Configurer Credential Guard sous Windows étape par étape

Credential Guard est devenu un élément clé renforcer la sécurité des identifiants dans les environnements Windows Les systèmes modernes sont particulièrement importants dans les organisations où une attaque par vol d'identifiants pourrait constituer un problème majeur. Au lieu de laisser les secrets d'authentification exposés dans la mémoire système, cette fonctionnalité les isole grâce à une sécurité basée sur la virtualisation, réduisant ainsi considérablement la surface d'attaque.

Vous découvrirez ci-dessous comment configurer Credential Guard. Nous aborderons, à l'aide de différentes méthodes (Intune/MDM, stratégie de groupe et registre), les exigences auxquelles votre appareil doit répondre, les limitations qu'il impose, comment vérifier son activation et comment le désactiver dans certains cas, notamment sur les machines virtuelles et les appareils verrouillés UEFI. Chaque étape est expliquée en détail, dans un langage clair et accessible, pour une application facile.

Qu'est-ce que Credential Guard et comment protège-t-il les identifiants ?

Credential Guard est une fonctionnalité de sécurité Windows qui utilise la sécurité basée sur la virtualisation (VBS) pour isoler les informations d'identification et autres secrets liés à l'authentification. Au lieu que tout soit stocké directement dans le processus d'autorité de sécurité local (lsass.exe), les données sensibles sont stockées dans un composant isolé appelé LSA isolé o LSA isolé.

Ce LSA isolé s'exécute dans un environnement protégé, séparé du système d'exploitation principal au moyen de l'hyperviseur (Mode sans échec (virtuel ou VSM). Seul un très petit nombre de binaires, signés avec des certificats de confiance, peuvent être chargés dans cet environnement. La communication avec le reste du système se fait via RPC, ce qui empêche malware qui s'exécute sur le système, aussi privilégié soit-il, peut lire directement les secrets protégés.

Credential Guard protège spécifiquement trois types d'identifiantsLes hachages de mots de passe NTLM, les enregistrements Kerberos Ticket Granting (TGT) et les informations d'identification stockées par les applications en tant qu'informations d'identification de domaine sont tous compromis. Cela atténue les attaques classiques telles que : passer le hachage o passer le billet, très fréquent dans les mouvements latéraux au sein des réseaux d'entreprises.

Il est important de comprendre que Credential Guard ne protège pas tout.Il ne couvre pas, par exemple, les informations d'identification gérées par des logiciels tiers en dehors des mécanismes standard de Windows, les comptes locaux et Microsoft, ni ne protège contre les attaques physiques ou les enregistreurs de frappe. Néanmoins, il réduit considérablement les risques liés aux informations d'identification de domaine.

Credential Guard est activé par défaut

À partir de Windows 11 22H2 et Windows Server 2025La sécurité basée sur la virtualisation (VBS) et Credential Guard sont activées par défaut sur les appareils conformes aux exigences matérielles, logicielles et micrologicielles définies par Microsoft. Ainsi, sur de nombreux ordinateurs modernes, elles sont préconfigurées et actives sans intervention de l'administrateur.

Le mode d'activation par défaut est « UEFI déverrouillé ».Autrement dit, sans le verrou empêchant la désactivation à distance. Cette approche permet aux administrateurs de désactiver plus facilement Credential Guard via des stratégies ou une configuration à distance en cas d'incompatibilité d'une application critique ou de problèmes de performance.

Lorsque Credential Guard est activé par défautLe VBS est également activé automatiquement. Aucune configuration VBS distincte n'est requise pour le fonctionnement de Credential Guard, bien qu'il existe des paramètres supplémentaires pour renforcer le niveau de protection de la plateforme (par exemple, exiger une protection DMA en plus de la protection standard). Botte bien sûr).

Il existe une nuance importante dans les équipements mis à jourSi Credential Guard était explicitement désactivé sur un appareil avant la mise à niveau vers une version de Windows où il est activé par défaut, il restera désactivé après la mise à niveau. Autrement dit, le paramètre défini par l'administrateur prévaut sur le comportement par défaut.

