Microsoft Defender Credential Guard 硬體需求
Microsoft Defender Credential Guard 會使用虛擬化式安全性來隔離和保護秘密(例如 NTLM 密碼哈希和 Kerberos 票證授與票證),以封鎖傳遞哈希或傳遞票證 (PtH) 攻擊。 啟用 Microsoft Defender Credential Guard 時,NTLMv1、MS-CHAPv2、Digest 和 CredSSP 無法使用已登入的認證。 因此,單一登錄無法使用這些通訊協定。 不過,應用程式可能會提示輸入認證,或使用儲存在 Windows 保存庫中的認證,這些認證不受 Microsoft Defender Credential Guard 保護,並使用這些通訊協定。
強烈建議您不要搭配這些通訊協定使用有價值的認證,例如登入認證。 如果網域或 Azure AD 用戶必須使用這些通訊協定,則應該針對這些使用案例布建次要認證。
啟用 Microsoft Defender Credential Guard 時,Kerberos 不允許不受限制的 Kerberos 委派或 DES 加密,不僅針對登入認證,而且會提示或儲存認證。
注意: 從 Windows 10 版本 1709 和 Windows Server 版本 1709 開始,當 Intel TXT 或 SGX 透過 BIOS、Hypervisor 保護的程式代碼完整性 (HCVI) 和 Credential Guard 在平台中啟用時,不會受到影響,且會如預期般運作。 當 Intel TXT 或 SGX 透過 BIOS 在平台中啟用 Intel TXT 或 SGX 時,舊版 Windows 不支援 HVCI 和 Credential Guard。
如需進一步了解什麼是 Microsoft Defender Credential Guard,以及它再次保護哪些攻擊,請參閱 深入探討 Credential Guard。
IT 專業人員: 若要瞭解如何在企業中部署 Microsoft Defender Credential Guard,請參閱 使用 Credential Guard 保護衍生網域認證。
若要讓裝置支援 Microsoft Defender Credential Guard,如 Windows 硬體相容性需求 (WHCR) 中所指定,您必須提供下列硬體、軟體或韌體功能。
| 需求 | 詳細資料 |
|---|---|
| 安全開機 | 必須支持硬體型安全開機。 若要深入瞭解,請參閱 安全開機。 |
| 安全開機設定和管理 |
|
| 保護韌體更新程式 | 如同 UEFI 軟體,UEFI 韌體可能會有安全性弱點。 透過韌體更新找到這類弱點時,必須能夠立即修補這類弱點。 在 System.Fundamentals.Firmware.UEFISecureBoot 之下,Windows 10 的系統硬體相容性規格之後,UEFI 韌體必須支援安全韌體更新。 |
| United Extensible Firmware Interface (UEFI) | 若要深入瞭解,請參閱 United Extensible Firmware Interface (UEFI) 韌體需求。 |
| 虛擬化型安全性 (VBS) | Hypervisor 保護的程序代碼完整性需要 VBS。 您可以閱讀 虛擬式安全性 (VBS)以深入瞭解 VBS。 |
Hypervisor 保護的程式代碼完整性和 Credential Guard 整備工具
若要判斷裝置是否能夠執行 HVCI 和 Credential Guard,請下載 HVCI 和 Credential Guard 硬體整備工具。