller und kann Probleme mit der Anwendungskompatibilität auf Domänencontrollern verursachen.
Hinweis
Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder den Security Accounts Manager (SAM). Die bei Aktivierung von Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.
Anwendungen werden unterbrochen, wenn folgendes erforderlich ist:
- Kerberos-DES-Verschlüsselungsunterstützung
- Uneingeschränkte Kerberos-Delegierung
- Extrahieren des Kerberos-TGT
- NTLMv1
Anwendungen fordern Anmeldeinformationen auf und machen sie risikobehaftet, wenn sie Folgendes erfordern:
- Digestauthentifizierung
- Delegierung von Anmeldeinformationen
- MS-CHAPv2
Anwendungen können Leistungsprobleme verursachen, wenn sie versuchen, den isolierten Credential Guard-Prozess LSAIso.exezu verbinden.
Dienste oder Protokolle, die auf Kerberos basieren, z. B. Dateifreigaben oder Remotedesktop, funktionieren weiterhin und sind von Credential Guard nicht betroffen.
Nächste Schritte
- Informationen zur Funktionsweise von Credential Guard
- Erfahren Sie , wie Sie Credential Guard konfigurieren.
- Lesen Sie die Ratschläge und den Beispielcode, um Ihre Umgebung mit Credential Guard sicherer und robuster zu gestalten, im Artikel Zusätzliche Risikominderungen .
- Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für