Exigences relatives au système, au matériel, au micrologiciel et aux licences

Pour que Credential Guard offre une véritable protectionL'appareil doit satisfaire à une série d'exigences minimales en matière de matériel, de micrologiciel et de logiciel. Les appareils qui dépassent ces exigences minimales et qui disposent de fonctionnalités supplémentaires, telles que l'IOMMU ou le TPM 2.0, peuvent bénéficier de niveaux de sécurité plus élevés contre les attaques DMA et les menaces avancées.

Exigences matérielles et logicielles

Configuration matérielle requise pour Credential Guard Ils comprennent un processeur 64 bits avec extensions de virtualisation (Intel La prise en charge de VT-x ou AMD-V et de la traduction d'adresses de second niveau (SLAT, également appelée tables de pages étendues) est indispensable. Sans ces fonctionnalités de virtualisation, VBS et le mode sans échec virtuel ne pourront pas isoler correctement la mémoire.

Au niveau du firmware, il est obligatoire d'avoir UEFI Version 2.3.1 ou supérieure avec prise en charge du démarrage sécurisé et processus de mise à jour du firmware sécurisé. De plus, des fonctionnalités telles que la requête d'écrasement de mémoire (MOR) implémentée de manière sécurisée, la protection de la configuration de démarrage et la possibilité de mise à niveau du firmware via [non précisé - possiblement « mise à niveau logicielle » ou « mise à niveau logicielle »] sont recommandées. Windows Update.

L'utilisation d'une unité de gestion de la mémoire d'entrée/sortie (IOMMU)L'utilisation d'une machine virtuelle comme Intel VT-d ou AMD-Vi est fortement recommandée, car elle permet d'activer la protection DMA conjointement avec VBS. Cette protection empêche les périphériques malveillants connectés au bus d'accéder directement à la mémoire et d'en extraire des données confidentielles.

Le module de plateforme sécurisée (TPM) est un autre composant clé.de préférence en version TPM 2.0Bien que la version 1.2 du TPM soit également prise en charge, le TPM fournit un point d'ancrage matériel pour la sécurité afin de protéger la clé principale VSM et de garantir que les données protégées par Credential Guard ne soient accessibles que dans un environnement de confiance.

Protections VSM et rôle du TPM

Les secrets protégés par Credential Guard sont isolés en mémoire via le mode sécurisé virtuel (VSM). Sur les matériels récents équipés de TPM 2.0, les données persistantes dans l'environnement VSM sont chiffrées à l'aide d'un Clé maîtresse VSM protégé par le TPM lui-même et par les mécanismes de démarrage sécurisé de l'appareil.

Bien que les TGT NTLM et Kerberos soient régénérés à chaque connexion et comme elles ne sont généralement pas conservées entre les redémarrages, l'existence de la clé principale VSM permet la protection des données qui peuvent être conservées en place. le tempsLe module TPM garantit que la clé ne peut pas être extraite de l'appareil et que les secrets protégés ne peuvent pas être consultés en dehors d'un environnement validé.

Configuration requise et licences pour l'édition Windows

Credential Guard n'est pas disponible dans toutes les éditions de Windows.Dans les systèmes clients, il est pris en charge par Windows Enterprise Cette fonctionnalité est disponible sous Windows Éducation, mais pas sous Windows Pro ni Windows Pro Éducation/SE. Autrement dit, un ordinateur équipé de Windows Pro doit être mis à niveau vers la version Entreprise pour l'utiliser.

Les droits d'utilisation de Credential Guard sont accordés. via des licences telles que Windows Enterprise E3 et E5 ou les licences éducatives A3 et A5. Dans les environnements professionnels, cela se fait généralement par le biais d'accords de licences en volume, tandis que les OEM fournissent généralement Windows Pro et le client effectue ensuite une mise à niveau vers Enterprise.

Credential Guard sur les machines virtuelles Hyper-V

Credential Guard peut également protéger les secrets au sein des machines virtuelles. L'exécution se fait dans Hyper-V, de la même manière que sur des machines physiques. Les principales exigences sont que l'hôte Hyper-V prenne en charge l'IOMMU et que les machines virtuelles soient de génération 2.

