Konfigurer Credential Guard i Windows trin for trin

Credential Guard er blevet en central del at styrke legitimationssikkerheden i miljøer Windows Moderne systemer er særligt vigtige i organisationer, hvor et angreb baseret på tyveri af legitimationsoplysninger kan udgøre et alvorligt problem. I stedet for at lade godkendelseshemmeligheder være eksponeret i systemhukommelsen, isolerer denne funktion dem ved hjælp af virtualiseringsbaseret sikkerhed, hvilket reducerer angrebsfladen betydeligt.

I de følgende linjer vil du se, hvordan du konfigurerer Credential Guard Ved hjælp af forskellige metoder (Intune/MDM, gruppepolitik og registreringsdatabase) dækker vi de krav, din enhed skal opfylde, de begrænsninger, den introducerer, hvordan man verificerer, at den faktisk er aktiv, og hvordan man deaktiverer den i nødvendige scenarier, herunder virtuelle maskiner og UEFI-låste enheder. Alt forklares detaljeret, men i et klart og brugervenligt sprog, så du nemt kan anvende det.

Hvad er Credential Guard, og hvordan beskytter det legitimationsoplysninger?

Credential Guard er en sikkerhedsfunktion i Windows som bruger virtualiseringsbaseret sikkerhed (VBS) til at isolere legitimationsoplysninger og andre godkendelsesrelaterede hemmeligheder. I stedet for at alt gemmes direkte i den lokale sikkerhedsmyndighedsproces (lsass.exe), gemmes følsomme data i en isoleret komponent kaldet LSA-isoleret o isoleret LSA.

Denne isolerede LSA kører i et beskyttet miljø, adskilt fra det primære operativsystem ved hjælp af hypervisoren (sikker tilstand virtuel eller VSM). Kun et meget lille sæt binære filer, signeret med betroede certifikater, kan indlæses i det miljø. Kommunikation med resten af ​​systemet sker via RPC, hvilket forhindrer malware der kører på systemet, uanset hvor privilegeret det måtte være, kan læse de beskyttede hemmeligheder direkte.

Credential Guard beskytter specifikt tre typer legitimationsoplysningerNTLM-adgangskodehashes, Kerberos Ticket Granting (TGT)-poster og legitimationsoplysninger, der er gemt af applikationer som domænelegitimationsoplysninger, er alle kompromitteret. Dette afbøder klassiske angreb som f.eks. pass-the-hash o giv billetten videre, meget almindeligt i laterale bevægelser inden for virksomhedsnetværk.

Det er vigtigt at forstå, at Credential Guard ikke beskytter alt.Den dækker for eksempel ikke legitimationsoplysninger, der håndteres af tredjepartssoftware uden for standard Windows-mekanismer, lokale og Microsoft-konti, og den beskytter heller ikke mod fysiske angreb eller keyloggere. Alligevel reducerer den risikoen forbundet med domænelegitimationsoplysninger betydeligt.

Credential Guard er aktiveret som standard

fra Windows 11 22H2 og Windows Server 2025Virtualiseringsbaseret sikkerhed (VBS) og Credential Guard er som standard aktiveret på enheder, der opfylder Microsofts definerede hardware-, firmware- og softwarekrav. Det betyder, at det på mange moderne computere leveres forudkonfigureret og aktivt uden nogen administratorindgriben.

Standardaktiveringstilstanden er "UEFI ulåst"Med andre ord, uden låsen, der forhindrer fjerndeaktivering. Denne tilgang gør det nemmere for administratorer at deaktivere Credential Guard via politikker eller fjernkonfiguration, hvis en kritisk applikation er inkompatibel, eller der registreres problemer med ydeevnen.

Når Credential Guard er aktiveret som standardSelve VBS aktiveres også automatisk. Der kræves ingen separat VBS-konfiguration for at Credential Guard kan fungere, selvom der er yderligere parametre til at styrke platformens beskyttelsesniveau (f.eks. krav om DMA-beskyttelse ud over standarden). støvle sikker).

