Schrittweise Konfiguration von Credential Guard unter Windows

Credential Guard ist zu einem wichtigen Bestandteil geworden. um die Sicherheit von Anmeldeinformationen in Umgebungen zu stärken Windows Moderne Systeme sind besonders wichtig in Organisationen, in denen ein Angriff durch den Diebstahl von Zugangsdaten ein ernstes Problem darstellen könnte. Anstatt Authentifizierungsschlüssel ungeschützt im Systemspeicher zu belassen, isoliert diese Funktion sie mithilfe virtualisierungsbasierter Sicherheitsmaßnahmen und reduziert so die Angriffsfläche erheblich.

In den folgenden Zeilen erfahren Sie, wie Sie Credential Guard konfigurieren. Anhand verschiedener Methoden (Intune/MDM, Gruppenrichtlinien und Registrierung) erläutern wir die Anforderungen an Ihr Gerät, die damit verbundenen Einschränkungen, wie Sie die Aktivierung überprüfen und es gegebenenfalls deaktivieren können, beispielsweise bei virtuellen Maschinen und UEFI-gesperrten Geräten. Alles wird detailliert, aber in klarer, verständlicher Sprache erklärt, sodass Sie die Informationen problemlos anwenden können.

Was ist Credential Guard und wie schützt es Anmeldeinformationen?

Credential Guard ist eine Windows-Sicherheitsfunktion. Dabei wird virtualisierungsbasierte Sicherheit (VBS) verwendet, um Anmeldeinformationen und andere authentifizierungsrelevante Geheimnisse zu isolieren. Anstatt alles direkt im lokalen Sicherheitsautorisierungsprozess zu speichern (lsass.exe), werden sensible Daten in einer isolierten Komponente gespeichert, die LSA isoliert o isoliertes LSA.

Diese isolierte LSA läuft in einer geschützten Umgebung., vom Hauptbetriebssystem durch den Hypervisor getrennt (abgesicherter Modus (virtuell oder VSM). Nur eine sehr kleine Anzahl von Binärdateien, die mit vertrauenswürdigen Zertifikaten signiert sind, kann in diese Umgebung geladen werden. Die Kommunikation mit dem Rest des Systems erfolgt über RPC, was verhindert, dass Malware Ein System, das auf dem System läuft, kann, unabhängig von seinen Privilegien, die geschützten Geheimnisse direkt lesen.

Credential Guard schützt speziell drei Arten von Anmeldeinformationen.NTLM-Passwort-Hashes, Kerberos-Ticket-Granting-Einträge (TGT) und von Anwendungen als Domänenanmeldeinformationen gespeicherte Anmeldeinformationen sind alle kompromittiert. Dies mindert klassische Angriffe wie beispielsweise Hash weitergeben o Weitergeben des Tickets, sehr häufig bei lateralen Wechseln innerhalb von Unternehmensnetzwerken.

Es ist wichtig zu verstehen, dass Credential Guard nicht alles schützt.Es deckt beispielsweise keine Anmeldeinformationen ab, die von Drittanbietersoftware außerhalb der Standardmechanismen von Windows, von lokalen Konten und Microsoft-Konten verwaltet werden, und bietet auch keinen Schutz vor physischen Angriffen oder Keyloggern. Dennoch reduziert es das mit Domänenanmeldeinformationen verbundene Risiko erheblich.

Credential Guard ist standardmäßig aktiviert

Bei Windows 11 22H2 und Windows Server 2025Virtualisierungsbasierte Sicherheit (VBS) und Credential Guard sind standardmäßig auf Geräten aktiviert, die die von Microsoft definierten Hardware-, Firmware- und Softwareanforderungen erfüllen. Das bedeutet, dass sie auf vielen modernen Computern vorkonfiguriert und ohne Administratoreingriff aktiv sind.

Der standardmäßige Aktivierungsmodus ist „UEFI entsperrt“.Anders ausgedrückt: ohne die Sperre, die eine Deaktivierung aus der Ferne verhindert. Dieser Ansatz erleichtert Administratoren die Deaktivierung von Credential Guard über Richtlinien oder die Fernkonfiguration, falls eine kritische Anwendung inkompatibel ist oder Leistungsprobleme auftreten.

