Freigeben über


Übersicht über Credential Guard

Credential Guard verhindert Angriffe zum Diebstahl von Anmeldeinformationen, indem NTLM-Kennworthashes, Kerberos Ticket Granting Tickets (TGTs) und Von Anwendungen als Domänenanmeldeinformationen gespeicherte Anmeldeinformationen geschützt werden.

Credential Guard verwendet virtualisierungsbasierte Sicherheit (VBS), um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Nicht autorisierter Zugriff auf diese Geheimnisse kann zu Diebstahlangriffen von Anmeldeinformationen führen, z. B. das Übergeben des Hashs und das Übergeben des Tickets.

Wenn diese Option aktiviert ist, bietet Credential Guard die folgenden Vorteile:

  • Hardwaresicherheit: NTLM, Kerberos und Anmeldeinformations-Manager nutzen Plattformsicherheitsfeatures wie sicherer Start und Virtualisierung, um Anmeldeinformationen zu schützen.
  • Virtualisierungsbasierte Sicherheit: NTLM, von Kerberos abgeleitete Anmeldeinformationen und andere Geheimnisse werden in einer geschützten Umgebung ausgeführt, die vom ausgeführten Betriebssystem isoliert ist.
  • Schutz vor erweiterten persistenten Bedrohungen: Wenn Anmeldeinformationen mithilfe von VBS geschützt werden, werden die Techniken und Tools zum Diebstahl von Anmeldeinformationen blockiert, die bei vielen gezielten Angriffen verwendet werden. Schadsoftware, die im Betriebssystem mit Administratorrechten ausgeführt wird, kann keine Geheimnisse extrahieren, die durch VBS geschützt sind.

Hinweis

Credential Guard ist zwar eine leistungsstarke Gegenmaßnahme, aber persistente Bedrohungsangriffe werden sich wahrscheinlich auf neue Angriffstechniken verlagern, und Sie sollten auch andere Sicherheitsstrategien und -architekturen integrieren.

Standardaktivierung

Ab Windows 11, 22H2 und Windows Server 2025 sind VBS und Credential Guard auf Geräten, die die Anforderungen erfüllen, standardmäßig aktiviert.

Die Standardaktivierung ist ohne UEFI-Sperre, sodass Administratoren Credential Guard bei Bedarf remote deaktivieren können.

Wenn Credential Guard aktiviert ist, wird AUCH VBS automatisch aktiviert.

Hinweis

Wenn Credential Guard explizit deaktiviert wird, bevor ein Gerät auf Windows 11, Version 22H2/ Windows Server 2025 oder höher aktualisiert wird, überschreibt die Standardaktivierung die vorhandenen Einstellungen nicht. Auf diesem Gerät ist Credential Guard auch nach dem Update auf eine Version von Windows, die Credential Guard standardmäßig aktiviert, weiterhin deaktiviert.

Standardaktivierung unter Windows

Auf Geräten, auf denen Windows 11, 22H2 oder höher ausgeführt wird, ist Credential Guard standardmäßig aktiviert, wenn sie:

Hinweis

Auf Geräten, auf denen Windows 11 Pro/Pro Edu 22H2 oder höher ausgeführt wird, können Virtualisierungsbasierte Sicherheit (VBS) und/oder Credential Guard automatisch aktiviert werden, wenn sie die anderen Anforderungen für die Standardaktivierung erfüllen und zuvor Credential Guard ausgeführt haben. Beispiel: Credential Guard wurde auf einem Enterprise-Gerät aktiviert, das später auf Pro herabgestuft wurde.

Um zu ermitteln, ob sich das Pro-Gerät in diesem Zustand befindet, überprüfen Sie, ob der folgende Registrierungsschlüssel vorhanden ist: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Wenn Sie VBS und Credential Guard deaktivieren möchten, befolgen Sie in diesem Szenario die Anweisungen zum Deaktivieren der virtualisierungsbasierten Sicherheit. Wenn Sie nur Credential Guard deaktivieren möchten, ohne VBS zu deaktivieren, verwenden Sie die Verfahren zum Deaktivieren von Credential Guard.