Der er en vigtig nuance i opdateret udstyrHvis en enhed havde Credential Guard eksplicit deaktiveret før opgradering til en version af Windows, hvor den er aktiveret som standard, forbliver den deaktiveret efter opgraderingen. Med andre ord har administratorens eksplicitte indstilling forrang over standardadfærden.

System-, hardware-, firmware- og licenskrav

For at Credential Guard kan yde reel beskyttelseEnheden skal opfylde en række minimumskrav til hardware, firmware og software. Enheder, der overstiger disse minimumskrav og har yderligere funktioner, såsom IOMMU eller TPM 2.0, kan drage fordel af højere sikkerhedsniveauer mod DMA-angreb og avancerede trusler.

Krav til hardware og firmware

De vigtigste hardwarekrav til Credential Guard De inkluderer en 64-bit CPU med virtualiseringsudvidelser (Intel VT-x eller AMD-V) og understøttelse af adresseoversættelse på andet niveau (SLAT, også kendt som Extended Page Tables). Uden disse virtualiseringsfunktioner vil VBS og virtuel sikker tilstand ikke være i stand til at isolere hukommelsen korrekt.

På firmwareniveau er det obligatorisk at have UEFI Version 2.3.1 eller nyere med Secure Boot-understøttelse og en sikker firmwareopdateringsproces. Derudover anbefales funktioner som sikkert implementeret Memory Overwrite Request (MOR), beskyttelse af bootkonfiguration og firmwareopgraderingsfunktion via [uklart - muligvis "softwareopgradering" eller "softwareopgradering"]. Windows Update.

Brugen af ​​en input/output-hukommelsesstyringsenhed (IOMMU)Det anbefales kraftigt at bruge en VM som Intel VT-d eller AMD-Vi, da det giver dig mulighed for at aktivere DMA-beskyttelse sammen med VBS. Denne beskyttelse forhindrer ondsindede enheder, der er tilsluttet bussen, i at få direkte adgang til hukommelse og udtrække hemmeligheder.

Trusted Platform Module (TPM) er en anden nøglekomponenthelst i udgave TPM 2.0selvom TPM 1.2 også understøttes. TPM'en leverer et hardwaresikkerhedsanker til at beskytte VSM-masternøglen og sikre, at data, der er beskyttet af Credential Guard, kun kan tilgås i et betroet miljø.

VSM-beskyttelse og TPM's rolle

Hemmeligheder beskyttet af Credential Guard er isoleret i hukommelsen via virtuel sikker tilstand (VSM). På nyere hardware med TPM 2.0 krypteres persistente data i VSM-miljøet med en VSM-hovednøgle beskyttet af selve TPM'en og af enhedens sikre opstartsmekanismer.

Selvom NTLM- og Kerberos TGT'er regenereres ved hvert login og da de normalt ikke opbevares mellem genstarter, muliggør VSM-masternøglen beskyttelse af data, der kan opbevares. El tiempoTPM'en sikrer, at nøglen ikke kan udvindes fra enheden, og at de beskyttede hemmeligheder ikke kan tilgås uden for et valideret miljø.

Krav og licenser til Windows-udgaven

Credential Guard er ikke tilgængelig i alle udgaver af WindowsI klientsystemer understøttes det i Windows Enterprise og i Windows Education, men ikke i Windows Pro eller Windows Pro Education/SE. Med andre ord skal en computer med Windows Pro opgraderes til Enterprise for at bruge denne funktionalitet.

Brugsrettigheder til Credential Guard er tildelt gennem licenser som Windows Enterprise E3 og E5 eller uddannelseslicenserne A3 og A5. I erhvervsmiljøer opnås dette normalt gennem volumenlicensaftaler, mens OEM'er typisk leverer Windows Pro, og kunden derefter opgraderer til Enterprise.

Credential Guard på virtuelle Hyper-V-maskiner

Credential Guard kan også beskytte hemmeligheder i virtuelle maskiner udføres i Hyper-V, på samme måde som det fungerer på fysiske maskiner. Hovedkravene er, at Hyper-V-værten har IOMMU, og at de virtuelle maskiner er Generation 2.

