So aktivieren Sie Microsoft Defender Credential Guard und Exploit Guard

Schutz von Anmeldeinformationen in Windows und Absicherung des Systems gegen Sicherheitslücken In modernen Geschäftsumgebungen ist dies nahezu unerlässlich geworden. Angriffe wie Pass-the-Hash, Pass-the-Ticket oder die Ausnutzung von Zero-Day-Schwachstellen nutzen jede Konfigurationslücke aus, um sich lateral im Netzwerk auszubreiten und innerhalb weniger Minuten die Kontrolle über Server und Workstations zu erlangen.

In diesem Zusammenhang Microsoft Defender Credential Guard- und Exploit Guard-Technologien (zusammen mit der Microsoft Defender-Antiviren-Engine) sind Schlüsselkomponenten der Sicherheitsstrategie in Windows 10, Windows 11 und Windows Server. Im Folgenden erfahren Sie Schritt für Schritt und detailliert, wie sie funktionieren, welche Anforderungen sie stellen und wie Sie sie mithilfe von Intune, Gruppenrichtlinien, der Registrierung, PowerShell und anderen Tools korrekt aktivieren oder deaktivieren, ohne die Kompatibilität unnötig zu beeinträchtigen.

Was ist Microsoft Defender Credential Guard und warum ist er so wichtig?

Windows Defender Credential Guard ist eine Sicherheitsfunktion. Diese von Microsoft in Windows 10 Enterprise und Windows Server 2016 eingeführte Funktion nutzt virtualisierungsbasierte Sicherheit (VBS), um Authentifizierungsschlüssel zu isolieren. Anstatt dass die lokale Sicherheitsautorität (LSA) die Anmeldeinformationen im Arbeitsspeicher direkt verwaltet, wird ein separater LSA-Prozess verwendet.LSAIso.exe) wurde in einer geschützten Umgebung ausgeführt.

Dank dieser Isolation Nur Systemsoftware mit den entsprechenden Berechtigungen kann auf NTLM-Hashes und Kerberos-Tickets (TGT) zugreifen.Die vom Anmeldeinformationsmanager verwendeten Anmeldeinformationen, lokale Anmeldeinformationen und Anmeldeinformationen für Verbindungen wie Remote Desktop sind nicht mehr verfügbar. Jeglicher Schadcode, der versucht, den Speicher eines herkömmlichen LSA-Prozesses direkt auszulesen, wird feststellen, dass diese Geheimnisse verloren gegangen sind.

Dieser Ansatz verringert die Effektivität klassischer Post-Exploitation-Tools wie beispielsweise drastisch. Mimikatz für Pass-the-Hash- oder Pass-the-Ticket-AngriffeDies liegt daran, dass die Hashes und Tickets, die zuvor leicht zu extrahieren waren, sich jetzt in einem isolierten Container im Speicher befinden, auf den Malware nicht mehr so ​​leicht zugreifen kann, selbst wenn sie über Administratorrechte auf dem kompromittierten System verfügt.

Es lohnt sich, das klarzustellen Credential Guard ist nicht dasselbe wie Device Guard.Während Credential Guard Anmeldeinformationen und Geheimnisse schützt, konzentriert sich Device Guard (und verwandte Technologien zur Anwendungskontrolle) darauf, die Ausführung unautorisierten Codes auf dem Computer zu verhindern. Sie ergänzen sich, lösen aber unterschiedliche Probleme.

Dennoch Credential Guard ist kein Allheilmittel gegen Mimikatz oder gegen Insider-Angreifer.Ein Angreifer, der bereits die Kontrolle über einen Endpunkt besitzt, könnte Anmeldeinformationen während der Eingabe abfangen (beispielsweise mit einem Keylogger oder durch Einschleusen von Code in den Authentifizierungsprozess). Auch verhindert Credential Guard nicht, dass ein Mitarbeiter mit legitimen Zugriffsrechten auf bestimmte Daten diese kopiert oder exfiltriert; Credential Guard schützt Anmeldeinformationen im Speicher, nicht das Benutzerverhalten.

Credential Guard ist in Windows 11 und Windows Server standardmäßig aktiviert.

In modernen Windows-Versionen wird Credential Guard in vielen Fällen automatisch aktiviert.Ab Windows 11 22H2 und Windows Server 2025 werden VBS und Credential Guard standardmäßig auf Geräten aktiviert, die bestimmte Hardware-, Firmware- und Konfigurationsanforderungen erfüllen, ohne dass der Administrator etwas tun muss.

