Поделиться через


Рекомендации и известные проблемы при использовании Credential Guard

Корпорация Майкрософт рекомендует не только развернуть Credential Guard, но и переходить от паролей к другим методам проверки подлинности, таким как Windows Hello для бизнеса, ключи безопасности FIDO 2 или смарт-карты.

Рекомендации по обновлению

По мере развития и улучшения функций безопасности Credential Guard новые версии Windows под управлением Credential Guard могут повлиять на ранее функциональные сценарии. Например, Credential Guard может ограничить использование определенных учетных данных или компонентов, чтобы помешать вредоносным программам использовать уязвимости.

Рекомендуется тщательно протестировать рабочие сценарии в организации перед обновлением устройств, использующих Credential Guard.

При обновлении до Windows 11 версии 22H2 и Windows Server 2025 Credential Guard включена по умолчанию, если она не отключена явным образом.

Рекомендации по Wi-Fi и VPN

Если Credential Guard включен, вы больше не сможете использовать классическую проверку подлинности NTLM (NTLMv1) для единого входа. Вы будете вынуждены ввести свои учетные данные для использования этих протоколов и не сможете сохранить учетные данные для использования в будущем.

Если вы используете конечные точки Wi-Fi и VPN, основанные на MS-CHAPv2, они подвергаются атакам, аналогичным атакам, что и для NTLMv1.

Для подключений Wi-Fi и VPN рекомендуется перейти от подключений на основе MSCHAPv2 (например, PEAP-MSCHAPv2 и EAP-MSCHAPv2) на проверку подлинности на основе сертификата (например, PEAP-TLS или EAP-TLS).

Рекомендации по делегированию

Если Credential Guard включен, некоторые типы делегирования удостоверений недоступны, так как их базовые схемы проверки подлинности несовместимы с Credential Guard или требуют предоставленных учетных данных.

Если Credential Guard включен, поставщик поддержки безопасности учетных данных ("CredSSP") больше не может использовать сохраненные учетные данные или учетные данные единого входа, хотя учетные данные cleartext по-прежнему можно указать. Делегирование на основе CredSSP требует предоставления учетных данных cleartext на целевом компьютере и не работает с единым входом после включения Credential Guard и блокировки раскрытия учетных данных cleartext. Использование CredSSP для делегирования и в целом не рекомендуется из-за риска кражи учетных данных.

Неограниченное делегирование Kerberos и DES блокируются Credential Guard. Неограниченное делегирование не рекомендуется.

Вместо этого для проверки подлинности обычно рекомендуется использовать Kerberos или Negotiate SSP , а для делегирования рекомендуется ограниченное делегирование Kerberos и ограниченное делегирование Kerberos на основе ресурсов . Эти методы обеспечивают большую безопасность учетных данных в целом, а также совместимы с Credential Guard.

Рекомендации по поставщикам поддержки безопасности сторонних производителей

Некоторые сторонние поставщики поддержки безопасности (SSP и APS) могут быть несовместимы с Credential Guard, так как они не разрешают SSP сторонних поставщиков услуг запрашивать хэши паролей из LSA. При этом SSP и AP все равно получают уведомление о пароле, когда пользователь входит в систему или меняет пароль. Любое использование недокументированных API в пользовательских SSP и APS не поддерживается.

Рекомендуется тестировать пользовательские реализации SSP/APS с помощью Credential Guard. SSP и AP, зависящие от недокументированного или неподдерживаемого поведения, использовать не удастся. Например, использование API KerbQuerySupplementalCredentialsMessage не поддерживается. Замена SSP NTLM или Kerberos другими SSP и AP.

Дополнительные сведения см. в разделе Ограничения по регистрации и установке пакета безопасности.

Рекомендации по сохраненным учетным данным Windows

Диспетчер учетных данных позволяет хранить три типа учетных данных:

  • Учетные данные Windows
  • Учетные данные на основе сертификатов
  • Универсальные учетные данные

Учетные данные домена, хранящиеся в диспетчере учетных данных, защищены с помощью Credential Guard.

Универсальные учетные данные, такие как имена пользователей и пароли, которые используются для входа на веб-сайты, не защищены, так как приложениям требуется пароль в виде ясного текста. Если приложению не нужна копия пароля, они могут сохранить учетные данные домена в качестве защищенных учетных данных Windows. Учетные данные Windows используются для подключения к другим компьютерам в сети.