Il est important de comprendre la limite de protection dans ces scénarios.Credential Guard protège contre les attaques provenant de la machine virtuelle elle-même, mais pas contre les menaces émanant de l'hôte disposant de privilèges élevés. Si l'hôte est compromis, il peut toujours accéder aux machines virtuelles invitées.

Exigences et compatibilité de l'application

L'activation de Credential Guard bloque certaines fonctionnalités d'authentification.Par conséquent, certaines applications peuvent cesser de fonctionner si elles utilisent des méthodes obsolètes ou non sécurisées. Avant un déploiement à grande échelle, il est conseillé de tester les applications critiques afin de garantir leur bon fonctionnement.

Applications nécessitant le chiffrement DES pour KerberosLa délégation Kerberos sans restriction, l'extraction de TGT et l'utilisation de NTLMv1 seront interrompues, car ces options sont directement désactivées lorsque Credential Guard est activé. Il s'agit d'une mesure de sécurité stricte, mais nécessaire pour prévenir les vulnérabilités graves.

D'autres fonctionnalités, telles que l'authentification impliciteLa délégation d'informations d'identification, MS-CHAPv2 ou CredSSP exposent les informations d'identification à des risques supplémentaires, même lorsque Credential Guard est activé. Les applications qui insistent sur leur utilisation peuvent continuer à fonctionner, mais elles rendent les informations d'identification plus vulnérables ; il est donc recommandé de les examiner.

Il peut également y avoir des impacts sur les performances si certaines applications tentent d'interagir directement avec le processus isolé LsaIso.exeEn général, les services qui utilisent Kerberos de manière standard (par exemple, les partages de fichiers ou Bureau à distance) continuent de fonctionner normalement sans remarquer aucun changement.

Comment activer correctement Credential Guard

La recommandation générale de Microsoft est d'activer Credential Guard. Cette opération doit être effectuée avant que l'appareil ne rejoigne un domaine ou avant la première connexion d'un utilisateur du domaine. Si elle est activée ultérieurement, des informations confidentielles (utilisateur ou ordinateur) risquent d'être exposées dans une mémoire non protégée.

Il existe trois méthodes principales pour configurer cette fonctionnalité.Cela peut se faire via Microsoft Intune/MDM, par le biais de la stratégie de groupe ou via le Registre Windows. Le choix dépend du type d'environnement, des outils de gestion disponibles et du niveau d'automatisation souhaité.

Activez Credential Guard à l'aide de Microsoft Intune/MDM

Dans les environnements gérés avec Intune ou d'autres solutions MDMCredential Guard peut être activé en créant une stratégie de configuration de périphérique qui active d'abord la sécurité basée sur la virtualisation, puis définit le comportement spécifique de Credential Guard.

Des politiques personnalisées peuvent être créées à l'aide du CSP DeviceGuard. avec les paramètres OMA-URI clés suivants :

• Activer l'école biblique de vacances: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritytype de données int, valeur 1 pour permettre une sécurité basée sur la virtualisation.
• Configurer Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, tapez int, valeur 1 pour activer avec verrouillage UEFI ou 2 activer sans bloquer.

Une fois la stratégie créée, elle est attribuée à l'appareil ou au groupe d'utilisateurs. que vous souhaitez protéger. Après l'application de la politique, vous devez redémarrer l'appareil pour que Credential Guard prenne effet.

Configurer Credential Guard à l'aide de la stratégie de groupe (GPO)

Dans les domaines Active Directory, la méthode la plus pratique est généralement la GPO.Vous pouvez utiliser l'Éditeur de stratégie de groupe locale pour un seul ordinateur ou créer un objet de stratégie de groupe lié à des domaines ou à des unités organisationnelles pour couvrir plusieurs appareils.

Le chemin spécifique de la stratégie de groupe estConfiguration du périphérique → Modèles d'administration → Système → Device Guard. Dans cette section, vous trouverez un paramètre appelé « Activer la sécurité basée sur la virtualisation ».