In diesen Systemen Die standardmäßige Aktivierung erfolgt ohne UEFI-Sperre.Dies bedeutet, dass Credential Guard zwar standardmäßig aktiviert ist, der Administrator ihn aber später per Gruppenrichtlinie, Intune oder anderen Methoden remote deaktivieren kann, da die Sperroption in der Firmware nicht aktiviert wurde.

wenn Credential Guard ist aktiviert, und virtualisierungsbasierte Sicherheit (VBS) ist ebenfalls aktiviert.VBS ist die Komponente, die die geschützte Umgebung schafft, in der LSAs isoliert und Geheimnisse gespeichert werden, sodass beide Funktionen in diesen Versionen Hand in Hand gehen.

Eine wichtige Nuance ist, dass Es gelten stets die vom Administrator explizit konfigurierten Werte. Die Standardeinstellungen werden überschrieben. Wenn Credential Guard über Intune, Gruppenrichtlinien oder die Registrierung aktiviert oder deaktiviert wird, überschreibt dieser manuelle Status nach dem Neustart des Computers die standardmäßige Aktivierung.

Darüber hinaus, wenn Bei einem Gerät war Credential Guard vor dem Upgrade auf eine Windows-Version, bei der es standardmäßig aktiviert ist, explizit deaktiviert.Das Gerät wird diese Deaktivierung nach dem Update respektieren und sich nicht automatisch einschalten, es sei denn, seine Konfiguration wird mithilfe eines der Verwaltungstools erneut geändert.

System-, Hardware-, Firmware- und Lizenzanforderungen

Damit Credential Guard echten Schutz bieten kannDie Geräte müssen bestimmte Hardware-, Firmware- und Softwareanforderungen erfüllen. Je leistungsfähiger die Plattform ist, desto höher ist das erreichbare Sicherheitsniveau.

Zuerst Eine 64-Bit-CPU ist zwingend erforderlich. und Kompatibilität mit virtualisierungsbasierter Sicherheit. Dies bedeutet, dass Prozessor und Mainboard die entsprechenden Virtualisierungserweiterungen unterstützen und diese Funktionen im UEFI/BIOS aktiviert werden müssen.

Ein weiteres entscheidendes Element ist das Sicherer Start (Sicherer Start)Secure Boot stellt sicher, dass das System beim Start ausschließlich vertrauenswürdige und signierte Firmware und Software lädt. VBS und Credential Guard verwenden Secure Boot, um zu verhindern, dass Angreifer Boot-Komponenten verändern und so den Schutz deaktivieren oder manipulieren.

Auch wenn es nicht unbedingt vorgeschrieben ist, wird der Besitz eines solchen Geräts dringend empfohlen. Trusted Platform Module (TPM) Version 1.2 oder 2.0Ob diskret oder firmwarebasiert, das TPM ermöglicht es, Verschlüsselungsgeheimnisse und -schlüssel mit der Hardware zu verknüpfen und fügt so eine zusätzliche Ebene hinzu, die die Angelegenheit für jeden, der versucht, diese Geheimnisse auf einem anderen Gerät zu übertragen oder wiederzuverwenden, erheblich verkompliziert.

Es ist außerdem dringend zu empfehlen, die UEFI-Sperre für Credential GuardDies verhindert, dass Systembenutzer den Schutz durch einfaches Ändern eines Registrierungsschlüssels oder einer Richtlinie deaktivieren können. Bei aktivierter Sperre erfordert die Deaktivierung von Credential Guard ein deutlich kontrollierteres und expliziteres Verfahren.

Im Bereich der Lizenzvergabe, Credential Guard ist nicht in allen Editionen von Windows verfügbar.Im Allgemeinen wird es in den Enterprise- und Education-Editionen unterstützt: Windows Enterprise und Windows Education bieten Unterstützung, während Windows Pro oder Pro Education/SE es nicht standardmäßig beinhalten.

Die Die Nutzungsrechte für Credential Guard sind an bestimmte Abonnementlizenzen gebunden.Beispielsweise Windows Enterprise E3 und E5 sowie Windows Education A3 und A5. Die Pro-Editionen sind lizenztechnisch nicht für diese erweiterten Funktionen berechtigt, obwohl sie dieselbe Betriebssystem-Binärdatei verwenden.

