Credential Guard in Windows stap voor stap configureren

Credential Guard is een belangrijk onderdeel geworden om de beveiliging van inloggegevens in omgevingen te versterken Windows Moderne systemen zijn vooral belangrijk in organisaties waar een aanval met diefstal van inloggegevens een ernstig probleem kan vormen. In plaats van authenticatiegeheimen bloot te laten liggen in het systeemgeheugen, isoleert deze functie ze met behulp van virtualisatiegebaseerde beveiliging, waardoor het aanvalsoppervlak aanzienlijk wordt verkleind.

In de volgende regels ziet u hoe u Credential Guard configureert Met behulp van verschillende methoden (Intune/MDM, Groepsbeleid en Register) bespreken we de vereisten waaraan uw apparaat moet voldoen, de beperkingen die het met zich meebrengt, hoe u kunt verifiëren of het daadwerkelijk actief is en hoe u het in noodzakelijke scenario's kunt uitschakelen, inclusief virtuele machines en UEFI-vergrendelde apparaten. Alles wordt gedetailleerd uitgelegd, maar in duidelijke, gebruiksvriendelijke taal, zodat u het eenvoudig kunt toepassen.

Wat is Credential Guard en hoe beschermt het inloggegevens?

Credential Guard is een beveiligingsfunctie van Windows die gebruikmaakt van virtualisatiegebaseerde beveiliging (VBS) om inloggegevens en andere authenticatiegerelateerde geheimen te isoleren. In plaats van dat alles rechtstreeks in het proces van de lokale beveiligingsautoriteit wordt opgeslagen (lsass.exe), gevoelige gegevens worden opgeslagen in een geïsoleerd onderdeel genaamd LSA geïsoleerd o geïsoleerde LSA.

Deze geïsoleerde LSA draait in een beschermde omgeving, gescheiden van het hoofdbesturingssysteem door middel van de hypervisor (veilige modus virtueel of VSM). Slechts een zeer kleine set binaire bestanden, ondertekend met vertrouwde certificaten, kan in die omgeving worden geladen. Communicatie met de rest van het systeem verloopt via RPC, wat voorkomt dat de malware die op het systeem draait, hoe geprivilegieerd ook, kan de beschermde geheimen rechtstreeks lezen.

Credential Guard beschermt specifiek drie soorten inloggegevensNTLM-wachtwoordhashes, Kerberos Ticket Granting (TGT)-records en inloggegevens die door applicaties als domeinreferenties zijn opgeslagen, worden allemaal gecompromitteerd. Dit beperkt klassieke aanvallen zoals geef-de-hash door o pass-the-ticket, zeer gebruikelijk bij laterale bewegingen binnen bedrijfsnetwerken.

Het is belangrijk om te begrijpen dat Credential Guard niet alles beschermt.Het biedt bijvoorbeeld geen bescherming tegen inloggegevens die worden verwerkt door software van derden buiten de standaard Windows-mechanismen, lokale en Microsoft-accounts, en biedt ook geen bescherming tegen fysieke aanvallen of keyloggers. Desondanks vermindert het de risico's die gepaard gaan met domeininloggegevens aanzienlijk.

Credential Guard is standaard ingeschakeld

Bij Windows 11 22H2 en Windows Server 2025Virtualisatiegebaseerde beveiliging (VBS) en Credential Guard zijn standaard ingeschakeld op apparaten die voldoen aan de door Microsoft gedefinieerde hardware-, firmware- en softwarevereisten. Dit betekent dat het op veel moderne computers vooraf geconfigureerd en actief is zonder tussenkomst van een beheerder.

De standaard inschakelmodus is “UEFI ontgrendeld”Met andere woorden, zonder de vergrendeling die deactivering op afstand verhindert. Deze aanpak maakt het voor beheerders gemakkelijker om Credential Guard uit te schakelen via beleid of externe configuratie als een kritieke applicatie incompatibel is of als er prestatieproblemen worden gedetecteerd.

Wanneer Credential Guard standaard is ingeschakeldDe VBS zelf wordt ook automatisch ingeschakeld. Er is geen aparte VBS-configuratie nodig om Credential Guard te laten functioneren, hoewel er aanvullende parameters zijn om het beveiligingsniveau van het platform te versterken (bijvoorbeeld door DMA-beveiliging te vereisen naast de standaard). Boot Zeker).