Wenn Credential Guard standardmäßig aktiviert istDer VBS selbst wird ebenfalls automatisch aktiviert. Für die Funktion von Credential Guard ist keine separate VBS-Konfiguration erforderlich, obwohl zusätzliche Parameter zur Erhöhung des Schutzniveaus der Plattform verfügbar sind (z. B. die Anforderung eines DMA-Schutzes zusätzlich zum Standard). Starten Sicher).

Bei aktualisierter Ausrüstung gibt es eine wichtige Nuance.Wenn Credential Guard auf einem Gerät vor dem Upgrade auf eine Windows-Version, in der es standardmäßig aktiviert ist, explizit deaktiviert war, bleibt es auch nach dem Upgrade deaktiviert. Anders ausgedrückt: Die explizite Einstellung des Administrators hat Vorrang vor dem Standardverhalten.

System-, Hardware-, Firmware- und Lizenzanforderungen

Damit Credential Guard echten Schutz bietetDas Gerät muss eine Reihe von Mindestanforderungen an Hardware, Firmware und Software erfüllen. Geräte, die diese Mindestanforderungen übertreffen und über zusätzliche Funktionen wie IOMMU oder TPM 2.0 verfügen, profitieren von einem höheren Schutz vor DMA-Angriffen und fortgeschrittenen Bedrohungen.

Hardware- und Firmware-Anforderungen

Die wichtigsten Hardwareanforderungen für Credential Guard Dazu gehört eine 64-Bit-CPU mit Virtualisierungserweiterungen (Intel VT-x oder AMD-V) und Unterstützung für die Adressübersetzung zweiter Ebene (SLAT, auch bekannt als erweiterte Seitentabellen). Ohne diese Virtualisierungsfunktionen können VBS und der virtuelle Sicherheitsmodus den Speicher nicht ordnungsgemäß isolieren.

Auf Firmware-Ebene ist es zwingend erforderlich, dass UEFI Version 2.3.1 oder höher mit Secure-Boot-Unterstützung und einem sicheren Firmware-Aktualisierungsprozess. Zusätzlich werden Funktionen wie eine sicher implementierte Speicherüberschreibungsanforderung (MOR), Schutz der Bootkonfiguration und die Möglichkeit zur Firmware-Aktualisierung über [unklar – möglicherweise „Software-Upgrade“ oder „Software-Upgrade“] empfohlen. Windows Update.

Die Verwendung einer Eingabe-/Ausgabe-Speicherverwaltungseinheit (IOMMU)Die Verwendung einer virtuellen Maschine wie Intel VT-d oder AMD-Vi wird dringend empfohlen, da sie die Aktivierung des DMA-Schutzes in Verbindung mit VBS ermöglicht. Dieser Schutz verhindert, dass bösartige, an den Bus angeschlossene Geräte direkt auf den Speicher zugreifen und vertrauliche Daten extrahieren.

Das Trusted Platform Module (TPM) ist eine weitere wichtige Komponente.vorzugsweise in Version TPM 2.0Obwohl auch TPM 1.2 unterstützt wird, bietet das TPM einen Hardware-Sicherheitsanker zum Schutz des VSM-Hauptschlüssels und gewährleistet, dass auf durch Credential Guard geschützte Daten nur in einer vertrauenswürdigen Umgebung zugegriffen werden kann.

VSM-Schutzmechanismen und die Rolle von TPM

Die durch Credential Guard geschützten Geheimnisse sind im Speicher isoliert. durch den virtuellen sicheren Modus (VSM). Auf aktueller Hardware mit TPM 2.0 werden persistente Daten in der VSM-Umgebung mit einem verschlüsselt. VSM-Hauptschlüssel Geschützt durch das TPM selbst und durch die Secure-Boot-Mechanismen des Geräts.

Obwohl NTLM- und Kerberos-TGTs bei jeder Anmeldung neu generiert werden. Da diese Daten normalerweise nicht zwischen Neustarts erhalten bleiben, ermöglicht die Existenz des VSM-Masterschlüssels den Schutz von Daten, die an ihrem ursprünglichen Ort verbleiben können. die zeitDas TPM stellt sicher, dass der Schlüssel nicht aus dem Gerät extrahiert werden kann und dass auf die geschützten Geheimnisse nicht außerhalb einer validierten Umgebung zugegriffen werden kann.