Standardaktivierung unter Windows Server

Auf Geräten, auf denen Windows Server 2025 oder höher ausgeführt wird, ist Credential Guard standardmäßig aktiviert, wenn sie:

Wichtig

Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung finden Sie unter Credential Guard: bekannte Probleme.

Systemanforderungen

Damit Credential Guard Schutz bietet, muss das Gerät bestimmte Hardware-, Firmware- und Softwareanforderungen erfüllen.

Geräte, die die Mindestanforderungen für Hardware und Firmware überschreiten, erhalten zusätzlichen Schutz und sind besser gegen bestimmte Bedrohungen geschützt.

Hardware- und Softwareanforderungen

Für Credential Guard sind folgende Features erforderlich:

Obwohl nicht erforderlich, werden die folgenden Features empfohlen, um zusätzlichen Schutz bereitzustellen:

  • Trusted Platform Module (TPM), da es eine Bindung an Hardware bereitstellt. TPM-Versionen 1.2 und 2.0 werden unterstützt, entweder diskret oder Firmware
  • UEFI-Sperre, da sie verhindert, dass Angreifer Credential Guard mit einer Änderung des Registrierungsschlüssels deaktivieren

Ausführliche Informationen zu Den Schutzmaßnahmen für verbesserte Sicherheit, die mit Hardware- und Firmwareoptionen verbunden sind, finden Sie unter Zusätzliche Sicherheitsqualifikationen.

Credential Guard auf virtuellen Computern

Credential Guard kann Geheimnisse auf virtuellen Hyper-V-Computern genau wie auf einem physischen Computer schützen. Wenn Credential Guard auf einem virtuellen Computer aktiviert ist, werden Geheimnisse vor Angriffen innerhalb des virtuellen Computers geschützt. Credential Guard bietet keinen Schutz vor privilegierten Systemangriffen, die vom Host ausgehen.

Zum Ausführen von Credential Guard auf virtuellen Hyper-V-Computern gelten folgende Anforderungen:

  • Der Hyper-V-Host muss über eine IOMMU verfügen.
  • Der virtuelle Hyper-V-Computer muss generation 2 sein.

Hinweis

Credential Guard wird auf Hyper-V- oder Azure-VMs der Generation 1 nicht unterstützt. Credential Guard ist nur auf VMs der 2. Generation verfügbar.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Credential Guard unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Nein Ja Nein Ja

Credential Guard-Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Nein Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Anforderungen an Anwendungen

Wenn Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert. Anwendungen, für die solche Funktionen erforderlich sind, werden unterbrochen. Wir bezeichnen diese Anforderungen als Anwendungsanforderungen.

Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der eingeschränkten Funktionalität sicherzustellen.

Warnung

Das Aktivieren von Credential Guard auf Domänencontrollern wird nicht empfohlen. Credential Guard bietet keine zusätzliche Sicherheit für Domänencontroller und kann Probleme mit der Anwendungskompatibilität auf Domänencontrollern verursachen.

Hinweis

Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder den Security Accounts Manager (SAM). Die bei Aktivierung von Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.

Anwendungen werden unterbrochen, wenn folgendes erforderlich ist:

  • Kerberos-DES-Verschlüsselungsunterstützung
  • Uneingeschränkte Kerberos-Delegierung
  • Kerberos-TGT-Extraktion
  • NTLMv1

Anwendungen fragen Anmeldeinformationen ab und setzen sie einem Risiko aus, wenn sie Folgendes erfordern:

  • Digestauthentifizierung
  • Delegierung von Anmeldeinformationen
  • MS-CHAPv2
  • CredSSP

Anwendungen können Leistungsprobleme verursachen, wenn sie versuchen, den isolierten Credential Guard-Prozess LSAIso.exezu verbinden.

Dienste oder Protokolle, die auf Kerberos basieren, z. B. Dateifreigaben oder Remotedesktop, funktionieren weiterhin und sind von Credential Guard nicht betroffen.

Nächste Schritte