Er zit een belangrijke nuance in geüpdatete apparatuurAls Credential Guard expliciet was uitgeschakeld op een apparaat vóór de upgrade naar een versie van Windows waarin het standaard is ingeschakeld, blijft het na de upgrade uitgeschakeld. Met andere woorden: de expliciete instelling van de beheerder heeft voorrang op het standaardgedrag.

Systeem-, hardware-, firmware- en licentievereisten

Zodat Credential Guard echte bescherming biedtHet apparaat moet voldoen aan een reeks minimale hardware-, firmware- en softwarevereisten. Apparaten die deze minimumvereisten overtreffen en beschikken over extra functies, zoals IOMMU of TPM 2.0, kunnen profiteren van hogere beveiligingsniveaus tegen DMA-aanvallen en geavanceerde bedreigingen.

Hardware- en firmwarevereisten

De belangrijkste hardwarevereisten voor Credential Guard Ze bevatten een 64-bits CPU met virtualisatie-extensies (Intel VT-x of AMD-V) en ondersteuning voor adresvertaling op het tweede niveau (SLAT, ook bekend als Extended Page Tables). Zonder deze virtualisatiemogelijkheden kunnen VBS en de virtuele veilige modus het geheugen niet goed isoleren.

Op firmware-niveau is het verplicht om UEFI Versie 2.3.1 of hoger met Secure Boot-ondersteuning en een beveiligd firmware-updateproces. Daarnaast worden functies zoals een veilig geïmplementeerd Memory Overwrite Request (MOR), opstartconfiguratiebeveiliging en firmware-upgrademogelijkheden via [onduidelijk - mogelijk "software-upgrade" of "software-upgrade"] aanbevolen. Windows update.

Het gebruik van een input/output memory management unit (IOMMU)Het gebruik van een virtuele machine zoals Intel VT-d of AMD-Vi wordt sterk aanbevolen, omdat u hiermee DMA-beveiliging kunt inschakelen in combinatie met VBS. Deze beveiliging voorkomt dat kwaadaardige apparaten die op de bus zijn aangesloten, rechtstreeks toegang krijgen tot het geheugen en geheimen kunnen extraheren.

De Trusted Platform Module (TPM) is een ander belangrijk onderdeelbij voorkeur in versie TPM 2.0Hoewel TPM 1.2 ook wordt ondersteund. De TPM biedt een hardwarematige beveiligingsanker om de VSM-hoofdsleutel te beschermen en ervoor te zorgen dat gegevens die door Credential Guard worden beschermd, alleen toegankelijk zijn in een vertrouwde omgeving.

VSM-bescherming en de rol van TPM

Geheimen die door Credential Guard worden beschermd, worden geïsoleerd in het geheugen via virtuele beveiligde modus (VSM). Op recente hardware met TPM 2.0 worden persistente gegevens in de VSM-omgeving gecodeerd met een VSM-hoofdsleutel beschermd door de TPM zelf en door de beveiligde opstartmechanismen van het apparaat.

Hoewel NTLM- en Kerberos-TGT's bij elke aanmelding opnieuw worden gegenereerd en aangezien deze doorgaans niet bewaard blijven tussen herstarts, zorgt de aanwezigheid van de VSM-hoofdsleutel voor de beveiliging van gegevens die wel bewaard kunnen blijven. de tijdDe TPM zorgt ervoor dat de sleutel niet uit het apparaat kan worden gehaald en dat de beschermde geheimen niet toegankelijk zijn buiten een gevalideerde omgeving.

Vereisten en licenties voor Windows-edities

Credential Guard is niet beschikbaar in alle edities van WindowsIn clientsystemen wordt het ondersteund in Windows Enterprise en in Windows Education, maar niet in Windows Pro of Windows Pro Education/SE. Met andere woorden: een computer met Windows Pro heeft een upgrade naar Enterprise nodig om deze functionaliteit te gebruiken.

Credential Guard-gebruiksrechten worden verleend via licenties zoals Windows Enterprise E3 en E5 of de educatieve licenties A3 en A5. In zakelijke omgevingen wordt dit meestal verkregen via volumelicentieovereenkomsten, terwijl OEM's doorgaans Windows Pro leveren en de klant vervolgens upgradet naar Enterprise.