Lors de l'activation de cette stratégie, vous devez sélectionner l'option Credential Guard. dans la liste déroulante « Paramètres de Credential Guard » :

• Activé avec le verrouillage UEFI: empêche la désactivation à distance de Credential Guard ; ne peut être modifié que par un accès physique au firmware/BIOS.
• Activé sans blocage: vous permet de désactiver ultérieurement Credential Guard via une stratégie de groupe ou une configuration à distance.

Les GPO peuvent être filtrées à l'aide de groupes de sécurité ou de filtres WMI.Cela vous permet d'appliquer cette protection uniquement à certains types d'appareils ou de profils d'utilisateurs. Après l'application de la stratégie, un redémarrage est également nécessaire pour que les modifications soient prises en compte.

Configurer Credential Guard à l'aide du Registre Windows

Lorsque un contrôle plus précis est nécessaire ou scénario personalizadoCredential Guard peut être activé directement via le Registre. Cette méthode est généralement utilisée dans des scénarios avancés ou des automatisations où les GPO ou la gestion des appareils mobiles (MDM) ne sont pas disponibles.

Pour activer la sécurité basée sur la virtualisation (VBS)Les clés suivantes doivent être configurées :

• Chemin clé: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nom: EnableVirtualizationBasedSecurity, tapez REG_DWORD, valeur 1.
• Chemin clé: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nom: RequirePlatformSecurityFeatures, tapez REG_DWORD, valeur 1 pour un démarrage en toute sécurité ou 3 pour un démarrage sécurisé avec protection DMA.

Pour une configuration spécifique de Credential Guard La clé est utilisée :

• Chemin clé: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Nom: LsaCfgFlags, tapez REG_DWORDValeurs possibles :
  0 pour désactiver Credential Guard,
  1 pour l'activer avec le verrouillage UEFI,
  2 pour l'activer sans blocage.

Après avoir ajusté ces clés dans le RegistreVous devez redémarrer l'ordinateur pour que VBS et Credential Guard s'initialisent correctement et commencent à protéger les informations d'identification.

Vérifiez si Credential Guard est activé.

Bien qu'il puisse sembler tentant d'examiner si le processus LsaIso.exe C'est en cours. de l' Le Gestionnaire des tâchesMicrosoft ne recommande pas cette méthode comme vérification fiable. Trois mécanismes principaux sont proposés à la place : Informations système, PowerShell et visionneuse d'événements.

Vérification avec les informations système (msinfo32)

La solution la plus simple pour de nombreux administrateurs Cela implique l'utilisation de l'outil « Informations système » de Windows :

1. Sélectionnez Démarrer et tapez msinfo32.exeOuvrez ensuite l'application « Informations système ».
2. Dans le panneau de gauche, accédez à Présentation du système.
3. Dans le panneau de droite, recherchez la section « Services de sécurité basés sur la virtualisation en fonctionnement » et vérifiez que « Credential Guard » figure bien parmi les services listés.

Si Credential Guard est répertorié comme un service en cours d'exécution Dans cette section, cela signifie qu'il est correctement activé et actif sur l'ordinateur.

Vérification à l'aide de PowerShell

Dans les environnements gérés, l'utilisation de PowerShell est très pratique. Pour effectuer une vérification en masse de l'état de Credential Guard, vous pouvez exécuter la commande suivante à partir d'une console PowerShell avec privilèges élevés :

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Cette commande renvoie un ensemble de valeurs numériques qui indiquent quels services de sécurité basés sur la virtualisation sont actifs. Dans le cas précis de Credential Guard, ils sont interprétés comme suit :

• 0: Credential Guard désactivé (ne fonctionne pas).
• 1: Protection des informations d'identification activée (en cours d'exécution).

En plus de cette requête généraleMicrosoft propose le script DG_Readiness_Tool (par exemple, DG_Readiness_Tool_v2.0.ps1), qui vous permet de vérifier si le système est capable d'exécuter Credential Guard, de l'activer, de le désactiver et de valider son état à l'aide d'options telles que -Capable, -Enable, -Disable y -Ready.