Windows-Edition-Anforderungen und Lizenzen

Credential Guard ist nicht in allen Editionen von Windows verfügbar.In Client-Systemen wird es unterstützt in Windows Enterprise Diese Funktion ist in Windows Education verfügbar, jedoch nicht in Windows Pro oder Windows Pro Education/SE. Mit anderen Worten: Ein Computer mit Windows Pro müsste auf Enterprise aktualisiert werden, um diese Funktion nutzen zu können.

Die Nutzungsrechte für Credential Guard werden gewährt. durch Lizenzen wie Windows Enterprise E3 und E5 oder die Bildungslizenzen A3 und A5. In Geschäftsumgebungen wird dies üblicherweise über Volumenlizenzverträge erreicht, während OEMs in der Regel Windows Pro liefern und der Kunde dann auf Enterprise aufrüstet.

Credential Guard auf Hyper-V-VMs

Credential Guard kann auch Geheimnisse innerhalb virtueller Maschinen schützen. Die Ausführung in Hyper-V erfolgt ähnlich wie auf physischen Maschinen. Die Hauptvoraussetzungen sind, dass der Hyper-V-Host über IOMMU verfügt und die virtuellen Maschinen der Generation 2 angehören.

Es ist wichtig, die Schutzgrenze in diesen Szenarien zu verstehen.Credential Guard schützt vor Angriffen, die von der virtuellen Maschine selbst ausgehen, jedoch nicht vor Bedrohungen durch den Host mit erhöhten Berechtigungen. Wenn der Host kompromittiert wird, kann er weiterhin auf die Gastsysteme zugreifen.

Anwendungsanforderungen und Kompatibilität

Die Aktivierung von Credential Guard blockiert bestimmte Authentifizierungsfunktionen.Daher funktionieren manche Anwendungen möglicherweise nicht mehr, wenn sie auf veralteten oder unsicheren Methoden basieren. Vor der breiten Bereitstellung empfiehlt es sich, kritische Anwendungen zu testen, um deren Funktionsfähigkeit sicherzustellen.

Anwendungen, die DES-Verschlüsselung für Kerberos benötigenDie uneingeschränkte Kerberos-Delegierung, die TGT-Extraktion und die NTLMv1-Nutzung werden beeinträchtigt, da diese Optionen bei aktiviertem Credential Guard direkt deaktiviert werden. Dies ist eine strenge Sicherheitsmaßnahme, die jedoch notwendig ist, um schwerwiegende Sicherheitslücken zu verhindern.

Weitere Funktionen, wie z. B. implizite AuthentifizierungDie Delegierung von Anmeldeinformationen, MS-CHAPv2 oder CredSSP bergen zusätzliche Risiken für Anmeldeinformationen, selbst wenn Credential Guard aktiviert ist. Anwendungen, die diese Verfahren nutzen, funktionieren zwar möglicherweise weiterhin, die Anmeldeinformationen sind dadurch jedoch angreifbarer. Daher wird eine Überprüfung dieser Verfahren dringend empfohlen.

Es kann auch zu Leistungseinbußen kommen. wenn bestimmte Anwendungen versuchen, direkt mit dem isolierten Prozess zu interagieren LsaIso.exeIm Allgemeinen nutzen Dienste, die Kerberos auf standardisierte Weise verwenden (z. B. Dateifreigaben oder Remotedesktop) weiterhin normal funktionieren, ohne dass Veränderungen bemerkt werden.

So aktivieren Sie Credential Guard richtig

Microsoft empfiehlt generell, Credential Guard zu aktivieren. Dies muss erfolgen, bevor das Gerät einer Domäne beitritt oder sich ein Domänenbenutzer zum ersten Mal anmeldet. Bei späterer Aktivierung könnten Benutzer- oder Computergeheimnisse bereits im ungeschützten Speicher vorhanden sein.