Anwendungskompatibilität und gesperrte Funktionen

Vor der massenhaften Einführung von Credential GuardEs empfiehlt sich, Anwendungen und Dienste, die auf bestimmten Authentifizierungsmechanismen basieren, gründlich zu prüfen. Nicht alle älteren Softwarelösungen sind mit diesen Schutzmechanismen kompatibel, und einige Protokolle werden direkt blockiert.

Wenn Credential Guard aktiviert ist, werden als riskant eingestufte Funktionen deaktiviert, sodass Anwendungen, die von ihnen abhängen, funktionieren nicht mehr richtig.Dies sind die sogenannten Anwendungsvoraussetzungen: Bedingungen, die vermieden werden müssen, wenn Sie Credential Guard weiterhin ohne Zwischenfälle nutzen möchten.

Zu den Merkmalen, die Sie sind direkt blockiert gehören:

• Kerberos DES-Verschlüsselungskompatibilität.
• Delegation von Kerberos ohne Einschränkungen.
• Extraktion von TGT aus Kerberos aus LSA.
• NTLMv1-Protokoll.

Zusätzlich Es gibt Merkmale, die zwar nicht gänzlich verboten sind, aber zusätzliche Risiken bergen. Bei Verwendung in Kombination mit Credential Guard sind Anwendungen, die auf impliziter Authentifizierung, Credential Delegierung, MS-CHAPv2 oder CredSSP basieren, besonders sensibel, da sie Anmeldeinformationen unsicher offenlegen können, wenn sie nicht sorgfältig konfiguriert werden.

Es wurde auch beobachtet Leistungsprobleme in Anwendungen, die versuchen, direkt mit dem isolierten Prozess zu interagieren oder eine Bindung herzustellen. LSAIso.exeDa dieser Prozess geschützt und isoliert ist, können wiederholte Zugriffsversuche zusätzlichen Aufwand verursachen oder in bestimmten Szenarien zu Verlangsamungen führen.

Das Gute ist das moderne Dienste und Protokolle, die Kerberos als Standard verwendenFunktionen wie der Zugriff auf gemeinsam genutzte SMB-Ressourcen oder einen ordnungsgemäß konfigurierten Remote-Desktop funktionieren weiterhin normal und werden durch die Aktivierung von Credential Guard nicht beeinträchtigt, sofern sie nicht von den oben genannten Legacy-Funktionen abhängen.

So aktivieren Sie Credential Guard: Intune, Gruppenrichtlinie und Registrierung

Die optimale Vorgehensweise zur Aktivierung von Credential Guard hängt von der Größe und Verwaltung Ihrer Umgebung ab.Für Organisationen mit modernen Managementsystemen ist Microsoft Intune (MDM) sehr komfortabel, während in traditionellen Active Directory-Domänen weiterhin Gruppenrichtlinien weit verbreitet sind. Für präzisere Anpassungen oder spezifische Automatisierungen bleibt die Registrierung eine Option.

Zunächst einmal ist es entscheidend zu verstehen, dass Credential Guard muss aktiviert sein, bevor der Computer der Domäne beitritt. oder bevor sich ein Domänenbenutzer zum ersten Mal anmeldet. Wird die Schutzfunktion später aktiviert, können Benutzer- und Maschinengeheimnisse bereits kompromittiert sein, wodurch der tatsächliche Schutzeffekt verringert wird.

Im Allgemeinen können Sie Credential Guard wie folgt aktivieren:

• Microsoft Intune / MDM-Verwaltung.
• Gruppenrichtlinien (GPO) in Active Directory oder lokaler Richtlinieneditor.
• Direkte Modifikation der Windows-Registrierung.

Bei Anwendung einer dieser Einstellungen Vergessen Sie nicht, dass ein Neustart des Geräts zwingend erforderlich ist. Damit die Änderungen wirksam werden, müssen Credential Guard, VBS und alle Isolationskomponenten beim Systemstart initialisiert werden; eine einfache Änderung der Richtlinie reicht daher nicht aus.

Aktivieren Sie Credential Guard mit Microsoft Intune

Wenn Sie Ihre Geräte mit Intune verwalten, haben Sie zwei Möglichkeiten. Hauptoptionen: Entweder Endpoint Security-Vorlagen verwenden oder eine benutzerdefinierte Richtlinie, die den DeviceGuard CSP über OMA-URI konfiguriert.