Credential Guard op virtuele Hyper-V-machines

Credential Guard kan ook geheimen binnen virtuele machines beschermen Wordt uitgevoerd in Hyper-V, net zoals het werkt op fysieke machines. De belangrijkste vereisten zijn dat de Hyper-V-host IOMMU heeft en dat de virtuele machines Generatie 2 zijn.

Het is belangrijk om de beschermingsgrens in deze scenario's te begrijpenCredential Guard beschermt tegen aanvallen die afkomstig zijn van de virtuele machine zelf, maar niet tegen bedreigingen van de host met verhoogde rechten. Als de host gecompromitteerd is, heeft deze nog steeds toegang tot de gastmachines.

Toepassingsvereisten en compatibiliteit

Door Credential Guard te activeren, worden bepaalde authenticatiefuncties geblokkeerdDaarom kunnen sommige applicaties vastlopen als ze afhankelijk zijn van verouderde of onveilige methoden. Voordat u ze massaal implementeert, is het raadzaam om kritieke applicaties te testen om ervoor te zorgen dat ze operationeel blijven.

Toepassingen die DES-codering voor Kerberos vereisenOnbeperkte Kerberos-delegatie, TGT-extractie en NTLMv1-gebruik worden verstoord omdat deze opties direct worden uitgeschakeld wanneer Credential Guard actief is. Dit is een strikte beveiligingsmaatregel, maar noodzakelijk om ernstige kwetsbaarheden te voorkomen.

Andere functies, zoals impliciete authenticatieDelegatie van inloggegevens, MS-CHAPv2 of CredSSP stellen inloggegevens bloot aan extra risico's, zelfs wanneer Credential Guard actief is. Applicaties die deze inloggegevens gebruiken, kunnen wel blijven functioneren, maar maken ze kwetsbaarder. Daarom is het raadzaam om ze ook te controleren.

Er kunnen ook prestatie-effecten zijn als bepaalde applicaties proberen rechtstreeks met het geïsoleerde proces te communiceren LsaIso.exeOver het algemeen zijn services die Kerberos op een standaardmanier gebruiken (bijvoorbeeld bestandsdeling of Extern bureaublad) blijven normaal functioneren zonder dat er veranderingen optreden.

Hoe u Credential Guard correct inschakelt

De algemene aanbeveling van Microsoft is om Credential Guard in te schakelen Dit moet gebeuren voordat het apparaat zich bij een domein aansluit of voordat een domeingebruiker zich voor de eerste keer aanmeldt. Als dit later wordt geactiveerd, kunnen gebruikers- of computergeheimen al blootliggen in onbeschermd geheugen.

Er zijn drie hoofdmethoden om deze functie in te stellen.Dit kan via Microsoft Intune/MDM, met Groepsbeleid of via het Windows-register. De keuze hangt af van het type omgeving, de beschikbare beheertools en het gewenste automatiseringsniveau.

Credential Guard inschakelen met Microsoft Intune / MDM

In omgevingen die worden beheerd met Intune of andere MDM-oplossingenCredential Guard kan worden ingeschakeld door een apparaatconfiguratiebeleid te maken dat eerst virtualisatiegebaseerde beveiliging activeert en vervolgens het specifieke gedrag van Credential Guard definieert.

Aangepaste beleidsregels kunnen worden gemaakt met behulp van DeviceGuard CSP. met de volgende belangrijke OMA-URI-parameters:

• Activeer VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritygegevenstype int, moed 1 om virtualisatiegebaseerde beveiliging mogelijk te maken.
• Credential Guard configureren: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, type int, moed 1 om in te schakelen met UEFI-vergrendeling of 2 inschakelen zonder te blokkeren.

Nadat het beleid is gemaakt, wordt het toegewezen aan het apparaat of de gebruikersgroep. die u wilt beschermen. Nadat u het beleid hebt toegepast, moet u het apparaat opnieuw opstarten om Credential Guard te activeren.

Credential Guard configureren met behulp van Groepsbeleid (GPO)

In Active Directory-domeinen is de meest handige methode doorgaans de GPO.U kunt de lokale groepsbeleid-editor gebruiken voor één computer of een groepsbeleidsobject maken dat is gekoppeld aan domeinen of organisatie-eenheden om meerdere apparaten te bestrijken.

