Übersicht über Credential Guard
Credential Guard verhindert Angriffe zum Diebstahl von Anmeldeinformationen, indem NTLM-Kennworthashes, Kerberos Ticket Granting Tickets (TGTs) und Von Anwendungen als Domänenanmeldeinformationen gespeicherte Anmeldeinformationen geschützt werden.
Credential Guard verwendet virtualisierungsbasierte Sicherheit (VBS), um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Nicht autorisierter Zugriff auf diese Geheimnisse kann zu Diebstahlangriffen von Anmeldeinformationen führen, z. B. das Übergeben des Hashs und das Übergeben des Tickets.
Wenn diese Option aktiviert ist, bietet Credential Guard die folgenden Vorteile:
- Hardwaresicherheit: NTLM, Kerberos und Anmeldeinformations-Manager nutzen Plattformsicherheitsfeatures wie sicherer Start und Virtualisierung, um Anmeldeinformationen zu schützen.
- Virtualisierungsbasierte Sicherheit: NTLM, von Kerberos abgeleitete Anmeldeinformationen und andere Geheimnisse werden in einer geschützten Umgebung ausgeführt, die vom ausgeführten Betriebssystem isoliert ist.
- Schutz vor erweiterten persistenten Bedrohungen: Wenn Anmeldeinformationen mithilfe von VBS geschützt werden, werden die Techniken und Tools zum Diebstahl von Anmeldeinformationen blockiert, die bei vielen gezielten Angriffen verwendet werden. Schadsoftware, die im Betriebssystem mit Administratorrechten ausgeführt wird, kann keine Geheimnisse extrahieren, die durch VBS geschützt sind.
Hinweis
Credential Guard ist zwar eine leistungsstarke Gegenmaßnahme, aber persistente Bedrohungsangriffe werden sich wahrscheinlich auf neue Angriffstechniken verlagern, und Sie sollten auch andere Sicherheitsstrategien und -architekturen integrieren.
Standardaktivierung
Ab Windows 11, 22H2 und Windows Server 2025 sind VBS und Credential Guard auf Geräten, die die Anforderungen erfüllen, standardmäßig aktiviert.
Die Standardaktivierung ist ohne UEFI-Sperre, sodass Administratoren Credential Guard bei Bedarf remote deaktivieren können.
Wenn Credential Guard aktiviert ist, wird AUCH VBS automatisch aktiviert.
Hinweis
Wenn Credential Guard explizit deaktiviert wird, bevor ein Gerät auf Windows 11, Version 22H2/ Windows Server 2025 oder höher aktualisiert wird, überschreibt die Standardaktivierung die vorhandenen Einstellungen nicht. Auf diesem Gerät ist Credential Guard auch nach dem Update auf eine Version von Windows, die Credential Guard standardmäßig aktiviert, weiterhin deaktiviert.
Standardaktivierung unter Windows
Auf Geräten, auf denen Windows 11, 22H2 oder höher ausgeführt wird, ist Credential Guard standardmäßig aktiviert, wenn sie:
- Erfüllen der Lizenzanforderungen
- Erfüllen der Hardware- und Softwareanforderungen
- Sind nicht explizit für die Deaktivierung von Credential Guard konfiguriert
Hinweis
Auf Geräten, auf denen Windows 11 Pro/Pro Edu 22H2 oder höher ausgeführt wird, können Virtualisierungsbasierte Sicherheit (VBS) und/oder Credential Guard automatisch aktiviert werden, wenn sie die anderen Anforderungen für die Standardaktivierung erfüllen und zuvor Credential Guard ausgeführt haben. Beispiel: Credential Guard wurde auf einem Enterprise-Gerät aktiviert, das später auf Pro herabgestuft wurde.
Um zu ermitteln, ob sich das Pro-Gerät in diesem Zustand befindet, überprüfen Sie, ob der folgende Registrierungsschlüssel vorhanden ist: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret
. Wenn Sie VBS und Credential Guard deaktivieren möchten, befolgen Sie in diesem Szenario die Anweisungen zum Deaktivieren der virtualisierungsbasierten Sicherheit. Wenn Sie nur Credential Guard deaktivieren möchten, ohne VBS zu deaktivieren, verwenden Sie die Verfahren zum Deaktivieren von Credential Guard.
Standardaktivierung unter Windows Server
Auf Geräten, auf denen Windows Server 2025 oder höher ausgeführt wird, ist Credential Guard standardmäßig aktiviert, wenn sie:
- Erfüllen der Lizenzanforderungen
- Erfüllen der Hardware- und Softwareanforderungen
- Sind nicht explizit für die Deaktivierung von Credential Guard konfiguriert
- Mit einer Domäne verknüpft werden
- Kein Domänencontroller
Wichtig
Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung finden Sie unter Credential Guard: bekannte Probleme.