Es gibt drei Hauptmethoden zum Einrichten dieser Funktion.Dies kann über Microsoft Intune/MDM, mithilfe von Gruppenrichtlinien oder über die Windows-Registrierung erfolgen. Die Wahl hängt von der Art der Umgebung, den verfügbaren Verwaltungstools und dem gewünschten Automatisierungsgrad ab.

Aktivieren Sie Credential Guard mithilfe von Microsoft Intune / MDM.

In Umgebungen, die mit Intune oder anderen MDM-Lösungen verwaltet werdenCredential Guard kann aktiviert werden, indem eine Gerätekonfigurationsrichtlinie erstellt wird, die zuerst die virtualisierungsbasierte Sicherheit aktiviert und dann das spezifische Verhalten von Credential Guard definiert.

Mit DeviceGuard CSP können benutzerdefinierte Richtlinien erstellt werden. mit den folgenden wichtigen OMA-URI-Parametern:

• VBS aktivieren: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityDatentyp int, Wert 1 um virtualisierungsbasierte Sicherheit zu ermöglichen.
• Credential Guard konfigurieren: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, Typ int, Wert 1 um die UEFI-Sperre zu aktivieren oder 2 um es zu aktivieren, ohne es zu blockieren.

Sobald die Richtlinie erstellt ist, wird sie dem Gerät oder der Benutzergruppe zugewiesen. die Sie schützen möchten. Nach Anwendung der Richtlinie müssen Sie das Gerät neu starten, damit Credential Guard wirksam wird.

Konfigurieren von Credential Guard mithilfe von Gruppenrichtlinien (GPO)

In Active Directory-Domänen ist die bequemste Methode in der Regel die Verwendung von Gruppenrichtlinienobjekten (GPO).Sie können den Editor für lokale Gruppenrichtlinien für einen einzelnen Computer verwenden oder ein Gruppenrichtlinienobjekt erstellen, das mit Domänen oder Organisationseinheiten verknüpft ist, um viele Geräte abzudecken.

Der spezifische Pfad der Gruppenrichtlinie istGerätekonfiguration → Administrative Vorlagen → System → Device Guard. In diesem Abschnitt gibt es eine Einstellung namens „Virtualisierungsbasierte Sicherheit aktivieren“.

Wenn Sie diese Richtlinie aktivieren, müssen Sie die Option „Credential Guard“ auswählen. in der Dropdown-Liste „Credential Guard-Einstellungen“:

• Aktiviert mit UEFI-Sperre: verhindert das Ferndeaktivieren von Credential Guard; es kann nur durch physischen Zugriff auf die Firmware/das BIOS geändert werden.
• Aktiviert, ohne zu blockieren: ermöglicht es Ihnen, Credential Guard später über Gruppenrichtlinien oder Remote-Konfiguration zu deaktivieren.

Gruppenrichtlinienobjekte (GPOs) können mithilfe von Sicherheitsgruppen oder WMI-Filtern gefiltert werden.Dadurch können Sie diesen Schutz nur auf bestimmte Gerätetypen oder Benutzerprofile anwenden. Nach der Anwendung der Richtlinie ist ein Neustart erforderlich, damit die Änderungen wirksam werden.

Konfigurieren von Credential Guard mithilfe der Windows-Registrierung

Wenn eine feinere Steuerung erforderlich ist oder Skript personifizierteCredential Guard kann direkt über die Registrierung aktiviert werden. Diese Methode wird typischerweise in fortgeschrittenen Szenarien oder Automatisierungen verwendet, in denen Gruppenrichtlinienobjekte (GPO) oder Management Data Management (MDM) nicht verfügbar sind.

Um virtualisierungsbasierte Sicherheit (VBS) zu aktivierenFolgende Schlüssel müssen konfiguriert werden:

• Schlüsselpfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Name: EnableVirtualizationBasedSecurity, Typ REG_DWORD, Wert 1.
• Schlüsselpfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Name: RequirePlatformSecurityFeatures, Typ REG_DWORD, Wert 1 für einen sicheren Start oder 3 für sicheres Booten mit DMA-Schutz.