Det er vigtigt at forstå beskyttelsesgrænsen i disse scenarierCredential Guard beskytter mod angreb, der stammer fra selve den virtuelle maskine, men ikke mod trusler fra værter med forhøjede rettigheder. Hvis værten kompromitteres, kan den stadig få adgang til gæstemaskinerne.

Applikationskrav og kompatibilitet

Aktivering af Credential Guard blokerer visse godkendelsesfunktionerDerfor kan nogle applikationer holde op med at virke, hvis de er afhængige af forældede eller usikre metoder. Før masseudrulning er det tilrådeligt at teste kritiske applikationer for at sikre, at de forbliver operationelle.

Applikationer, der kræver DES-kryptering til KerberosUbegrænset Kerberos-delegering, TGT-udtrækning og NTLMv1-brug vil blive afbrudt, fordi disse muligheder er direkte deaktiveret, når Credential Guard er aktiv. Dette er en streng sikkerhedsforanstaltning, men nødvendig for at forhindre alvorlige sårbarheder.

Andre funktioner, såsom implicit godkendelseDelegering af legitimationsoplysninger, MS-CHAPv2 eller CredSSP udsætter legitimationsoplysninger for yderligere risici, selv når Credential Guard er aktiv. Applikationer, der insisterer på at bruge dem, kan fortsætte med at fungere, men de gør legitimationsoplysninger mere sårbare, så det anbefales også at gennemgå dem.

Der kan også være præstationspåvirkninger hvis visse applikationer forsøger at interagere direkte med den isolerede proces LsaIso.exeGenerelt er tjenester, der bruger Kerberos på en standardmåde (f.eks. fildelinger eller Fjernskrivebord) fortsætter med at fungere normalt uden at bemærke nogen ændringer.

Sådan aktiverer du Credential Guard korrekt

Microsofts generelle anbefaling er at aktivere Credential Guard Dette skal gøres, før enheden tilmelder sig et domæne, eller før en domænebruger logger på for første gang. Hvis det aktiveres senere, kan bruger- eller computerhemmeligheder allerede være eksponeret i ubeskyttet hukommelse.

Der er tre primære metoder til at konfigurere denne funktion.Dette kan gøres via Microsoft Intune/MDM, ved hjælp af Gruppepolitik eller via Windows-registreringsdatabasen. Valget afhænger af miljøtypen, tilgængelige administrationsværktøjer og det ønskede automatiseringsniveau.

Aktivér Credential Guard ved hjælp af Microsoft Intune/MDM

I miljøer, der administreres med Intune eller andre MDM-løsningerCredential Guard kan aktiveres ved at oprette en enhedskonfigurationspolitik, der først aktiverer virtualiseringsbaseret sikkerhed og derefter definerer den specifikke funktionsmåde for Credential Guard.

Brugerdefinerede politikker kan oprettes ved hjælp af DeviceGuard CSP. med følgende nøgle OMA-URI-parametre:

• Aktivér VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritydatatype int, tapperhed 1 for at aktivere virtualiseringsbaseret sikkerhed.
• Konfigurer Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, skriv int, tapperhed 1 for at aktivere med UEFI-lås eller 2 at aktivere uden at blokere.

Når politikken er oprettet, tildeles den til enheden eller brugergruppen. som du vil beskytte. Når du har anvendt politikken, skal du genstarte enheden for at Credential Guard kan træde i kraft.

Konfigurer Credential Guard ved hjælp af gruppepolitik (GPO)

I Active Directory-domæner er den mest bekvemme metode normalt GPO'en.Du kan bruge den lokale gruppepolitikeditor til en enkelt computer eller oprette et gruppepolitikobjekt, der er knyttet til domæner eller organisationsenheder, for at dække mange enheder.

Den specifikke sti for gruppepolitikken erEnhedskonfiguration → Administrative skabeloner → System → Enhedsbeskyttelse. I dette afsnit er der en indstilling kaldet "Aktiver virtualiseringsbaseret sikkerhed".

