Configurare Credential Guard in Windows passo dopo passo

Credential Guard è diventato un elemento chiave per rafforzare la sicurezza delle credenziali negli ambienti Windows I sistemi moderni sono particolarmente importanti nelle organizzazioni in cui un attacco di furto di credenziali potrebbe rappresentare un problema serio. Invece di lasciare i segreti di autenticazione esposti nella memoria di sistema, questa funzionalità li isola utilizzando la sicurezza basata sulla virtualizzazione, riducendo significativamente la superficie di attacco.

Nelle righe seguenti vedrai come configurare Credential Guard Utilizzando diversi metodi (Intune/MDM, Criteri di gruppo e Registro di sistema), illustreremo i requisiti che il dispositivo deve soddisfare, le limitazioni che introduce, come verificare che sia effettivamente attivo e come disabilitarlo in scenari necessari, tra cui macchine virtuali e dispositivi UEFI bloccati. Tutto è spiegato in dettaglio, ma con un linguaggio chiaro e intuitivo, così da poterlo applicare facilmente.

Che cos'è Credential Guard e come protegge le credenziali?

Credential Guard è una funzionalità di sicurezza di Windows che utilizza la sicurezza basata sulla virtualizzazione (VBS) per isolare le credenziali e altri segreti relativi all'autenticazione. Invece di archiviare tutto direttamente nel processo dell'autorità di sicurezza locale (lsass.exe), i dati sensibili vengono memorizzati in un componente isolato chiamato LSA isolato o LSA isolato.

Questo LSA isolato funziona in un ambiente protetto, separato dal sistema operativo principale tramite l'hypervisor (modalità sicura virtuale o VSM). Solo un set molto piccolo di binari, firmati con certificati attendibili, può essere caricato in quell'ambiente. La comunicazione con il resto del sistema avviene tramite RPC, che impedisce il malware che gira sul sistema, per quanto privilegiato possa essere, può leggere direttamente i segreti protetti.

Credential Guard protegge specificamente tre tipi di credenzialiGli hash delle password NTLM, i record Kerberos Ticket Granting (TGT) e le credenziali memorizzate dalle applicazioni come credenziali di dominio sono tutti compromessi. Questo mitiga gli attacchi classici come passa-l'hash o passa-il-biglietto, molto comune nei movimenti laterali all'interno delle reti aziendali.

È importante capire che Credential Guard non protegge tutto.Non copre, ad esempio, le credenziali gestite da software di terze parti al di fuori dei meccanismi standard di Windows, degli account locali e Microsoft, né protegge da attacchi fisici o keylogger. Ciononostante, riduce notevolmente il rischio associato alle credenziali di dominio.

Credential Guard abilitato per impostazione predefinita

Noi di Windows 11 22H2 e Windows Server 2025La sicurezza basata sulla virtualizzazione (VBS) e Credential Guard sono abilitati di default sui dispositivi che soddisfano i requisiti hardware, firmware e software definiti da Microsoft. Ciò significa che su molti computer moderni sono preconfigurati e attivi senza alcun intervento da parte dell'amministratore.

La modalità di abilitazione predefinita è "UEFI sbloccato"In altre parole, senza il blocco che impedisce la disattivazione remota. Questo approccio semplifica la disattivazione di Credential Guard da parte degli amministratori tramite policy o configurazione remota, qualora un'applicazione critica risulti incompatibile o vengano rilevati problemi di prestazioni.

Quando Credential Guard è abilitato per impostazione predefinitaAnche la VBS stessa viene abilitata automaticamente. Non è richiesta alcuna configurazione VBS separata per il funzionamento di Credential Guard, sebbene siano presenti parametri aggiuntivi per rafforzare il livello di protezione della piattaforma (ad esempio, richiedendo la protezione DMA oltre a quella standard). Boot Sicuro).