Het specifieke pad van het groepsbeleid isApparaatconfiguratie → Beheersjablonen → Systeem → Device Guard. In deze sectie vindt u de instelling 'Virtualisatiegebaseerde beveiliging inschakelen'.

Wanneer u dit beleid inschakelt, moet u de optie Credential Guard selecteren. in de vervolgkeuzelijst "Credential Guard-instellingen":

• Ingeschakeld met UEFI-vergrendeling: voorkomt dat Credential Guard op afstand kan worden uitgeschakeld; dit kan alleen worden gewijzigd via fysieke toegang tot de firmware/BIOS.
• Ingeschakeld zonder blokkering: hiermee kunt u Credential Guard later uitschakelen via GPO of externe configuratie.

GPO's kunnen worden gefilterd met behulp van beveiligingsgroepen of WMI-filtersHiermee kunt u deze beveiliging alleen toepassen op bepaalde typen apparaten of gebruikersprofielen. Na het toepassen van het beleid is een herstart vereist om de wijzigingen door te voeren.

Credential Guard configureren met behulp van het Windows-register

Wanneer er meer gedetailleerde controle nodig is of script gepersonaliseerdeCredential Guard kan rechtstreeks via het register worden ingeschakeld. Deze methode wordt meestal gebruikt in geavanceerde scenario's of automatiseringen waar GPO of MDM niet beschikbaar is.

Het activeren van virtualisatiegebaseerde beveiliging (VBS)De volgende sleutels moeten worden geconfigureerd:

• Sleutelpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Naam: EnableVirtualizationBasedSecurity, type REG_DWORD, moed 1.
• Sleutelpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Naam: RequirePlatformSecurityFeatures, type REG_DWORD, moed 1 voor veilig starten of 3 voor veilig opstarten met DMA-beveiliging.

Voor specifieke Credential Guard-configuratie De sleutel wordt gebruikt:

• Sleutelpad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Naam: LsaCfgFlags, type REG_DWORDMogelijke waarden:
  0 om Credential Guard uit te schakelen,
  1 om het met UEFI-vergrendeling in te schakelen,
  2 om het in te schakelen zonder het te blokkeren.

Nadat u deze sleutels in het register hebt aangepastU moet de computer opnieuw opstarten zodat VBS en Credential Guard correct worden geïnitialiseerd en de inloggegevens worden beschermd.

Controleer of Credential Guard is ingeschakeld

Hoewel het verleidelijk kan lijken om te kijken of het proces LsaIso.exe Het is in uitvoering van de TaakmanagerMicrosoft raadt deze methode niet aan als betrouwbare controle. In plaats daarvan worden drie hoofdmechanismen voorgesteld: Systeeminformatie, PowerShell en Logboeken.

Verificatie met systeemgegevens (msinfo32)

De eenvoudigste manier voor veel beheerders Hiervoor maakt u gebruik van het Windows-hulpprogramma 'Systeeminfo':

1. Selecteer Start en typ msinfo32.exeOpen vervolgens de applicatie 'Systeeminformatie'.
2. Ga in het linkerpaneel naar Systeem overzicht.
3. Zoek in het rechterpaneel naar de sectie "Virtualisatiegebaseerde beveiligingsdiensten in werking" en controleer of 'Credential Guard' tussen de vermelde services staat.

Als Credential Guard als een actieve service wordt vermeld In dit gedeelte betekent dit dat het correct is ingeschakeld en actief is op de computer.

Verificatie met behulp van PowerShell

In beheerde omgevingen is het gebruik van PowerShell erg praktisch. Om een ​​bulkcontrole van de Credential Guard-status uit te voeren, kunt u de volgende opdracht uitvoeren vanaf een verhoogde PowerShell-console:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Deze opdracht retourneert een set numerieke waarden Deze geven aan welke virtualisatiegebaseerde beveiligingsservices actief zijn. In het specifieke geval van Credential Guard worden ze als volgt geïnterpreteerd:

• 0: Credential Guard is uitgeschakeld (niet actief).
• 1: Credential Guard ingeschakeld (actief).

Naast deze algemene vraagMicrosoft biedt het DG_Readiness_Tool-script (bijvoorbeeld DG_Readiness_Tool_v2.0.ps1), waarmee u kunt controleren of het systeem Credential Guard kan uitvoeren, het kunt inschakelen, uitschakelen en de status ervan kunt valideren met behulp van opties zoals -Capable, -Enable, -Disable y -Ready.