Når du aktiverer denne politik, skal du vælge indstillingen Credential Guard. i rullemenuen "Indstillinger for Credential Guard":

• Aktiveret med UEFI-låsForhindrer fjerndeaktivering af Credential Guard; det kan kun ændres via fysisk adgang til firmware/BIOS.
• Aktiveret uden blokeringgiver dig mulighed for at deaktivere Credential Guard senere via GPO eller fjernkonfiguration.

GPO'er kan filtreres ved hjælp af sikkerhedsgrupper eller WMI-filtreDette giver dig mulighed for kun at anvende denne beskyttelse på bestemte typer enheder eller brugerprofiler. Efter implementering af politikken kræves der også en genstart for at ændringerne kan træde i kraft.

Konfigurer Credential Guard ved hjælp af Windows-registreringsdatabasen

Når der er behov for mere detaljeret kontrol, eller script personligCredential Guard kan aktiveres direkte via registreringsdatabasen. Denne metode bruges typisk i avancerede scenarier eller automatiseringer, hvor GPO eller MDM ikke er tilgængelig.

Sådan aktiverer du virtualiseringsbaseret sikkerhed (VBS)Følgende nøgler skal konfigureres:

• Nøglesti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Navn: EnableVirtualizationBasedSecurity, skriv REG_DWORD, tapperhed 1.
• Nøglesti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Navn: RequirePlatformSecurityFeatures, skriv REG_DWORD, tapperhed 1 for sikker start eller 3 for sikker opstart med DMA-beskyttelse.

For specifik Credential Guard-konfiguration Nøglen bruges:

• Nøglesti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Navn: LsaCfgFlags, skriv REG_DWORDMulige værdier:
  0 for at deaktivere Credential Guard,
  1 for at aktivere det med UEFI-lås,
  2 for at aktivere det uden at blokere.

Efter justering af disse nøgler i registreringsdatabasenDu skal genstarte computeren, så VBS og Credential Guard initialiseres korrekt og begynder at beskytte legitimationsoplysninger.

Tjek om Credential Guard er aktiveret

Selvom det kan virke fristende at se på, om processen LsaIso.exe Det er i gang fra Task managerMicrosoft anbefaler ikke denne metode som en pålidelig kontrol. I stedet foreslås tre hovedmekanismer: Systemoplysninger, PowerShell og Hændelsesvisning.

Bekræftelse med systemoplysninger (msinfo32)

Den enkleste måde for mange administratorer Det involverer brug af Windows-værktøjet "Systemoplysninger":

1. Vælg Start og skriv msinfo32.exeÅbn derefter programmet "Systemoplysninger".
2. Gå til i venstre panel System overblik.
3. I højre panel skal du finde afsnittet "Virtualiseringsbaserede sikkerhedstjenester i drift" og kontroller, at "Credential Guard" vises blandt de anførte tjenester.

Hvis Credential Guard er angivet som en kørende tjeneste I dette afsnit betyder det, at den er korrekt aktiveret og aktiv på computeren.

Bekræftelse ved hjælp af PowerShell

I administrerede miljøer er det meget praktisk at bruge PowerShell. For at udføre en massekontrol af Credential Guard-status kan du køre følgende kommando fra en PowerShell-konsol med administratorrettigheder:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Denne kommando returnerer et sæt numeriske værdier som angiver, hvilke virtualiseringsbaserede sikkerhedstjenester der er aktive. I det specifikke tilfælde med Credential Guard fortolkes de som følger:

• 0Credential Guard deaktiveret (kører ikke).
• 1Credential Guard aktiveret (kører).

Ud over denne generelle forespørgselMicrosoft tilbyder DG_Readiness_Tool-scriptet (for eksempel, DG_Readiness_Tool_v2.0.ps1), som giver dig mulighed for at kontrollere, om systemet er i stand til at køre Credential Guard, aktivere det, deaktivere det og validere dets status ved hjælp af muligheder som f.eks. -Capable, -Enable, -Disable y -Ready.