C'è una sfumatura importante nell'attrezzatura aggiornataSe Credential Guard era stato disabilitato esplicitamente su un dispositivo prima dell'aggiornamento a una versione di Windows in cui è abilitato per impostazione predefinita, rimarrà disabilitato anche dopo l'aggiornamento. In altre parole, l'impostazione esplicita dell'amministratore ha la precedenza sul comportamento predefinito.

Requisiti di sistema, hardware, firmware e licenza

Per Credential Guard per fornire una protezione realeIl dispositivo deve soddisfare una serie di requisiti minimi hardware, firmware e software. I dispositivi che superano questi requisiti minimi e dispongono di funzionalità aggiuntive, come IOMMU o TPM 2.0, possono beneficiare di livelli di sicurezza più elevati contro gli attacchi DMA e le minacce avanzate.

Requisiti hardware e firmware

I principali requisiti hardware per Credential Guard Includono una CPU a 64 bit con estensioni di virtualizzazione (Intel VT-x o AMD-V) e supporto per la traduzione degli indirizzi di secondo livello (SLAT, nota anche come Extended Page Tables). Senza queste funzionalità di virtualizzazione, VBS e la modalità provvisoria virtuale non saranno in grado di isolare correttamente la memoria.

A livello di firmware è obbligatorio avere UEFI Versione 2.3.1 o successiva con supporto Secure Boot e un processo di aggiornamento firmware sicuro. Inoltre, sono consigliate funzionalità come la richiesta di sovrascrittura della memoria (MOR) implementata in modo sicuro, la protezione della configurazione di avvio e la possibilità di aggiornare il firmware tramite [non chiaro - probabilmente "aggiornamento software" o "aggiornamento software"]. Windows Update.

L'uso di un'unità di gestione della memoria di input/output (IOMMU)Si consiglia vivamente di utilizzare una VM come Intel VT-d o AMD-Vi, poiché consente di abilitare la protezione DMA in combinazione con VBS. Questa protezione impedisce ai dispositivi dannosi collegati al bus di accedere direttamente alla memoria ed estrarne i dati segreti.

Il Trusted Platform Module (TPM) è un altro componente chiavepreferibilmente nella versione TPM 2.0Sebbene sia supportato anche TPM 1.2, il TPM fornisce un'ancora di sicurezza hardware per proteggere la chiave master VSM e garantire che i dati protetti da Credential Guard siano accessibili solo in un ambiente attendibile.

Protezioni VSM e ruolo del TPM

I segreti protetti da Credential Guard sono isolati nella memoria tramite modalità sicura virtuale (VSM). Su hardware recente con TPM 2.0, i dati persistenti nell'ambiente VSM vengono crittografati con un Chiave principale VSM protetto dal TPM stesso e dai meccanismi di avvio sicuro del dispositivo.

Sebbene i TGT NTLM e Kerberos vengano rigenerati a ogni accesso e poiché solitamente non vengono conservati tra un riavvio e l'altro, l'esistenza della chiave master VSM consente la protezione dei dati che possono essere conservati. il tempoIl TPM garantisce che la chiave non possa essere estratta dal dispositivo e che i segreti protetti non siano accessibili al di fuori di un ambiente convalidato.

Requisiti e licenze dell'edizione di Windows

Credential Guard non è disponibile in tutte le edizioni di WindowsNei sistemi client è supportato in Windows Enterprise e in Windows Education, ma non in Windows Pro o Windows Pro Education/SE. In altre parole, un computer con Windows Pro avrebbe bisogno di un aggiornamento a Enterprise per utilizzare questa funzionalità.

Sono concessi i diritti di utilizzo di Credential Guard tramite licenze come Windows Enterprise E3 ed E5 o le licenze educational A3 e A5. Negli ambienti aziendali, questo si ottiene solitamente tramite contratti multilicenza, mentre gli OEM in genere forniscono Windows Pro e il cliente effettua poi l'aggiornamento a Enterprise.