В отношении данных, хранящихся в диспетчере учетных данных и защищенных с помощью Credential Guard, действуют следующие ограничения:

  • Учетные данные Windows, сохраненные клиентом удаленного рабочего стола, не могут быть отправлены на удаленный узел. Попытки использовать сохраненные учетные данные Windows завершаются ошибкой. Отображается сообщение об ошибке Попытка входа завершилась ошибкой
  • Приложения, извлекающие учетные данные Windows, завершаются сбоем
  • При резервном копировании учетных данных с компьютера с включенным Credential Guard учетные данные Windows восстановить невозможно. Если вам нужно создать резервную копию учетных данных, это необходимо сделать, прежде чем включить Credential Guard.

Рекомендации по очистке доверенного платформенного модуля

Функция обеспечения безопасности на основе виртуализации использует доверенный платформенный модуль для защиты своего ключа. После очистки доверенного платформенного модуля ключ TPM, используемый для шифрования секретов VBS, теряется.

Warning

Очистка доверенного платформенного модуля приводит к потере защищенных данных всех функций, использующих VBS для защиты данных.

После очистки доверенного платформенного модуля все функции, использующие VBS для защиты данных, больше не смогут расшифровать свои защищенные данные.

В результате Credential Guard больше не может расшифровывать защищенные данные. VBS создает новый ключ, защищенный доверенным платформенным модулем, для Credential Guard. Credential Guard использует новый ключ для защиты новых данных. Однако ранее защищенные данные теряются безвозвратно.

Примечание.

Credential Guard получает ключ во время инициализации, Потеря данных повлияет только на постоянные данные и произойдет после следующего запуска системы.

Учетные данные Windows, сохраненные в диспетчере учетных данных

Так как диспетчер учетных данных не может расшифровать сохраненные учетные данные Windows, они удаляются. Приложения будут запрашивать ранее сохраненные учетные данные. При очередном сохранении учетные данные Windows защищаются Credential Guard.

Автоматически подготовленный открытый ключ устройства, присоединенного к домену

Присоединенные к домену устройства Active Directory автоматически подготавливают привязанный открытый ключ. Дополнительные сведения об автоматической подготовке открытого ключа см. в статье Проверка подлинности устройства с открытым ключом, присоединенного к домену.

Так как Credential Guard не может расшифровать защищенный закрытый ключ, Windows использует пароль компьютера, присоединенного к домену, для проверки подлинности в домене. Если не развернуты другие политики, не должно быть потери функциональности. Если устройство настроено для использования только открытого ключа, оно не сможет пройти проверку подлинности с помощью пароля, пока эта политика не будет отключена. Дополнительные сведения о настройке устройств для использования только открытого ключа см. в разделе Проверка подлинности открытого ключа устройства, присоединенного к домену.

Кроме того, если какие-либо проверки контроля доступа, включая политики проверки подлинности, требуют, чтобы устройства имели или KEY TRUST IDENTITY (S-1-18-4)FRESH PUBLIC KEY IDENTITY (S-1-18-3) хорошо известные идентификаторы безопасности, эти проверки доступа завершаются ошибкой. Дополнительные сведения о политиках проверки подлинности см. в разделе Политики проверки подлинности и приемники команд политик проверки подлинности. Дополнительные сведения об известных идентификаторах безопасности см. в разделе 2.4.2.4 [MS-DTYP] "Структуры известных идентификаторов безопасности".

Неисправность DPAPI на устройствах, присоединенных к домену

На устройствах, присоединенных к домену, DPAPI может восстановить ключи пользователей с помощью контроллера домена пользователя. Если присоединенное к домену устройство не имеет подключения к контроллеру домена, восстановление невозможно.

Важно.

При очистке доверенного платформенного модуля на устройстве, присоединенном к домену, рекомендуется обеспечить сетевое подключение к контроллерам домена. Это необходимо, чтобы интерфейс DPAPI работал исправно, а пользователь не сталкивался с ошибками в поведении.

Автоматическая конфигурация VPN защищена с использованием DPAPI пользователя. Возможно, пользователь не сможет использовать VPN для подключения к контроллерам домена, так как конфигурации VPN потеряны. При очистке доверенного платформенного модуля на устройстве, присоединенном к домену, без подключения к контроллерам домена необходимо учесть следующее.

