Configuration matérielle requise pour Microsoft Defender Credential Guard
Microsoft Defender Credential Guard utilise la sécurité basée sur la virtualisation pour isoler et protéger les secrets (par exemple, les hachages de mot de passe NTLM et les tickets d’octroi de tickets Kerberos) afin de bloquer les attaques de type pass-the-hash ou pass-the-ticket (PtH). Quand Microsoft Defender Credential Guard est activé, NTLMv1, MS-CHAPv2, Digest et CredSSP ne peuvent pas utiliser les informations d’identification utilisées pour la connexion. Par conséquent, l’authentification unique ne fonctionne pas avec ces protocoles. Cependant, les applications peuvent demander des informations d’identification ou utiliser des informations d’identification stockées dans le coffre Windows, qui ne sont pas protégées par Microsoft Defender Credential Guard avec aucun de ces protocoles.
Il est fortement recommandé que les informations d’identification importantes, comme les informations d’authentification de connexion, ne soient utilisées avec aucun de ces protocoles. Si ces protocoles doivent être utilisés par des utilisateurs du domaine ou des utilisateurs Azure AD, des informations d’identification secondaires doivent être configurées pour ces cas d’usage.
Quand Microsoft Defender Credential Guard est activé, Kerberos n’autorise pas la délégation Kerberos non contrainte ou le chiffrement DES, non seulement pour les informations d’identification de connexion mais aussi pour les informations d’identification demandées ou enregistrées.
Remarque : à partir de Windows 10 version 1709 et de Windows Server version 1709, lorsque Intel TXT ou SGX sont activés dans une plateforme via le BIOS, Hypervisor-Protected Code Integrity (HCVI) et Credential Guard ne sont pas affectés et fonctionnent comme prévu. HVCI et Credential Guard ne sont pas pris en charge sur les versions antérieures de Windows lorsque Intel TXT ou SGX sont activés dans une plateforme via le BIOS.
Pour mieux comprendre à quoi sert Microsoft Defender Credential Guard et quelles sont les attaques ciblées, consultez Deep Dive into Credential Guard.
Professionnels de l’informatique : pour savoir comment déployer Microsoft Defender Credential Guard dans votre entreprise, consultez Protéger les informations d’identification de domaine dérivées avec Credential Guard.
Pour qu’un appareil prenne en charge Microsoft Defender Credential Guard comme spécifié dans la configuration WHCR (Windows Hardware Compatibility Requirements), vous devez fournir les caractéristiques matérielles, logicielles ou microprogrammes suivantes.
| Prérequis | Détails |
|---|---|
| Démarrage sécurisé | Le démarrage sécurisé basé sur le matériel doit être pris en charge. Pour plus d’informations, consultez Démarrage sécurisé. |
| Configuration et gestion du démarrage sécurisés |
|
| Processus de mise à jour du microprogramme sécurisée | Comme les logiciels UEFI, le microprogramme UEFI peut avoir des vulnérabilités de sécurité. Il est essentiel d’avoir la possibilité de corriger immédiatement ces vulnérabilités lorsqu’elles sont détectées via les mises à jour du microprogramme. Le microprogramme UEFI doit prendre en charge la mise à jour sécurisée du microprogramme suivant la spécification de compatibilité matérielle pour les systèmes pour Windows 10 sous System.Fundamentals.Firmware.UEFISecureBoot. |
| United Extensible Firmware Interface (UEFI) | Pour en savoir plus, consultez Configuration requise pour United Extensible Firmware Interface (UEFI). |
| Sécurité basée sur la virtualisation (VBS) | Hypervisor-Protected Code Integrity nécessite la VBS. Pour en savoir plus sur la VBS, lisez Sécurité basée sur la virtualisation (VBS). |
Outil de préparation à Hypervisor-Protected Code Integrity et Credential Guard
Pour déterminer si un appareil est en mesure d’exécuter HVCI et Credential Guard, téléchargez l’outil de préparation à Hypervisor-Protected Code Integrity et Credential Guard.