Credential Guard su macchine virtuali Hyper-V

Credential Guard può anche proteggere i segreti all'interno delle macchine virtuali eseguito in Hyper-V, in modo simile a come funziona sulle macchine fisiche. I requisiti principali sono che l'host Hyper-V disponga di IOMMU e che le macchine virtuali siano di seconda generazione.

È importante comprendere il limite di protezione in questi scenariCredential Guard protegge dagli attacchi provenienti dalla macchina virtuale stessa, ma non dalle minacce provenienti dall'host con privilegi elevati. Se l'host viene compromesso, può comunque accedere alle macchine guest.

Requisiti e compatibilità dell'applicazione

L'attivazione di Credential Guard blocca alcune funzionalità di autenticazionePertanto, alcune applicazioni potrebbero smettere di funzionare se si basano su metodi obsoleti o non sicuri. Prima di una distribuzione su larga scala, è consigliabile testare le applicazioni critiche per assicurarsi che rimangano operative.

Applicazioni che richiedono la crittografia DES per KerberosLa delega Kerberos illimitata, l'estrazione TGT e l'utilizzo di NTLMv1 saranno interrotti perché queste opzioni sono direttamente disabilitate quando Credential Guard è attivo. Si tratta di una rigorosa misura di sicurezza, ma necessaria per prevenire gravi vulnerabilità.

Altre funzionalità, come l'autenticazione implicitaLa delega delle credenziali, MS-CHAPv2 o CredSSP espongono le credenziali a rischi aggiuntivi anche quando Credential Guard è attivo. Le applicazioni che insistono nel loro utilizzo possono continuare a funzionare, ma rendono le credenziali più vulnerabili, quindi si consiglia di esaminarle.

Potrebbero esserci anche impatti sulle prestazioni se alcune applicazioni tentano di interagire direttamente con il processo isolato LsaIso.exeIn generale, i servizi che utilizzano Kerberos in modo standard (ad esempio, condivisioni di file o Desktop remoto) continuano a funzionare normalmente senza notare alcun cambiamento.

Come abilitare correttamente Credential Guard

La raccomandazione generale di Microsoft è di abilitare Credential Guard Questa operazione deve essere eseguita prima che il dispositivo si unisca a un dominio o prima che un utente del dominio effettui l'accesso per la prima volta. Se attivata in un secondo momento, i segreti dell'utente o del computer potrebbero essere già esposti nella memoria non protetta.

Esistono tre metodi principali per impostare questa funzionalità.Ciò può essere fatto tramite Microsoft Intune/MDM, utilizzando Criteri di gruppo o tramite il Registro di sistema di Windows. La scelta dipende dal tipo di ambiente, dagli strumenti di gestione disponibili e dal livello di automazione desiderato.

Abilita Credential Guard tramite Microsoft Intune/MDM

In ambienti gestiti con Intune o altre soluzioni MDMCredential Guard può essere abilitato creando un criterio di configurazione del dispositivo che attiva prima la sicurezza basata sulla virtualizzazione e poi definisce il comportamento specifico di Credential Guard.

È possibile creare policy personalizzate utilizzando DeviceGuard CSP. con i seguenti parametri chiave OMA-URI:

• Attiva VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritytipo di dati int, valore 1 per abilitare la sicurezza basata sulla virtualizzazione.
• Configura Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, tipo int, valore 1 per abilitare con blocco UEFI o 2 per abilitare senza bloccare.

Una volta creata la policy, questa viene assegnata al dispositivo o al gruppo di utenti. che si desidera proteggere. Dopo aver applicato il criterio, è necessario riavviare il dispositivo affinché Credential Guard abbia effetto.

Configurare Credential Guard tramite Criteri di gruppo (GPO)

Nei domini Active Directory, il metodo più comodo è solitamente l'oggetto Criteri di gruppo.È possibile utilizzare l'Editor Criteri di gruppo locali per un singolo computer oppure creare un oggetto Criteri di gruppo collegato a domini o unità organizzative per coprire più dispositivi.