Пользователь домена входит на присоединенное к домену устройство после очистки доверенного платформенного модуля до тех пор, пока нет подключения к контроллеру домена:

Тип учетных данных Поведение
Сертификат (смарт-карта или Windows Hello для бизнеса) Все данные, защищенные с помощью пользовательского DPAPI, недоступны для использования, а DPAPI пользователя вообще не работает.
Пароль Если пользователь вошел с помощью сертификата или пароля перед очисткой доверенного платформенного модуля, он может войти с паролем, и DPAPI пользователя не влияет.

После подключения устройства к контроллерам домена DPAPI восстанавливает ключ пользователя, а данные, находившиеся под защитой до очистки доверенного платформенного модуля, можно расшифровать.

Влияние сбоев DPAPI на Windows Information Protection

Если данные, защищенные DPAPI пользователя, непригодны для использования, пользователь теряет доступ ко всем рабочим данным, находящимся под защитой Windows Information Protection. Влияние: Outlook не может запуститься, и рабочие защищенные документы не могут быть открыты. Если DPAPI работает, новые созданные рабочие данные защищены и доступны.

Решение. Для решения проблемы пользователи могут подключить устройство к домену и перезагрузить его или воспользоваться сертификатом агента восстановления данных шифрованной файловой системы. Дополнительные сведения о сертификате агента восстановления данных шифрованной файловой системы см. в разделе Создание и проверка сертификата агента восстановления данных (DRA) шифрованной файловой системы (EFS).

Известные проблемы

Credential Guard блокирует определенные возможности проверки подлинности. Приложения, которым требуются такие возможности, не будут работать при включении Credential Guard.

В этой статье описаны известные проблемы, возникающие при включении Credential Guard.

Динамическая миграция с помощью Hyper-V прерывается при обновлении до Windows Server 2025

Устройства, использующие делегирование на основе CredSSP, больше не смогут использовать динамическую миграцию с Hyper-V после обновления до Windows Server 2025. Приложения и службы, использующие динамическую миграцию (например , SCVMM), также могут быть затронуты. Делегирование на основе CredSSP используется по умолчанию для Windows Server 2022 и более ранних версий для динамической миграции.

Описание
Затронутые устройства Эта проблема может возникнуть на любом сервере с включенным Credential Guard. Начиная с Windows Server 2025 Credential Guard включена по умолчанию на всех присоединенных к домену серверах, которые не являются контроллерами домена. Включение Credential Guard по умолчанию может быть предварительно заблокировано перед обновлением .
Причина проблемы Динамическая миграция с Hyper-V и приложениями и службами, которые на ней полагаются, возникает проблема, если один или оба конца данного подключения пытаются использовать CredSSP с включенным Credential Guard. Если Credential Guard включен, CredSSP может использовать только предоставленные учетные данные, но не сохраненные или учетные данные единого входа.

Если исходный компьютер динамической миграции использует CredSSP для делегирования с включенным Credential Guard, динамическая миграция завершается сбоем. В большинстве случаев состояние включения Credential Guard на конечном компьютере не влияет на динамическую миграцию. Динамическая миграция также завершается сбоем в сценариях кластера (например, SCVMM), так как любое устройство может выступать в качестве исходного компьютера.
Разрешение Вместо делегирования CredSSP рекомендуется использовать ограниченное делегирование Kerberos и ограниченное делегирование Kerberos Resource-Based . Эти формы делегирования обеспечивают большую защиту учетных данных в дополнение к совместимости с Credential Guard. Администраторы Hyper-V могут настроить эти типы делегирования вручную или с помощью автоматизированных скриптов.

Единый вход для сетевых служб прерывается после обновления до Windows 11 версии 22H2 или Windows Server 2025

Устройства, использующие беспроводные или проводные сети, RDP или VPN-подключения 802.1x, использующие небезопасные протоколы с проверкой подлинности на основе пароля, не могут использовать единый вход для входа и вынуждены вручную повторно пройти проверку подлинности в каждом новом сеансе Windows при запуске Credential Guard.

Описание
Затронутые устройства Проблема может возникнуть на любом устройстве с включенным Credential Guard. Начиная с Windows 11 версии 22H2 и Windows Server 2025, соответствующие устройствам, которые не отключали Credential Guard, по умолчанию включены. Это влияет на все устройства с корпоративными (E3 и E5) и лицензиями для образовательных учреждений, а также некоторыми лицензиями Pro, если они соответствуют минимальным требованиям к оборудованию.