Im Intune-Portal, Sie können zu „Endpunktsicherheit > Kontoschutz“ gehen. und erstellen Sie eine neue Kontoschutzrichtlinie. Wählen Sie die Plattform „Windows 10 und höher“ und den Profiltyp „Kontoschutz“ (in seinen verschiedenen Varianten, je nach verfügbarer Version).

Bei der Konfiguration der Einstellungen, Stellen Sie die Option „Credential Guard aktivieren“ auf „Mit UEFI-Sperre aktivieren“ ein. Wenn Sie verhindern möchten, dass der Schutz einfach aus der Ferne deaktiviert werden kann, ist Credential Guard in der Firmware "verankert", wodurch das Niveau der physischen und logischen Sicherheit des Geräts erhöht wird.

Sobald die Parameter definiert sind, Weisen Sie die Richtlinie einer Gruppe zu, die die Geräte oder Benutzerobjekte enthält, die Sie schützen möchten.Die Richtlinie wird angewendet, wenn das Gerät mit Intune synchronisiert wird, und nach dem entsprechenden Neustart wird Credential Guard aktiviert.

Wenn Sie die Details lieber selbst in die Hand nehmen möchten, Sie können eine benutzerdefinierte Richtlinie basierend auf dem DeviceGuard CSP verwenden.Dazu müssen OMA-URI-Einträge mit den entsprechenden Namen und Werten erstellt werden, zum Beispiel:

Konfiguration
NameVirtualisierungsbasierte Sicherheit aktivieren OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Datentyp: int Wert: 1
NameCredential Guard-Konfiguration OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Datentyp: int Wert: Aktiviert mit UEFI-Sperre: 1 Aktiviert, ohne zu blockieren: 2

Nach Anwendung dieser benutzerdefinierten Richtlinie und Neustart, Das Gerät startet mit aktiviertem VBS und Credential Guard.Die Systemzugangsdaten werden im isolierten Container geschützt.

Konfigurieren von Credential Guard mithilfe von Gruppenrichtlinien

In Umgebungen mit herkömmlichem Active DirectoryDie einfachste Methode, Credential Guard für mehrere Benutzer gleichzeitig zu aktivieren, ist die Verwendung von Gruppenrichtlinienobjekten (GPOs). Dies kann entweder über den lokalen Richtlinieneditor auf einem einzelnen Computer oder über den Gruppenrichtlinien-Manager auf Domänenebene erfolgen.

Um die Richtlinie zu konfigurieren, öffnen Sie den entsprechenden Gruppenrichtlinienobjekt-Editor und navigieren Sie zum Pfad Computerkonfiguration > Administrative Vorlagen > System > Device GuardIn diesem Abschnitt finden Sie die Richtlinie „Virtualisierungsbasierte Sicherheit aktivieren“.

Diese Richtlinie legt fest in Wählen Sie „Aktiviert“ und wählen Sie die gewünschten Credential Guard-Einstellungen aus der Dropdown-Liste aus.Je nachdem, welchen Grad an physischem Schutz Sie anwenden möchten, können Sie zwischen „Mit UEFI-Sperre aktiviert“ und „Ohne Sperre aktiviert“ wählen.

Sobald die Gruppenrichtlinie konfiguriert ist, Verknüpfen Sie es mit der Organisationseinheit oder Domäne, in der sich die Zielcomputer befinden.Sie können die Anwendung mithilfe von Sicherheitsgruppenfiltern oder WMI-Filtern feinabstimmen, sodass sie nur für bestimmte Gerätetypen gilt (z. B. nur für Firmenlaptops mit kompatibler Hardware).

Wenn die Maschinen die Anweisung erhalten und neu starten, Credential Guard wird gemäß der Gruppenrichtlinienkonfiguration aktiviert., indem die Domäneninfrastruktur genutzt wird, um sie auf standardisierte Weise bereitzustellen.

Aktivieren Sie Credential Guard durch Ändern der Windows-Registrierung.

Wenn Sie eine sehr detaillierte Steuerung benötigen oder die Bereitstellung mit Skripten automatisieren möchtenCredential Guard lässt sich direkt über Registrierungsschlüssel konfigurieren. Diese Methode erfordert Präzision, da ein falscher Wert das System in einen unerwarteten Zustand versetzen kann.