Utilisation de l'Observateur d'événements

Une autre méthode de vérification davantage orientée vers l'audit Il s'agit d'utiliser l'Observateur d'événements. À partir de eventvwr.exe Vous pouvez accéder à « Journaux Windows » → « Système » et filtrer les événements dont l'origine est « WinInit ».

Parmi ces événements figurent des inscriptions liées à la start-up des services de sécurité basés sur la virtualisation, y compris ceux qui indiquent si Credential Guard a été initialisé avec succès lors du processus de démarrage.

Désactiver Credential Guard et la gestion du verrouillage UEFI

Normalement, vous souhaiteriez garder Credential Guard activé.Il existe des situations où il peut être nécessaire de le désactiver : incompatibilités d’applications, tests en laboratoire, modifications de l’architecture de sécurité, etc. La procédure de désactivation dépendra de la manière dont il a été activé et de l’utilisation ou non du verrouillage UEFI.

De manière générale, désactiver Credential Guard Cela implique de rétablir les paramètres appliqués via Intune/MDM, la stratégie de groupe ou le Registre, puis de redémarrer l'ordinateur. Toutefois, lorsque le verrouillage UEFI est activé, des étapes supplémentaires sont nécessaires car certains paramètres sont stockés dans le Registre. variables EFI du firmware.

Désactivation de Credential Guard avec verrouillage UEFI

Si Credential Guard était activé avec le verrouillage UEFIIl ne suffit pas de modifier la GPO ou le Registre. Vous devez également supprimer les variables EFI associées à la configuration LSA isolée. bcdedit et un petit processus de démarrage spécifique.

D'un symbole du système avec des privilèges élevés une séquence est exécutée commandes pour:

1. Installer une unité EFI temporaire avec mountvol et copier SecConfig.efi au chemin de démarrage Microsoft.
2. Créez une entrée de chargeur système avec bcdedit /create pointant du doigt cela SecConfig.efi.
3. Configurer le séquence d'amorçage du gestionnaire de démarrage afin qu'il démarre une seule fois avec ce chargeur spécial.
4. Ajouter l'option de chargement DISABLE-LSA-ISO désactiver la configuration LSA isolée stockée dans l'UEFI.
5. Retirez à nouveau l'unité EFI temporaire.

Après avoir effectué ces étapes, l'appareil redémarre.Avant le démarrage du système d'exploitation, un message s'affichera indiquant que les paramètres UEFI ont été modifiés et demandant une confirmation. Il est indispensable d'accepter ce message pour que les modifications de désactivation soient prises en compte.

Désactiver Credential Guard sur les machines virtuelles

Dans le cas des machines virtuelles connectées à un hôte Hyper-VIl est possible d'empêcher la machine virtuelle d'utiliser VBS et Credential Guard même si le système d'exploitation invité est préparé à cet effet.

Depuis l'hôte, à l'aide de PowerShell, vous pouvez exécuter La commande suivante permettra d'exclure une machine virtuelle de la sécurité basée sur la virtualisation :

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

En activant cette option d'exclusionLa machine virtuelle fonctionnera sans protection VBS et, par extension, sans Credential Guard, ce qui peut s'avérer utile dans les environnements de test ou lors de l'exécution de systèmes hérités au sein de machines virtuelles.

Intégration de Credential Guard à AWS Nitro et à d'autres scénarios

Credential Guard est également disponible dans les environnements cloud. Par exemple, Amazon EC2, en tirant parti de l'architecture sécurisée du système AWS Nitro. Dans ce contexte, VBS et Credential Guard s'appuient sur Nitro pour empêcher l'extraction des identifiants de connexion Windows de la mémoire du système d'exploitation invité.

Pour utiliser Credential Guard sur une instance Windows dans EC2Pour lancer une instance compatible, vous devez sélectionner un type d'instance pris en charge et une AMI Windows préconfigurée incluant la prise en charge de TPM virtuel et de VBS. Vous pouvez effectuer cette opération depuis la console Amazon EC2 ou depuis l'interface de ligne de commande AWS (AWS CLI). run-instances ou avec PowerShell en utilisant New-EC2Instanceen spécifiant, par exemple, une image du style TPM-Windows_Server-2022-English-Full-Base.