Il percorso specifico del criterio di gruppo èConfigurazione dispositivo → Modelli amministrativi → Sistema → Device Guard. In questa sezione è presente un'impostazione denominata "Abilita sicurezza basata sulla virtualizzazione".

Quando si abilita questo criterio, è necessario selezionare l'opzione Credential Guard. nell'elenco a discesa "Impostazioni Credential Guard":

• Abilitato con blocco UEFI: impedisce la disattivazione remota di Credential Guard; può essere modificato solo tramite accesso fisico al firmware/BIOS.
• Abilitato senza blocco: consente di disattivare Credential Guard in un secondo momento tramite GPO o configurazione remota.

Gli oggetti Criteri di gruppo possono essere filtrati utilizzando gruppi di sicurezza o filtri WMICiò consente di applicare la protezione solo a determinati tipi di dispositivi o profili utente. Dopo aver applicato il criterio, è necessario riavviare il sistema affinché le modifiche abbiano effetto.

Configurare Credential Guard utilizzando il Registro di sistema di Windows

Quando è necessario un controllo più granulare o copione personalizzatoCredential Guard può essere abilitato direttamente tramite il Registro. Questo metodo è in genere utilizzato in scenari avanzati o automazioni in cui GPO o MDM non sono disponibili.

Per attivare la sicurezza basata sulla virtualizzazione (VBS)È necessario configurare le seguenti chiavi:

• Percorso chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  nome: EnableVirtualizationBasedSecurity, tipo REG_DWORD, valore 1.
• Percorso chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  nome: RequirePlatformSecurityFeatures, tipo REG_DWORD, valore 1 per un avviamento sicuro o 3 per un avvio sicuro con protezione DMA.

Per una configurazione specifica di Credential Guard La chiave viene utilizzata:

• Percorso chiave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  nome: LsaCfgFlags, tipo REG_DWORDValori possibili:
  0 per disattivare Credential Guard,
  1 per abilitarlo con il blocco UEFI,
  2 per abilitarlo senza bloccarlo.

Dopo aver modificato queste chiavi nel Registro di sistemaÈ necessario riavviare il computer affinché VBS e Credential Guard vengano inizializzati correttamente e inizino a proteggere le credenziali.

Controlla se Credential Guard è abilitato

Sebbene possa sembrare allettante esaminare se il processo LsaIso.exe È in corso dalla Task managerMicrosoft sconsiglia questo metodo come controllo affidabile. Vengono invece proposti tre meccanismi principali: Informazioni di sistema, PowerShell e Visualizzatore eventi.

Verifica con informazioni di sistema (msinfo32)

Il modo più semplice per molti amministratori Si tratta di utilizzare lo strumento "Informazioni di sistema" di Windows:

1. Selezionare Start e digitare msinfo32.exeQuindi aprire l'applicazione "Informazioni di sistema".
2. Nel pannello di sinistra, vai a Panoramica del sistema.
3. Nel pannello di destra, cerca la sezione "Servizi di sicurezza basati sulla virtualizzazione in funzione" e verifica che tra i servizi elencati compaia "Credential Guard".

Se Credential Guard è elencato come servizio in esecuzione In questa sezione significa che è correttamente abilitato e attivo sul computer.

Verifica tramite PowerShell

Negli ambienti gestiti, l'utilizzo di PowerShell è molto pratico. Per eseguire un controllo in blocco dello stato di Credential Guard, è possibile eseguire il seguente comando da una console PowerShell con privilegi elevati:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Questo comando restituisce un set di valori numerici che indicano quali servizi di sicurezza basati sulla virtualizzazione sono attivi. Nel caso specifico di Credential Guard, vengono interpretati come segue:

• 0: Credential Guard disabilitato (non in esecuzione).
• 1: Credential Guard abilitato (in esecuzione).

Oltre a questa query generaleMicrosoft offre lo script DG_Readiness_Tool (ad esempio, DG_Readiness_Tool_v2.0.ps1), che consente di verificare se il sistema è in grado di eseguire Credential Guard, abilitarlo, disabilitarlo e convalidarne lo stato utilizzando opzioni come -Capable, -Enable, -Disable y -Ready.