Damit virtualisierungsbasierte Sicherheit und Credential Guard aktiv werden, Sie müssen mehrere Einträge unter bestimmten Pfaden erstellen oder ändern.Die wichtigsten Punkte sind:

Konfiguration
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Name: EnableVirtualizationBasedSecurity Typ: REG_DWORD Wert: 1 (ermöglicht virtualisierungsbasierte Sicherheit)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Name: RequirePlatformSecurityFeatures Typ: REG_DWORD Wert: 1 (mit Secure Boot) 3 (Sicherer Systemstart + DMA-Schutz)
Ruta: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Name: LsaCfgFlags Typ: REG_DWORD Wert: 1 (Aktiviert Credential Guard mit UEFI-Sperre) 2 (Aktiviert Credential Guard ohne Sperrung)

Nach Anwendung dieser Werte Starten Sie den Computer neu, damit der Windows-Hypervisor und der isolierte LSA-Prozess aktiv werden.Ohne diesen Reset werden die Änderungen in der Registry den Speicherschutz nicht aktivieren.

So prüfen Sie, ob Credential Guard aktiviert ist und funktioniert

Prüfen Sie, ob der Prozess LsaIso.exe Es erscheint im Task-Manager. Es könnte einen Hinweis liefern, aber Microsoft hält es nicht für eine zuverlässige Methode, um die Funktionsfähigkeit von Credential Guard zu bestätigen. Es gibt robustere Verfahren, die auf integrierten Systemtools basieren.

Zu den empfohlenen Optionen für Überprüfen Sie den Status von Credential Guard. Dazu gehören Systeminformationen, PowerShell und die Ereignisanzeige. Jede Methode bietet eine andere Perspektive, daher lohnt es sich, sich mit allen vertraut zu machen.

Die anschaulichste Methode ist diejenige, die Systeminformationen (msinfo32.exe)Starten Sie dieses Tool einfach über das Startmenü, wählen Sie „Systemübersicht“ und überprüfen Sie den Abschnitt „Ausgeführte virtualisierungsbasierte Sicherheitsdienste“, um sicherzustellen, dass „Credential Guard“ als aktiver Dienst angezeigt wird.

Wenn Sie etwas bevorzugen, das sich per Skript steuern lässt, PowerShell ist Ihr VerbündeterÜber eine Konsole mit erhöhten Rechten können Sie folgenden Befehl ausführen:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Die Ausgabe dieses Befehls gibt mithilfe numerischer Codes an, ob Ist Credential Guard auf diesem Computer aktiviert oder nicht?Ein Wert 0 bedeutet, dass Credential Guard deaktiviert ist.Während Die 1 bedeutet, dass es aktiviert ist und läuft. als Teil von virtualisierungsbasierten Sicherheitsdiensten.

Schließlich wird die Mit der Ereignisanzeige können Sie das bisherige Verhalten von Credential Guard überprüfen.Öffnung eventvwr.exe Unter „Windows-Protokolle > System“ können Sie nach der Ereignisquelle „WinInit“ filtern und Meldungen im Zusammenhang mit der Initialisierung der Dienste Device Guard und Credential Guard finden, die für regelmäßige Überprüfungen nützlich sind.

Credential Guard deaktivieren und UEFI-Sperre verwalten

Die allgemeine Empfehlung lautet zwar, Credential Guard aktiviert zu lassen. Auf allen Systemen, die dies unterstützen, kann es in bestimmten Szenarien erforderlich sein, die Funktion zu deaktivieren, entweder um Inkompatibilitäten mit älteren Anwendungen zu beheben oder um bestimmte Diagnoseaufgaben durchzuführen.

Das genaue Vorgehen für Ob Credential Guard deaktiviert werden kann, hängt von der ursprünglichen Konfiguration ab.Wenn die Funktion ohne UEFI-Sperre aktiviert wurde, setzen Sie einfach die Intune-, Gruppenrichtlinien- oder Registrierungsrichtlinien zurück und starten Sie das System neu. Wenn die Funktion jedoch mit UEFI-Sperre aktiviert wurde, sind zusätzliche Schritte erforderlich, da ein Teil der Konfiguration in den EFI-Variablen der Firmware gespeichert ist.

Im konkreten Fall von Credential Guard mit UEFI-Sperre aktiviertZuerst müssen Sie den Standard-Deaktivierungsprozess befolgen (Direktiven oder Registrierungswerte zurücksetzen) und anschließend die zugehörigen EFI-Variablen entfernen. bcdedit und das Dienstprogramm SecConfig.efi mit einem hochentwickelten Skript.