Brug af Event Viewer

En anden verifikationsmetode, der er mere orienteret mod revision Det er for at bruge Logbogen. Fra eventvwr.exe Du kan få adgang til "Windows-logger" → "System" og filtrer begivenhederne hvis oprindelse er "WinInit".

Blandt disse begivenheder er der poster relateret til opstarten af virtualiseringsbaserede sikkerhedstjenester, herunder dem, der angiver, om Credential Guard er blevet initialiseret under opstartsprocessen.

Deaktiver Credential Guard og UEFI-låsestyring

Selvom du normalt ville ønske at holde Credential Guard aktiveretDer er scenarier, hvor det kan være nødvendigt at deaktivere det: programkompatibiliteter, laboratorietest, ændringer i sikkerhedsarkitekturen osv. Proceduren for deaktivering afhænger af, hvordan det blev aktiveret, og om UEFI-låsning blev brugt.

Generelt set, deaktivering af Credential Guard Dette indebærer at vende tilbage til de indstillinger, der er anvendt via Intune/MDM, Gruppepolitik eller registreringsdatabasen, og derefter genstarte computeren. Når UEFI-låsning er aktiveret, er der dog yderligere trin, fordi nogle af indstillingerne er gemt i firmware EFI-variabler.

Deaktivering af Credential Guard med UEFI Lock

Hvis Credential Guard blev aktiveret med UEFI-låsDet er ikke nok at ændre GPO'en eller registreringsdatabasen. Du skal også fjerne de EFI-variabler, der er knyttet til den isolerede LSA-konfiguration, ved hjælp af bcdedit og en lille særlig opstartsproces.

Fra en kommandoprompt med forhøjede privilegier en sekvens udføres kommandoer til:

1. Installer en midlertidig EFI-enhed med mountvol og kopiere SecConfig.efi til Microsofts opstartssti.
2. Opret en systemopladerpost med bcdedit /create peger på det SecConfig.efi.
3. Konfigurer bootsekvens af boot manageren, så den starter én gang med den specielle indlæser.
4. Tilføj opladningsmuligheden DISABLE-LSA-ISO for at deaktivere den isolerede LSA-konfiguration, der er gemt i UEFI.
5. Fjern den midlertidige EFI-enhed igen.

Efter at have udført disse trin, genstarter enheden.Før operativsystemet starter, vises en meddelelse, der angiver, at UEFI-indstillingerne er blevet ændret, og som beder om bekræftelse. Det er vigtigt at acceptere denne meddelelse, for at deaktiveringsændringerne kan træde i kraft.

Deaktiver Credential Guard på virtuelle maskiner

I tilfælde af virtuelle maskiner, der er tilsluttet en Hyper-V-værtDet er muligt at forhindre den virtuelle maskine i at bruge VBS og Credential Guard, selvom gæsteoperativsystemet er forberedt til det.

Fra værten kan du køre PowerShell Følgende kommando vil udelukke en virtuel maskine fra virtualiseringsbaseret sikkerhed:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Ved at aktivere denne udelukkelsesmulighedVM'en kører uden VBS-beskyttelse og dermed uden Credential Guard, hvilket kan være nyttigt i testmiljøer eller når man kører ældre systemer i virtuelle maskiner.

Integrering af Credential Guard i AWS Nitro og andre scenarier

Credential Guard er også tilgængelig i cloud-miljøer såsom Amazon EC2, der udnytter den sikre arkitektur i AWS Nitro-systemet. I denne sammenhæng bruger VBS og Credential Guard Nitro til at forhindre, at Windows-loginoplysninger udtrækkes fra gæsteoperativsystemets hukommelse.

Sådan bruger du Credential Guard på en Windows-instans i EC2For at starte en kompatibel instans skal du vælge en understøttet instanstype og en forudkonfigureret Windows AMI, der inkluderer understøttelse af virtuel TPM og VBS. Dette kan gøres fra Amazon EC2-konsollen eller fra AWS CLI ved hjælp af run-instances eller med PowerShell ved hjælp af New-EC2Instancespecificering af for eksempel et billede af stilen TPM-Windows_Server-2022-English-Full-Base.