Utilizzo del Visualizzatore eventi

Un altro metodo di verifica più orientato all'auditing Serve per utilizzare il Visualizzatore eventi. Da eventvwr.exe È possibile accedere a "Registri di Windows" → "Sistema" e filtrare gli eventi la cui origine è "WinInit".

Tra questi eventi ci sono voci relative all'avvio dei servizi di sicurezza basati sulla virtualizzazione, compresi quelli che indicano se Credential Guard è stato inizializzato correttamente durante il processo di avvio.

Disabilitare la gestione di Credential Guard e del blocco UEFI

Sebbene normalmente si preferisca mantenere abilitata la protezione delle credenzialiEsistono scenari in cui potrebbe essere necessario disattivarlo: incompatibilità delle applicazioni, test di laboratorio, modifiche all'architettura di sicurezza, ecc. La procedura per disattivarlo dipenderà da come è stato abilitato e se è stato utilizzato il blocco UEFI.

In termini generali, disabilitare Credential Guard Ciò comporta il ripristino delle impostazioni applicate tramite Intune/MDM, Criteri di gruppo o Registro di sistema, quindi il riavvio del computer. Tuttavia, se abilitato con il blocco UEFI, sono necessari passaggi aggiuntivi perché alcune impostazioni sono memorizzate in variabili EFI del firmware.

Disabilitazione di Credential Guard con UEFI Lock

Se Credential Guard è stato abilitato con il blocco UEFINon è sufficiente modificare il GPO o il Registro di sistema. È anche necessario rimuovere le variabili EFI associate alla configurazione LSA isolata utilizzando bcdedit e un piccolo processo di avvio speciale.

Dal simbolo del sistema con privilegi elevati viene eseguita una sequenza comandi parà:

1. Installare un'unità EFI temporanea con mountvol e copia SecConfig.efi al percorso di avvio di Microsoft.
2. Crea una voce del caricabatterie di sistema con bcdedit /create indicando quello SecConfig.efi.
3. Configura il file sequenza di avvio del boot manager in modo che si avvii una volta con quel caricatore speciale.
4. Aggiungi l'opzione di ricarica DISABLE-LSA-ISO per disabilitare la configurazione LSA isolata memorizzata in UEFI.
5. Rimuovere nuovamente l'unità EFI temporanea.

Dopo aver eseguito questi passaggi, il dispositivo si riavvia.Prima dell'avvio del sistema operativo, verrà visualizzato un messaggio che indica che le impostazioni UEFI sono state modificate e richiederà una conferma. È essenziale accettare questo messaggio affinché le modifiche di disattivazione abbiano effetto.

Disabilitare Credential Guard sulle macchine virtuali

Nel caso di macchine virtuali connesse a un host Hyper-VÈ possibile impedire alla VM di utilizzare VBS e Credential Guard anche se il sistema operativo guest è predisposto per questo.

Dall'host, utilizzando PowerShell, è possibile eseguire Il seguente comando escluderà una macchina virtuale dalla sicurezza basata sulla virtualizzazione:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Attivando questa opzione di esclusioneLa VM verrà eseguita senza protezioni VBS e, per estensione, senza Credential Guard, il che può essere utile negli ambienti di test o quando si eseguono sistemi legacy all'interno di macchine virtuali.

Integrazione di Credential Guard in AWS Nitro e altri scenari

Credential Guard è disponibile anche in ambienti cloud come Amazon EC2, sfruttando l'architettura sicura del sistema AWS Nitro. In questo contesto, VBS e Credential Guard si affidano a Nitro per impedire che le credenziali di accesso di Windows vengano estratte dalla memoria del sistema operativo guest.