Der typische Ablauf beinhaltet Ein temporäres EFI-Laufwerk einbinden, kopieren SecConfig.efi, einen neuen Ladeeingang erstellen mit bcdeditKonfigurieren Sie Ihre Optionen so, dass isolierte LSA deaktiviert und eine temporäre Bootsequenz über den Windows-Bootmanager festgelegt wird. Außerdem muss das Laufwerk am Ende des Vorgangs ausgehängt werden.

Nach dem Neustart des Computers mit dieser Konfiguration, Vor dem Start von Windows erscheint eine Meldung, die auf eine Änderung im UEFI hinweist.Die Bestätigung dieser Meldung ist zwingend erforderlich, damit die Änderungen dauerhaft gespeichert werden und die Credential Guard EFI-Sperre in der Firmware tatsächlich deaktiviert wird.

Wenn was Sie brauchen, ist Credential Guard auf einer bestimmten Hyper-V-VM deaktivierenDies lässt sich vom Host aus durchführen, ohne den Gast zu berühren, mithilfe von PowerShell. Ein typischer Befehl wäre:

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

Mit dieser Anpassung wird die virtuelle Maschine Es verwendet kein VBS mehr und beendet daher auch die Ausführung von Credential Guard. auch wenn das Gastbetriebssystem die Funktion unterstützt, die in sehr spezifischen Labor- oder Testumgebungen nützlich sein kann.

Credential Guard auf Hyper-V-VMs

Credential Guard beschränkt sich nicht auf physische Geräte.Es kann auch Anmeldeinformationen in virtuellen Maschinen schützen, die unter Windows in Hyper-V-Umgebungen laufen, und bietet damit ein ähnliches Maß an Isolation wie bei Bare-Metal-Hardware.

In diesen Situationen Credential Guard schützt Geheimnisse vor Angriffen, die von der virtuellen Maschine selbst ausgehen.Mit anderen Worten: Wenn ein Angreifer Systemprozesse innerhalb der VM kompromittiert, isoliert der VBS-Schutz weiterhin LSAs und reduziert die Offenlegung von Hashes und Tickets.

Es ist jedoch wichtig, die Grenze klar zu definieren: Credential Guard kann die VM nicht vor Angriffen schützen, die vom Host ausgehen. mit erhöhten Berechtigungen. Der Hypervisor und das Hostsystem haben faktisch die vollständige Kontrolle über die virtuellen Maschinen, sodass ein böswilliger Host-Administrator diese Barrieren umgehen könnte.

Damit Credential Guard bei diesen Bereitstellungsarten ordnungsgemäß funktioniert, Der Hyper-V-Host muss über eine IOMMU verfügen. (Eingabe-/Ausgabe-Speicherverwaltungseinheit), die den Zugriff auf Speicher und Geräte isoliert, und virtuelle Maschinen müssen von Generation 2, mit UEFI-Firmware, wodurch Secure Boot und andere notwendige Funktionen ermöglicht werden.

Unter diesen Voraussetzungen, Die Nutzung von Credential Guard auf virtuellen Maschinen ist der auf physischen Maschinen sehr ähnlich.einschließlich der gleichen Aktivierungsmethoden (Intune, Gruppenrichtlinie, Registrierung) und Verifizierungsmethoden (msinfo32, PowerShell, Ereignisanzeige).

Exploit Guard und Microsoft Defender: Aktivieren und Verwalten des allgemeinen Schutzes

Neben Credential Guard stützt sich das Windows-Sicherheitsökosystem auf Microsoft Defender Antivirus. und in Technologien wie Exploit Guard, die Regeln zur Reduzierung der Angriffsfläche, Netzwerkschutz, Ordnerzugriffskontrolle und andere Funktionen umfassen, die darauf abzielen, Malware zu verlangsamen und Exploits zu entschärfen.

In vielen Teams Microsoft Defender Antivirus ist vorinstalliert und standardmäßig aktiviert. In Windows 8, Windows 10 und Windows 11 ist diese Funktion verfügbar, allerdings ist sie relativ häufig deaktiviert, sei es aufgrund früherer Richtlinien, der Installation von Drittanbieterlösungen oder manueller Änderungen an der Registrierung.

zu Aktivieren Sie Microsoft Defender Antivirus mithilfe lokaler Gruppenrichtlinien.Sie können das Startmenü öffnen, nach „Gruppenrichtlinie“ suchen und „Gruppenrichtlinie bearbeiten“ auswählen. Unter „Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Defender Antivirus“ finden Sie die Option „Windows Defender Antivirus deaktivieren“.