Für eine spezifische Credential Guard-Konfiguration Der Schlüssel wird verwendet:

• Schlüsselpfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Name: LsaCfgFlags, Typ REG_DWORDMögliche Werte:
  0 um Credential Guard zu deaktivieren
  1 um es mit UEFI-Sperre zu aktivieren,
  2 um es zu ermöglichen, ohne es zu blockieren.

Nachdem diese Schlüssel in der Registrierung angepasst wurdenSie müssen den Computer neu starten, damit VBS und Credential Guard korrekt initialisiert werden und mit dem Schutz der Anmeldeinformationen beginnen können.

Prüfen Sie, ob Credential Guard aktiviert ist.

Auch wenn es verlockend erscheinen mag, zu untersuchen, ob der Prozess LsaIso.exe Es ist im Gange. aus dem Task-ManagerMicrosoft empfiehlt diese Methode nicht als zuverlässige Prüfmethode. Stattdessen werden drei Hauptmechanismen vorgeschlagen: Systeminformationen, Powershell und Ereignisanzeige.

Überprüfung mit Systeminformationen (msinfo32)

Für viele Administratoren ist die einfachste Methode Dabei wird das Windows-Tool „Systeminformationen“ verwendet:

1. Wählen Sie Start und geben Sie ein msinfo32.exeÖffnen Sie anschließend die Anwendung „Systeminformationen“.
2. Gehen Sie im linken Bereich zu Systemübersicht.
3. Suchen Sie im rechten Bereich nach dem Abschnitt „Virtualisierungsbasierte Sicherheitsdienste im Einsatz“ und prüfen Sie, ob „Credential Guard“ unter den aufgeführten Diensten erscheint.

Wenn Credential Guard als laufender Dienst aufgeführt ist In diesem Abschnitt bedeutet es, dass es auf dem Computer ordnungsgemäß aktiviert und aktiv ist.

Überprüfung mit PowerShell

In verwalteten Umgebungen ist die Verwendung von PowerShell sehr praktisch. Um eine Massenprüfung des Credential Guard-Status durchzuführen, können Sie den folgenden Befehl in einer PowerShell-Konsole mit Administratorrechten ausführen:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Dieser Befehl gibt eine Reihe numerischer Werte zurück. diese geben an, welche virtualisierungsbasierten Sicherheitsdienste aktiv sind. Im konkreten Fall von Credential Guard werden sie wie folgt interpretiert:

• 0Credential Guard deaktiviert (wird nicht ausgeführt).
• 1: Credential Guard aktiviert (läuft).

Zusätzlich zu dieser allgemeinen AnfrageMicrosoft bietet das Skript DG_Readiness_Tool an (zum Beispiel, DG_Readiness_Tool_v2.0.ps1), wodurch Sie überprüfen können, ob das System Credential Guard ausführen kann, es aktivieren, deaktivieren und seinen Status mithilfe von Optionen wie z. B. validieren können. -Capable, -Enable, -Disable y -Ready.

Verwenden der Ereignisanzeige

Eine weitere Verifizierungsmethode, die stärker auf die Prüfung ausgerichtet ist Es geht darum, die Ereignisanzeige zu verwenden. Von eventvwr.exe Sie können auf „Windows-Protokolle“ → „System“ zugreifen und Ereignisse filtern dessen Ursprung "WinInit" ist.

Zu diesen Veranstaltungen gehören auch Einträge im Zusammenhang mit dem Start-up. von virtualisierungsbasierten Sicherheitsdiensten, einschließlich solcher, die während des Startvorgangs anzeigen, ob Credential Guard erfolgreich initialisiert wurde.

Credential Guard und UEFI-Sperrverwaltung deaktivieren

Normalerweise sollten Sie Credential Guard aktiviert lassen.Es gibt Szenarien, in denen es notwendig sein kann, es zu deaktivieren: Anwendungsinkompatibilitäten, Labortests, Änderungen der Sicherheitsarchitektur usw. Die Vorgehensweise zum Deaktivieren hängt davon ab, wie es aktiviert wurde und ob UEFI-Sperren verwendet wurde.