Все устройства Windows Pro, которые ранее работали под управлением Credential Guard по соответствующей лицензии, а затем были понижены до Pro и которые по-прежнему соответствуют минимальным требованиям к оборудованию, получают включение по умолчанию.
Причина проблемы На приложения и службы влияет проблема, когда они используют небезопасные протоколы, использующие проверку подлинности на основе пароля. Такие протоколы считаются небезопасными, так как они могут привести к раскрытию пароля на клиенте или сервере, а Credential Guard блокирует их. Затронутые протоколы:

— неограниченное делегирование Kerberos (единый вход и предоставленные учетные данные блокируются)
— Kerberos, когда PKINIT использует шифрование RSA вместо Diffie-Hellman (единый вход и предоставленные учетные данные блокируются).
— MS-CHAP (заблокирован только единый вход)
— WDigest (заблокирован только единый вход)
— NTLM версии 1 (заблокирован только единый вход)

Примечание. Так как для MS-CHAP, WDigest и NTLM версии 1 заблокирован только единый вход, эти протоколы по-прежнему можно использовать, запрашивая у пользователя учетные данные.
Разрешение Корпорация Майкрософт рекомендует перейти от подключений на основе MSCHAPv2 (например, PEAP-MSCHAPv2 и EAP-MSCHAPv2) к проверке подлинности на основе сертификатов (например, PEAP-TLS или EAP-TLS). Credential Guard не блокирует проверку подлинности на основе сертификата.

Для более быстрого, но менее безопасного исправления отключите Credential Guard. Credential Guard не имеет политик для каждого протокола или приложения, и его можно включить или отключить. Если вы отключите Credential Guard, вы оставляете сохраненные учетные данные домена уязвимыми для кражи.

Совет

Чтобы предотвратить включение по умолчанию, настройте устройства для отключения Credential Guard перед обновлением до версии, которая получила включение по умолчанию. Если параметр не настроен (что является состоянием по умолчанию) и если устройство подходит, устройство автоматически включает Credential Guard после обновления.

Если Credential Guard явно отключен, устройство не будет автоматически включать Credential Guard после обновления.

Примечание.

Чтобы определить, получает ли устройство Windows Pro включение по умолчанию при обновлении до Windows 11 версии 22H2 или Windows Server 2025, проверка, присутствует ли раздел IsolatedCredentialsRootSecret реестра в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. Если он присутствует, устройство включает Credential Guard после обновления.

Credential Guard можно отключить после обновления, следуя инструкциям по отключению.

Подтверждение проблемы

MS-CHAP и NTLMv1 относятся к прерыванию единого входа после обновления Windows 11 версии 22H2. Чтобы убедиться, что Credential Guard блокирует MS-CHAP или NTLMv1, откройте Просмотр событий (eventvwr.exe) и перейдите к Application and Services Logs\Microsoft\Windows\NTLM\Operational. Проверьте следующие журналы:

Идентификатор события (тип)

Описание

4013 (предупреждение)

<string
id="NTLMv1BlockedByCredGuard"
value="Attempt to use NTLMv1 failed.
Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID
of client process: %4%nName
of client process: %5%nLUID
of client process: %6%nUser identity
of client process: %7%nDomain name
of user identity of client process: %8%nMechanism OID: 9%n%n
This device doesn't support NTLMv1.
/>

4014 (ошибка)

<string
id="NTLMGetCredentialKeyBlockedByCredGuard"
value="Attempt to get credential key by call package blocked by Credential Guard.%n%n
Calling Process Name: %1%nService Host Tag: %2"
/>

Проблемы с приложениями сторонних корпораций

Следующая проблема влияет на MSCHAPv2:

Следующая проблема затрагивает Java GSS API. См. следующую статью базы данных ошибок Oracle:

Если Credential Guard включен в Windows, API Java GSS не проходит проверку подлинности. Credential Guard блокирует определенные возможности проверки подлинности приложений и не предоставляет ключ сеанса TGT приложениям, независимо от параметров раздела реестра. Дополнительные сведения см. в разделе Требования к приложениям.

Поддержка поставщика

Следующие продукты и службы не поддерживают Credential Guard:

Важно.

Этот список не является исчерпывающим. Проверьте, поддерживает ли поставщик продукта, версию продукта или компьютерную систему Credential Guard в системах под управлением определенной версии Windows. Определенные модели компьютерной системы могут быть несовместимы с Credential Guard.