Per utilizzare Credential Guard su un'istanza Windows in EC2Per avviare un'istanza compatibile, è necessario selezionare un tipo di istanza supportato e un'AMI Windows preconfigurata che includa il supporto TPM virtuale e VBS. Questa operazione può essere eseguita dalla console Amazon EC2 o dall'AWS CLI utilizzando run-instances o con PowerShell utilizzando New-EC2Instancespecificando, ad esempio, un'immagine dello stile TPM-Windows_Server-2022-English-Full-Base.

In alcuni scenari sarà necessario disabilitare l'integrità della memoria (HVCI) prima di abilitare Credential Guard, modificando i criteri di gruppo relativi alla "Protezione dell'integrità del codice basata sulla virtualizzazione". Una volta apportate queste modifiche e riavviata l'istanza, Credential Guard può essere abilitato e convalidato, come su qualsiasi altra macchina Windows, con msinfo32.exe.

Limiti di protezione e aspetti che Credential Guard non copre

Sebbene Credential Guard rappresenti un enorme passo avanti nella protezione delle credenzialiNon esiste una soluzione miracolosa che risolva tutto. Ci sono casi specifici che esulano dal suo ambito, ed è importante esserne consapevoli per evitare un falso senso di sicurezza.

Alcuni esempi di ciò che non protegge sono:

• Software di terze parti che gestisce le credenziali al di fuori dei meccanismi standard di Windows.
• Conti locali e account Microsoft configurati sul computer stesso.
• Database di Active Directory sui controller di dominio Windows Server.
• Canali di ingresso delle credenziali come i server gateway Desktop remoto.
• Registratori di battitura e attacchi fisici diretti alla squadra.

Inoltre, non impedisce a un aggressore con malware sul computer di Sfrutta i privilegi già concessi a una credenziale attiva. Ciò significa che se un utente con autorizzazioni elevate si connette a un sistema compromesso, l'aggressore può sfruttare tali autorizzazioni per tutta la durata della sessione, anche se non può rubare l'hash dalla memoria protetta.

In ambienti con utenti o account di alto valore (amministratori di dominio, personale IT con accesso a risorse critiche, ecc.), è comunque consigliabile utilizzare apparecchiature dedicate e altri livelli di sicurezza aggiuntivi, come l'autenticazione a più fattori, la segmentazione della rete e misure anti-keylogger.

Device Guard, VBS e relazione con Credential Guard

Device Guard e Credential Guard sono spesso menzionati insieme perché entrambi sfruttano la sicurezza basata sulla virtualizzazione per rafforzare la protezione del sistema, sebbene risolvano problemi diversi.

Credential Guard si concentra sulla protezione delle credenziali (NTLM, Kerberos, Credential Manager) isolandoli nell'LSA protetta. Non dipende da Device Guard, sebbene entrambi condividano l'uso dell'hypervisor e funzionalità hardware come TPM, avvio sicuro e IOMMU.

Device Guard, da parte sua, è un insieme di funzionalità Le soluzioni hardware e software consentono di bloccare il dispositivo in modo che possa eseguire solo le applicazioni attendibili definite nelle policy di integrità del codice. Questo trasforma il modello tradizionale (in cui tutto funziona a meno che non venga bloccato da un software antivirus) in uno in cui vengono eseguite solo le applicazioni esplicitamente autorizzate.

Entrambe le funzionalità fanno parte dell'arsenale di Windows Enterprise. Per proteggersi dalle minacce avanzate, Device Guard si affida a VBS e richiede che i driver siano conformi a HVCI, mentre Credential Guard utilizza VBS per isolare i segreti di autenticazione. Insieme, offrono una combinazione potente: codice più affidabile e credenziali meglio protette.

Configurare correttamente Credential Guard Ciò implica la protezione di uno degli aspetti più sensibili di qualsiasi ambiente Windows: le credenziali utente e computer. Comprenderne i requisiti, sapere come attivarlo con Intune, GPO o il Registro di sistema, conoscerne i limiti e disporre di procedure chiare per verificarne lo stato e disattivarlo in casi eccezionali consente di sfruttare appieno questa tecnologia senza incorrere in sorprese in produzione.