Dans certains cas, il sera nécessaire de désactiver l'intégrité de la mémoire (HVCI) avant d'activer Credential Guard, en ajustant les stratégies de groupe relatives à la « Protection de l'intégrité du code basée sur la virtualisation ». Une fois ces ajustements effectués et l'instance redémarrée, Credential Guard peut être activé et validé, comme sur n'importe quelle autre machine Windows. msinfo32.exe.

Limites et aspects de protection non couverts par Credential Guard

Bien que Credential Guard représente un grand pas en avant en matière de protection des identifiantsIl ne s'agit pas d'une solution miracle. Certains cas particuliers n'entrent pas dans son champ d'application, et il est important d'en être conscient pour éviter un faux sentiment de sécurité.

Voici quelques exemples de ce qu'il ne protège pas ::

• Logiciel tiers qui gère les informations d'identification en dehors des mécanismes standard de Windows.
• Comptes locaux et les comptes Microsoft configurés sur l'ordinateur lui-même.
• Base de données Active Directory sur les contrôleurs de domaine Windows Server.
• canaux d'entrée d'identifiants tels que les serveurs de passerelle Bureau à distance.
• Enregistreurs de frappe et des attaques physiques directes contre l'équipe.

Cela n'empêche pas non plus un attaquant ayant installé un logiciel malveillant sur l'ordinateur de Cette méthode exploite les privilèges déjà accordés à une authentification active. Autrement dit, si un utilisateur disposant de droits d'accès élevés se connecte à un système compromis, l'attaquant peut exploiter ces privilèges pendant toute la durée de la session, même s'il ne peut pas dérober le hachage stocké dans la mémoire protégée.

Dans les environnements comportant des utilisateurs ou des comptes de grande valeur (Administrateurs de domaine, personnel informatique ayant accès aux ressources critiques, etc.), il est toujours conseillé d'utiliser des équipements dédiés et d'autres couches de sécurité supplémentaires, telles que l'authentification multifacteurs, la segmentation du réseau et les mesures anti-enregistreur de frappe.

Device Guard, VBS et relation avec Credential Guard

Device Guard et Credential Guard sont souvent mentionnés ensemble. car les deux tirent parti de la sécurité basée sur la virtualisation pour renforcer la protection du système, même si elles résolvent des problèmes différents.

Credential Guard se concentre sur la protection des identifiants (NTLM, Kerberos, Gestionnaire d'informations d'identification) les isolent dans le LSA protégé. Il ne dépend pas de Device Guard, bien que les deux partagent l'utilisation de l'hyperviseur et de fonctionnalités matérielles telles que TPM, le démarrage sécurisé et l'IOMMU.

Device Guard, pour sa part, est un ensemble de fonctionnalités Les solutions matérielles et logicielles permettent de verrouiller l'appareil afin qu'il n'exécute que les applications de confiance définies dans les politiques d'intégrité du code. Ceci remplace le modèle traditionnel (où tout s'exécute sauf blocage par un logiciel antivirus) par un modèle où seules les applications explicitement autorisées sont exécutées.

Ces deux fonctionnalités font partie de l'arsenal Windows Enterprise. Pour se prémunir contre les menaces avancées, Device Guard s'appuie sur VBS et exige que les pilotes soient conformes à la norme HVCI, tandis que Credential Guard utilise VBS pour isoler les secrets d'authentification. Ensemble, ils offrent une protection renforcée : un code plus fiable et des identifiants mieux protégés.

Configurez correctement Credential Guard Cela implique de sécuriser l'un des aspects les plus sensibles de tout environnement Windows : les informations d'identification des utilisateurs et des ordinateurs. Comprendre ses exigences, savoir comment l'activer avec Intune, les GPO ou le Registre, connaître ses limitations et disposer de procédures claires pour vérifier son état et le désactiver dans des cas exceptionnels vous permet de tirer pleinement parti de cette technologie sans rencontrer de mauvaises surprises en production.