Microsoft Defender Credential Guard 硬件要求
Microsoft Defender Credential Guard 使用基于虚拟化的安全性来隔离和保护机密(例如,NTLM 密码哈希和 Kerberos 票证授予票证),以阻止哈希传递或 Pass-the-Ticket (PtH) 攻击。 启用 Microsoft Defender Credential Guard 后,NTLMv1、MS-CHAPv2、Digest 和 CredSSP 都无法使用登录凭据。 因此,单一登录无法与这些协议一起使用。 但是,应用程序可以提示输入凭据或使用 Windows 保管库中存储的凭据,使用其中的任意协议时,这些凭据不受 Microsoft Defender Credential Guard 的保护。
强烈建议不要将有价值的凭据(例如登录凭据)与其中任何协议一起使用。 如果域用户或 Azure AD 用户必须使用这些协议,应为这些使用案例预配辅助凭据。
启用 Microsoft Defender Credential Guard 后,Kerberos 不允许不受约束的 Kerberos 委派或 DES 加密,不仅针对登录凭据,还针对提示的凭据或保存的凭据。
注意:从 Windows 10 版本 1709 和 Windows Server 版本 1709 开始,当通过 BIOS 在平台中启用 Intel TXT 或 SGX 时,虚拟机监控程序保护的代码完整性 (HCVI) 和 Credential Guard 不受影响,并且将按预期方式工作。 当通过 BIOS 在平台中启用 Intel TXT 或 SGX 时,早期版本的 Windows 不支持 HVCI 和 Credential Guard。
若要更好地了解 Microsoft Defender Credential Guard 是什么以及它可以防御哪些攻击,请参阅深入探讨 Credential Guard。
IT 专业人员:若要了解如何在企业中部署 Microsoft Defender Credential Guard,请参阅使用 Credential Guard 保护派生的域凭据。
要像 Windows 硬件兼容性要求 (WHCR) 中规定的那样,让设备支持 Microsoft Defender Credential Guard,作为 OEM,你必须提供以下硬件、软件或固件功能。
| 要求 | 详细信息 |
|---|---|
| 安全启动 | 必须支持基于硬件的安全启动。 若要了解详细信息,请参阅安全启动。 |
| 安全启动配置和管理 |
|
| 安全固件更新过程 | 与 UEFI 软件一样,UEFI 固件也可能存在安全漏洞。 当通过固件更新发现此类漏洞时,必须具备立即修补此类漏洞的能力。 UEFI 固件必须支持遵循 System.Fundamentals.Firmware.UEFISecureBoot 下的 Windows 10 系统硬件兼容性规范的安全固件更新。 |
| 统一可扩展固件接口 (UEFI) | 若要了解详细信息,请参阅统一可扩展固件接口 (UEFI) 固件要求。 |
| 基于虚拟化的安全性 (VBS) | 虚拟机监控程序保护的代码完整性需要 VBS。 若要了解有关 VBS 的详细信息,请阅读基于虚拟化的安全性 (VBS)。 |
虚拟机监控程序保护的代码完整性和 Credential Guard 准备工具
若要确定设备是否能够运行 HVCI 和 Credential Guard,请下载 HVCI 和 Credential Guard 硬件准备工具。