Credential Guard 概述

Credential Guard 通过保护 NTLM 密码哈希、Kerberos 票证授予票证 (TGT) 以及应用程序存储为域凭据的凭据来防止凭据被盗攻击。

Credential Guard 使用 基于虚拟化的安全 (VBS) 来隔离机密,以便只有特权系统软件可以访问它们。 未经授权访问这些机密可能会导致凭据窃取攻击,例如 传递哈希传递票证

启用后,Credential Guard 具有以下优势:

  • 硬件安全性:NTLM、Kerberos 和凭据管理器利用平台安全功能(包括安全启动和虚拟化)来保护凭据
  • 基于虚拟化的安全性:NTLM、Kerberos 派生凭据和其他机密在与正在运行的操作系统隔离的受保护环境中运行
  • 防范高级持久性威胁:使用 VBS 保护凭据时,会阻止许多目标攻击中使用的凭据盗窃攻击技术和工具。 在具有管理权限的操作系统中运行的恶意软件无法提取受 VBS 保护的机密

注意

虽然 Credential Guard 是一种强大的缓解措施,但持续威胁攻击可能会转移到新的攻击技术,并且你还应合并其他安全策略和体系结构。

默认启用

Windows 11、22H2Windows Server 2025 开始,VBS 和 Credential Guard 默认在满足要求的设备上启用。

默认启用 没有 UEFI 锁定,因此允许管理员在需要时远程禁用 Credential Guard。

启用 Credential Guard 后, VBS 也会自动启用。

注意

如果在设备更新为Windows 11版本 22H2 /Windows Server 2025 或更高版本之前显式禁用 Credential Guard,则默认启用不会覆盖现有设置。 即使更新到默认启用 Credential Guard 的 Windows 版本,该设备仍将继续禁用 Credential Guard。

Windows 上的默认启用

运行 Windows 11、22H2 或更高版本的设备默认启用 Credential Guard,前提是:

注意

运行 Windows 11 专业版/Pro Edu 22H2 或更高版本的设备可以自动启用基于虚拟化的安全 (VBS) 和/或 Credential Guard(如果它们满足默认启用的其他要求,并且以前运行过 Credential Guard)。 例如,如果在后来降级为 Pro 的企业设备上启用了 Credential Guard。

若要确定 Pro 设备是否处于此状态,检查是否存在以下注册表项:Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。 在此方案中,如果要禁用 VBS 和 Credential Guard,请按照说明 禁用基于虚拟化的安全性。 如果只想禁用 Credential Guard,而不禁用 VBS,请使用过程 禁用 Credential Guard

Windows Server 上的默认启用

运行 Windows Server 2025 或更高版本的设备在默认情况下已启用 Credential Guard,前提是:

重要提示

有关与默认启用相关的已知问题的信息,请参阅 Credential Guard:已知问题

系统要求

要使 Credential Guard 提供保护,设备必须满足某些硬件、固件和软件要求。

超过最低硬件和固件资格的设备将获得额外的保护,并且能够更强化地抵御某些威胁。

硬件和软件要求

Credential Guard 需要以下功能:

虽然不是必需的,但建议使用以下功能来提供其他保护:

  • 受信任的平台模块 (TPM) ,因为它提供到硬件的绑定。 支持 TPM 版本 1.2 和 2.0(离散或固件)
  • UEFI 锁定,因为它可以防止攻击者使用注册表项更改禁用 Credential Guard

有关与硬件和固件选项关联的增强安全性保护的详细信息,请参阅 其他安全资格

虚拟机中的 Credential Guard

Credential Guard 可以保护 Hyper-V 虚拟机中的机密,就像在物理计算机上一样。 在 VM 上启用 Credential Guard 后,机密将受到保护,使其免受 VM 内部 的攻击。 Credential Guard 不提供针对源自主机的特权系统攻击的保护。

在 Hyper-V 虚拟机中运行 Credential Guard 的要求如下:

  • Hyper-V 主机必须具有 IOMMU
  • Hyper-V 虚拟机必须是第 2 代

注意

Hyper-V 或 Azure 第 1 代 VM 不支持 Credential Guard。 Credential Guard 仅在第 2 代 VM 上可用。

Windows 版本和许可要求

下表列出了支持 Credential Guard 的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

Credential Guard 许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

应用程序要求

启用 Credential Guard 后,将阻止某些身份验证功能。 需要此类功能的应用程序会中断。 我们将这些要求称为 应用程序要求

应在部署前测试应用程序,以确保与减少的功能兼容。

警告

不建议在域控制器上启用 Credential Guard。 Credential Guard 不会为域控制器提供任何附加的安全性,并可能导致域控制器上的应用程序兼容性问题。

注意

Credential Guard 不为 Active Directory 数据库或安全帐户管理器 (SAM) 提供保护。 启用 Credential Guard 后受 Kerberos 和 NTLM 保护的凭据也位于 Active Directory 数据库(位于域控制器)和 SAM(对于本地帐户)中。

如果应用程序需要:它们会中断:

  • Kerberos DES 加密支持
  • Kerberos 非约束委派
  • Kerberos TGT 提取
  • NTLMv1

应用程序在需要以下条件时会询问凭据并将其公开给风险:

  • 摘要式身份验证
  • 凭据委派
  • MS-CHAPv2
  • CredSSP

应用程序在尝试挂钩隔离的 Credential Guard 进程 LSAIso.exe时可能会导致性能问题。

依赖于 Kerberos 的服务或协议(例如文件共享或远程桌面)将继续工作,并且不受 Credential Guard 的影响。

后续步骤