I nogle tilfælde vil det være nødvendigt at deaktivere hukommelsesintegriteten (HVCI) før aktivering af Credential Guard, ved at justere gruppepolitikker relateret til "Virtualiseringsbaseret beskyttelse af kodeintegritet". Når disse justeringer er foretaget, og instansen genstartes, kan Credential Guard aktiveres og valideres, som på enhver anden Windows-maskine, med msinfo32.exe.

Beskyttelsesgrænser og aspekter, som Credential Guard ikke dækker

Selvom Credential Guard repræsenterer et stort spring fremad inden for beskyttelse af legitimationsoplysningerDet er ikke en mirakelkur, der løser alt. Der er specifikke tilfælde, der falder uden for dens anvendelsesområde, og det er vigtigt at være opmærksom på disse for at undgå en falsk følelse af sikkerhed.

Nogle eksempler på, hvad den ikke beskytter, er:

• Tredjeparts software der administrerer legitimationsoplysninger uden for standard Windows-mekanismer.
• Lokale konti og Microsoft-konti, der er konfigureret på selve computeren.
• Active Directory-database på Windows Server-domænecontrollere.
• Indgående kanaler for legitimationsoplysninger såsom Remote Desktop gateway-servere.
• Tastetrykoptagere og direkte fysiske angreb på holdet.

Det forhindrer heller ikke en angriber med malware på computeren i at Den bruger privilegier, der allerede er givet til en aktiv legitimationsoplysning. Det vil sige, at hvis en bruger med forhøjede tilladelser opretter forbindelse til et kompromitteret system, kan angriberen udnytte disse tilladelser i hele sessionen, selvom de ikke kan stjæle hashen fra den beskyttede hukommelse.

I miljøer med brugere eller konti med høj værdi (domæneadministratorer, IT-personale med adgang til kritiske ressourcer osv.), er det stadig tilrådeligt at bruge dedikeret udstyr og andre ekstra sikkerhedslag, såsom multifaktorgodkendelse, netværkssegmentering og anti-keylogger-foranstaltninger.

Device Guard, VBS og forholdet til Credential Guard

Device Guard og Credential Guard nævnes ofte sammen. fordi begge udnytter virtualiseringsbaseret sikkerhed til at styrke systembeskyttelsen, selvom de løser forskellige problemer.

Credential Guard fokuserer på at beskytte legitimationsoplysninger (NTLM, Kerberos, Credential Manager) og isolerer dem i den beskyttede LSA. Det afhænger ikke af Device Guard, selvom begge deler brugen af ​​hypervisoren og hardwarefunktioner som TPM, sikker opstart og IOMMU.

Device Guard er på sin side et sæt funktioner Hardware- og softwareløsninger giver dig mulighed for at låse enheden, så den kun kan køre betroede applikationer, der er defineret i kodeintegritetspolitikker. Dette ændrer den traditionelle model (hvor alt kører, medmindre det er blokeret af antivirussoftware) til en model, hvor kun eksplicit autoriserede applikationer udføres.

Begge funktioner er en del af Windows Enterprise-arsenalet. For at beskytte mod avancerede trusler bruger Device Guard VBS og kræver, at drivere er HVCI-kompatible, mens Credential Guard bruger VBS til at isolere godkendelseshemmeligheder. Sammen tilbyder de en kraftfuld kombination: mere pålidelig kode og bedre beskyttede legitimationsoplysninger.

Hav Credential Guard korrekt konfigureret Dette indebærer at sikre et af de mest følsomme aspekter af ethvert Windows-miljø: bruger- og computerlegitimationsoplysninger. Forståelse af kravene, viden om, hvordan man aktiverer det med Intune, GPO eller registreringsdatabasen, kendskab til dets begrænsninger og klare procedurer til at verificere dets status og deaktivere det i særlige tilfælde giver dig mulighed for at drage fuld fordel af denne teknologi uden at støde på overraskelser i produktionen.