Im Allgemeinen bedeutet das Deaktivieren von Credential Guard Dies beinhaltet das Zurücksetzen der über Intune/MDM, Gruppenrichtlinien oder die Registrierung vorgenommenen Einstellungen und einen anschließenden Neustart des Computers. Bei aktivierter UEFI-Sperre sind jedoch zusätzliche Schritte erforderlich, da einige Einstellungen in der Registrierung gespeichert werden. Firmware-EFI-Variablen.

Deaktivierung des Anmeldeinformationsschutzes mit UEFI-Sperre

Wenn Credential Guard mit UEFI-Sperre aktiviert wurdeEs genügt nicht, die Gruppenrichtlinie oder die Registrierung zu ändern. Sie müssen auch die mit der isolierten LSA-Konfiguration verknüpften EFI-Variablen entfernen. bcdedit und ein kleiner, spezieller Startvorgang.

Von a Eingabeaufforderung mit erhöhten Rechten Eine Sequenz wird ausgeführt Befehle für:

1. Installieren Sie eine temporäre EFI-Einheit mit mountvol und kopieren SecConfig.efi zum Microsoft-Bootpfad.
2. Erstellen Sie einen Systemladeeintrag mit bcdedit /create darauf hinweisen SecConfig.efi.
3. Konfigurieren Sie die Bootssequenz des Bootmanagers, sodass er einmalig mit diesem speziellen Loader startet.
4. Ladeoption hinzufügen DISABLE-LSA-ISO um die im UEFI gespeicherte isolierte LSA-Konfiguration zu deaktivieren.
5. Entfernen Sie die temporäre EFI-Einheit erneut.

Nach Durchführung dieser Schritte startet das Gerät neu.Vor dem Start des Betriebssystems erscheint eine Meldung, die darauf hinweist, dass die UEFI-Einstellungen geändert wurden, und um Bestätigung bittet. Es ist unbedingt erforderlich, diese Meldung zu bestätigen, damit die Deaktivierungsänderungen wirksam werden.

Credential Guard auf virtuellen Maschinen deaktivieren

Im Falle von virtuellen Maschinen, die mit einem Hyper-V-Host verbunden sindEs ist möglich, die VM daran zu hindern, VBS und Credential Guard zu verwenden, selbst wenn das Gastbetriebssystem darauf vorbereitet wäre.

Vom Host aus können Sie mit PowerShell Folgendes ausführen: Der folgende Befehl schließt eine virtuelle Maschine von der virtualisierungsbasierten Sicherheit aus:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Durch Aktivierung dieser AusschlussoptionDie VM läuft ohne VBS-Schutz und damit auch ohne Credential Guard, was in Testumgebungen oder beim Ausführen älterer Systeme in virtuellen Maschinen nützlich sein kann.

Integration von Credential Guard in AWS Nitro und andere Szenarien

Credential Guard ist auch in Cloud-Umgebungen verfügbar. Beispielsweise nutzt Amazon EC2 die sichere Architektur des AWS-Nitro-Systems. In diesem Zusammenhang verwenden VBS und Credential Guard Nitro, um zu verhindern, dass Windows-Anmeldeinformationen aus dem Speicher des Gastbetriebssystems extrahiert werden.

Um Credential Guard auf einer Windows-Instanz in EC2 zu verwendenUm eine kompatible Instanz zu starten, müssen Sie einen unterstützten Instanztyp und ein vorkonfiguriertes Windows-AMI auswählen, das virtuelles TPM und VBS-Unterstützung enthält. Dies kann über die Amazon EC2-Konsole oder über die AWS CLI erfolgen. run-instances oder mit PowerShell New-EC2Instancezum Beispiel ein Bild des Stils angeben TPM-Windows_Server-2022-English-Full-Base.

In manchen Szenarien ist es notwendig, die Speicherintegrität zu deaktivieren. (HVCI) vor der Aktivierung von Credential Guard durch Anpassen der Gruppenrichtlinien im Zusammenhang mit „Virtualisierungsbasiertem Schutz der Codeintegrität“. Sobald diese Anpassungen vorgenommen und die Instanz neu gestartet wurde, kann Credential Guard wie auf jedem anderen Windows-Rechner aktiviert und validiert werden. msinfo32.exe.