Systemanforderungen
Damit Credential Guard Schutz bietet, muss das Gerät bestimmte Hardware-, Firmware- und Softwareanforderungen erfüllen.
Geräte, die die Mindestanforderungen für Hardware und Firmware überschreiten, erhalten zusätzlichen Schutz und sind besser gegen bestimmte Bedrohungen geschützt.
Hardware- und Softwareanforderungen
Für Credential Guard sind folgende Features erforderlich:
- Virtualisierungsbasierte Sicherheit (VBS)
Hinweis
VBS hat unterschiedliche Anforderungen, um es auf verschiedenen Hardwareplattformen zu aktivieren. Weitere Informationen finden Sie unter Virtualisierungsbasierte Sicherheitsanforderungen.
- Sicherer Start
Obwohl nicht erforderlich, werden die folgenden Features empfohlen, um zusätzlichen Schutz bereitzustellen:
- Trusted Platform Module (TPM), da es eine Bindung an Hardware bereitstellt. TPM-Versionen 1.2 und 2.0 werden unterstützt, entweder diskret oder Firmware
- UEFI-Sperre, da sie verhindert, dass Angreifer Credential Guard mit einer Änderung des Registrierungsschlüssels deaktivieren
Ausführliche Informationen zu Den Schutzmaßnahmen für verbesserte Sicherheit, die mit Hardware- und Firmwareoptionen verbunden sind, finden Sie unter Zusätzliche Sicherheitsqualifikationen.
Credential Guard auf virtuellen Computern
Credential Guard kann Geheimnisse auf virtuellen Hyper-V-Computern genau wie auf einem physischen Computer schützen. Wenn Credential Guard auf einem virtuellen Computer aktiviert ist, werden Geheimnisse vor Angriffen innerhalb des virtuellen Computers geschützt. Credential Guard bietet keinen Schutz vor privilegierten Systemangriffen, die vom Host ausgehen.
Zum Ausführen von Credential Guard auf virtuellen Hyper-V-Computern gelten folgende Anforderungen:
- Der Hyper-V-Host muss über eine IOMMU verfügen.
- Der virtuelle Hyper-V-Computer muss generation 2 sein.
Hinweis
Credential Guard wird auf Hyper-V- oder Azure-VMs der Generation 1 nicht unterstützt. Credential Guard ist nur auf VMs der 2. Generation verfügbar.
Windows-Edition und Lizenzierungsanforderungen
In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Credential Guard unterstützen:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Nein | Ja | Nein | Ja |
Credential Guard-Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Nein | Ja | Ja | Ja | Ja |
Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.
Anforderungen an Anwendungen
Wenn Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert. Anwendungen, für die solche Funktionen erforderlich sind, werden unterbrochen. Wir bezeichnen diese Anforderungen als Anwendungsanforderungen.
Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der eingeschränkten Funktionalität sicherzustellen.
Warnung
Das Aktivieren von Credential Guard auf Domänencontrollern wird nicht empfohlen. Credential Guard bietet keine zusätzliche Sicherheit für Domänencontroller und kann Probleme mit der Anwendungskompatibilität auf Domänencontrollern verursachen.
Hinweis
Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder den Security Accounts Manager (SAM). Die bei Aktivierung von Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.
Anwendungen werden unterbrochen, wenn folgendes erforderlich ist:
- Kerberos-DES-Verschlüsselungsunterstützung
- Uneingeschränkte Kerberos-Delegierung
- Kerberos-TGT-Extraktion
- NTLMv1
Anwendungen fragen Anmeldeinformationen ab und setzen sie einem Risiko aus, wenn sie Folgendes erfordern:
- Digestauthentifizierung
- Delegierung von Anmeldeinformationen
- MS-CHAPv2
- CredSSP
Anwendungen können Leistungsprobleme verursachen, wenn sie versuchen, den isolierten Credential Guard-Prozess LSAIso.exe
zu verbinden.
Dienste oder Protokolle, die auf Kerberos basieren, z. B. Dateifreigaben oder Remotedesktop, funktionieren weiterhin und sind von Credential Guard nicht betroffen.
Nächste Schritte
- Informationen zur Funktionsweise von Credential Guard
- Erfahren Sie , wie Sie Credential Guard konfigurieren.
- Lesen Sie die Ratschläge und den Beispielcode, um Ihre Umgebung mit Credential Guard sicherer und robuster zu gestalten, im Artikel Zusätzliche Risikominderungen .
- Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard