Поделиться через

Требования к оборудованию Credential Guard в Microsoft Defender

  • Статья

Microsoft Defender Credential Guard использует безопасность на основе виртуализации для изоляции и защиты секретов (например, хэшей паролей NTLM и билетов на предоставление билетов Kerberos) для блокировки атак pass-the-hash или pass-the-ticket (PtH). Если Microsoft Defender Credential Guard включен, NTLMv1, MS-CHAPv2, Digest и CredSSP не могут использовать учетные данные для входа. Таким образом, единый вход не работает с этими протоколами. Однако приложения могут запрашивать учетные данные или использовать учетные данные, хранящиеся в Хранилище Windows, которые не защищены Microsoft Defender Credential Guard с помощью любого из этих протоколов.

Настоятельно рекомендуется использовать ценные учетные данные, такие как учетные данные входа, а не использовать с этими протоколами. Если эти протоколы должны использоваться пользователями домена или Azure AD, дополнительные учетные данные должны быть подготовлены для этих вариантов использования.

Если в Microsoft Defender Credential Guard включена, Kerberos не разрешает неограниченное делегирование Kerberos или шифрование DES, а не только для учетных данных входа, но и запрашивает или сохраняет учетные данные.

Примечание. Начиная с Windows 10 версии 1709 и Windows Server версии 1709, если Intel TXT или SGX включены на платформе через BIOS, целостность кода с защитой гипервизора (HCVI) и Credential Guard не влияют и будут работать должным образом. HVCI и Credential Guard не поддерживаются в более ранних версиях Windows, если intel TXT или SGX включены на платформе через BIOS.

Чтобы лучше понять, что такое Credential Guard в Microsoft Defender и какие атаки он защищает снова, см . подробный обзор Credential Guard.

ИТ-специалисты. Сведения о развертывании Microsoft Defender Credential Guard в вашей организации см. в статье "Защита производных учетных данных домена с помощью Credential Guard".

Чтобы устройство поддерживало Credential Guard в Microsoft Defender, как указано в требованиях к совместимости оборудования Windows (WHCR), изготовитель оборудования должен предоставить следующие аппаратные компоненты, программное обеспечение или встроенное ПО.

Требование Сведения
Безопасная загрузка Безопасная загрузка на основе оборудования должна поддерживаться. Дополнительные сведения см. в статье "Безопасная загрузка".
Настройка и управление безопасной загрузкой
  • Вы должны иметь возможность добавлять isV, OEM или Корпоративный сертификат в базу данных безопасной загрузки во время производства.
  • ЦС Microsoft UEFI необходимо удалить из базы данных безопасной загрузки. Поддержка сторонних модулей UEFI разрешена, но должна использовать предоставленные поставщиком поставщиков программного обеспечения сертификаты или сертификат OEM для конкретного программного обеспечения UEFI.
Процесс обновления безопасного встроенного ПО Как и программное обеспечение UEFI, встроенное ПО UEFI может иметь уязвимости безопасности. Важно иметь возможность немедленно исправить такие уязвимости при обнаружении обновлений встроенного ПО. Встроенное ПО UEFI должно поддерживать безопасное обновление встроенного ПО после спецификации совместимости оборудования для систем для Windows 10 в разделе System.Fundamentals.Firmware.UEFISecureBoot.
Расширяемый интерфейс встроенного ПО (UEFI) Дополнительные сведения см. в статьях о требованиях встроенного по встроенного ПО (UEFI) в United Extensible.
Безопасность на основе виртуализации (VBS) Для целостности защищенного гипервизора требуется VBS. Дополнительные сведения о VBS см. в статьях "Безопасность на основе виртуализации" (VBS).

Средство обеспечения целостности кода с защитой от гипервизора и проверки готовности Credential Guard

Чтобы определить, может ли устройство запускать HVCI и Credential Guard, скачайте средство готовности оборудования HVCI и Credential Guard.