Wenn diese Richtlinie auf „Aktiviert“ eingestellt ist, bedeutet dies, dass der Virenschutz zwangsweise deaktiviert wird. Um die Funktionalität wiederherzustellen, stellen Sie die Option auf „Deaktiviert“ oder „Nicht konfiguriert“.Übernehmen Sie die Änderungen und schließen Sie den Editor. Der Dienst kann nach dem nächsten Richtlinienupdate wieder gestartet werden.

Wenn zu der Zeit Defender wurde explizit in der Registry deaktiviert.Sie müssen die Route überprüfen. HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender und den Wert ermitteln DisableAntiSpywareMithilfe des Registrierungs-Editors können Sie die Datei öffnen und deren „Wertdaten“ festlegen. 0Die Änderung wird akzeptiert, damit das Antivirenprogramm wieder funktioniert.

Nach diesen Anpassungen gehen Sie zu „Start > Einstellungen > Update und Sicherheit > Windows Defender“ (in neueren Versionen „Windows-Sicherheit“) und Vergewissern Sie sich, dass der Schalter „Echtzeitschutz“ aktiviert ist.Falls es noch ausgeschaltet ist, schalten Sie es manuell ein, um sicherzustellen, dass der Virenschutz mit dem System startet.

Für maximalen Schutz ist es ratsam Aktivieren Sie sowohl Echtzeitschutz als auch cloudbasierten Schutz.Gehen Sie in der Anwendung „Windows-Sicherheit“ zu „Viren- und Bedrohungsschutz > Einstellungen für Viren- und Bedrohungsschutz > Einstellungen verwalten“ und aktivieren Sie die entsprechenden Schalter.

Wenn diese Optionen nicht sichtbar sind, ist es wahrscheinlich, dass Eine Gruppenrichtlinie blendet den Abschnitt zum Virenschutz aus. Überprüfen Sie in den Windows-Sicherheitseinstellungen unter „Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows-Sicherheit > Viren- und Bedrohungsschutz“ die Option „Bereich für Viren- und Bedrohungsschutz ausblenden“ und stellen Sie sicher, dass diese auf „Deaktiviert“ eingestellt ist. Übernehmen Sie anschließend die Änderungen.

Es ist genauso wichtig Virendefinitionen auf dem neuesten Stand halten Dadurch kann Microsoft Defender aktuelle Bedrohungen erkennen. Klicken Sie in Windows Security unter „Viren- und Bedrohungsschutz“ im Bereich „Updates zum Bedrohungsschutz“ auf „Nach Updates suchen“ und lassen Sie die neuesten Signaturen herunterladen.

Falls Sie die Kommandozeile bevorzugen, ist das auch eine Option. Sie können den Microsoft Defender-Dienst über die Eingabeaufforderung starten.Drücken Sie Windows + R, geben Sie cmd Führen Sie anschließend an der Eingabeaufforderung (vorzugsweise mit Administratorrechten) folgenden Befehl aus:

sc start WinDefend

Mit diesem Befehl Der Haupt-Antivirendienst startet. vorausgesetzt, es gibt keine zusätzlichen Richtlinien oder Sperren, die dies verhindern, sodass Sie schnell überprüfen können, ob der Motor fehlerfrei startet.

Um herauszufinden, ob Ihr Computer Microsoft Defender verwendet, gehen Sie einfach auf „Start > Einstellungen > System“ und öffnen Sie dann die „Systemsteuerung“. Im Bereich „Sicherheit und Wartung“ finden Sie den Abschnitt „Systemsicherheit und -schutz“. Sie sehen eine Zusammenfassung des Virenschutzstatus und anderer aktiver Maßnahmen. im Team.

durch Kombinieren Credential Guard zum Schutz von Anmeldeinformationen im Speicher Mit einem korrekt konfigurierten Microsoft Defender, Exploit Guard und geeigneten Sicherheitsregeln wird ein deutlich höheres Sicherheitsniveau gegen Anmeldeinformationsdiebstahl, hochentwickelte Malware und laterale Angriffe innerhalb der Domäne erreicht. Zwar entstehen durch die Kompatibilität mit älteren Protokollen und Anwendungen gewisse Kosten, doch die insgesamt verbesserte Sicherheit überwiegt diese in den meisten Organisationen deutlich.