Schutzgrenzen und Aspekte, die Credential Guard nicht abdeckt

Obwohl Credential Guard einen enormen Fortschritt im Bereich des Schutzes von Anmeldeinformationen darstellt,Es ist kein Allheilmittel, das alle Probleme löst. Es gibt spezifische Fälle, die nicht in seinen Anwendungsbereich fallen, und es ist wichtig, sich dessen bewusst zu sein, um ein falsches Sicherheitsgefühl zu vermeiden.

Beispiele für Dinge, die es nicht schützt, sind::

• Software von Drittanbietern das Anmeldeinformationen außerhalb der Standardmechanismen von Windows verwaltet.
• Lokale Konten und auf dem Computer selbst konfigurierte Microsoft-Konten.
• Active Directory-Datenbank auf Windows Server-Domänencontrollern.
• Eingehende Anmeldeinformationskanäle wie beispielsweise Remote-Desktop-Gateway-Server.
• Tastaturaufzeichnungsgeräte und direkte physische Angriffe auf das Team.

Es schützt auch nicht vor einem Angreifer, der Schadsoftware auf dem Computer hat Dabei werden bereits bestehende Berechtigungen eines aktiven Benutzerkontos genutzt. Das heißt, wenn sich ein Benutzer mit erhöhten Berechtigungen mit einem kompromittierten System verbindet, kann der Angreifer diese Berechtigungen für die Dauer der Sitzung ausnutzen, auch wenn er den Hashwert nicht aus dem geschützten Speicher stehlen kann.

In Umgebungen mit wertvollen Benutzern oder Konten Für Domänenadministratoren, IT-Mitarbeiter mit Zugriff auf kritische Ressourcen usw. ist es dennoch ratsam, dedizierte Geräte und weitere zusätzliche Sicherheitsebenen einzusetzen, wie z. B. Multi-Faktor-Authentifizierung, Netzwerksegmentierung und Maßnahmen gegen Keylogger.

Device Guard, VBS und Beziehung zu Credential Guard

Device Guard und Credential Guard werden oft zusammen erwähnt. weil beide die Vorteile der virtualisierungsbasierten Sicherheit nutzen, um den Systemschutz zu stärken, obwohl sie unterschiedliche Probleme lösen.

Credential Guard konzentriert sich auf den Schutz von Anmeldeinformationen. (NTLM, Kerberos, Credential Manager) werden in der geschützten LSA isoliert. Es ist nicht von Device Guard abhängig, obwohl beide Hypervisor- und Hardwarefunktionen wie TPM, Secure Boot und IOMMU gemeinsam nutzen.

Device Guard wiederum ist eine Reihe von Funktionen Hardware- und Softwarelösungen ermöglichen es, das Gerät so zu sperren, dass nur vertrauenswürdige Anwendungen ausgeführt werden können, die in Codeintegritätsrichtlinien definiert sind. Dadurch ändert sich das traditionelle Modell (bei dem alles ausgeführt wird, sofern es nicht von Antivirensoftware blockiert wird) zu einem Modell, bei dem nur explizit autorisierte Anwendungen ausgeführt werden.

Beide Funktionen gehören zum Funktionsumfang von Windows Enterprise. Zum Schutz vor komplexen Bedrohungen setzt Device Guard auf VBS und erfordert HVCI-konforme Treiber, während Credential Guard VBS zur Isolierung von Authentifizierungsgeheimnissen verwendet. Zusammen bieten sie eine leistungsstarke Kombination: zuverlässigeren Code und besser geschützte Anmeldeinformationen.

Haben Sie Credential Guard ordnungsgemäß konfiguriert? Dies beinhaltet die Sicherung eines der sensibelsten Aspekte jeder Windows-Umgebung: Benutzer- und Computeranmeldeinformationen. Das Verständnis der Anforderungen, die Kenntnis der Aktivierung mit Intune, Gruppenrichtlinien oder der Registrierung, das Wissen um die Grenzen und klare Verfahren zur Überprüfung des Status und zur Deaktivierung in Ausnahmefällen ermöglichen es Ihnen, diese Technologie optimal zu nutzen und im Produktivbetrieb unliebsame Überraschungen zu vermeiden.