De gebeurtenisviewer gebruiken

Een andere verificatiemethode die meer gericht is op auditing Het is om de Event Viewer te gebruiken. Van eventvwr.exe U kunt toegang krijgen tot "Windows-logboeken" → "Systeem" en filter de gebeurtenissen waarvan de oorsprong "WinInit" is.

Onder deze evenementen bevinden zich inzendingen die verband houden met de start-up van op virtualisatie gebaseerde beveiligingsservices, waaronder de services die aangeven of Credential Guard succesvol is geïnitialiseerd tijdens het opstartproces.

Credential Guard en UEFI-vergrendelingsbeheer uitschakelen

Hoewel u Credential Guard normaal gesproken ingeschakeld wilt houdenEr zijn scenario's waarin het nodig kan zijn om het uit te schakelen: incompatibiliteiten van toepassingen, laboratoriumtests, wijzigingen in de beveiligingsarchitectuur, enz. De procedure voor het uitschakelen ervan is afhankelijk van hoe het is ingeschakeld en of UEFI-vergrendeling is gebruikt.

In algemene termen: het uitschakelen van Credential Guard Dit houdt in dat de instellingen die zijn toegepast via Intune/MDM, Groepsbeleid of het register, moeten worden teruggezet en de computer vervolgens opnieuw moet worden opgestart. Wanneer UEFI-vergrendeling is ingeschakeld, zijn er echter extra stappen nodig omdat sommige instellingen worden opgeslagen in firmware EFI-variabelen.

Credential Guard uitschakelen met UEFI Lock

Als Credential Guard is ingeschakeld met UEFI-vergrendelingHet is niet voldoende om het GPO of het register te wijzigen. U moet ook de EFI-variabelen verwijderen die aan de geïsoleerde LSA-configuratie zijn gekoppeld. bcdedit en een klein speciaal opstartproces.

een opdrachtprompt met verhoogde privileges een sequentie wordt uitgevoerd commando's voor:

1. Installeer een tijdelijke EFI-eenheid met mountvol en kopiëren SecConfig.efi naar het Microsoft-opstartpad.
2. Maak een systeemladerinvoer met bcdedit /create wijzend naar dat SecConfig.efi.
3. Configureer het opstartvolgorde van de bootmanager, zodat deze één keer opstart met die speciale loader.
4. Voeg de oplaadoptie toe DISABLE-LSA-ISO om de geïsoleerde LSA-configuratie die in UEFI is opgeslagen, uit te schakelen.
5. Verwijder de tijdelijke EFI-eenheid opnieuw.

Nadat u deze stappen hebt uitgevoerd, wordt het apparaat opnieuw opgestart.Voordat het besturingssysteem start, verschijnt er een bericht dat de UEFI-instellingen zijn gewijzigd en wordt om bevestiging gevraagd. Het is essentieel om dit bericht te accepteren om de deactiveringswijzigingen door te voeren.

Credential Guard uitschakelen op virtuele machines

In het geval van virtuele machines die zijn verbonden met een Hyper-V-hostHet is mogelijk om te voorkomen dat de VM VBS en Credential Guard gebruikt, zelfs als het gastbesturingssysteem hierop is voorbereid.

Vanaf de host kunt u met behulp van PowerShell het volgende uitvoeren: Met de volgende opdracht sluit u een virtuele machine uit van virtualisatiegebaseerde beveiliging:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Door deze uitsluitingsoptie te activerenDe VM draait zonder VBS-beveiliging en dus ook zonder Credential Guard, wat handig kan zijn in testomgevingen of bij het draaien van oudere systemen binnen virtuele machines.

Credential Guard integreren in AWS Nitro en andere scenario's

Credential Guard is ook beschikbaar in cloudomgevingen zoals Amazon EC2, dat gebruikmaakt van de veilige architectuur van het AWS Nitro-systeem. In deze context vertrouwen VBS en Credential Guard op Nitro om te voorkomen dat Windows-inloggegevens uit het geheugen van het gastbesturingssysteem worden gehaald.

Credential Guard gebruiken op een Windows-instantie in EC2Om een ​​compatibele instance te starten, moet u een ondersteund instancetype en een vooraf geconfigureerde Windows AMI selecteren met ondersteuning voor virtuele TPM en VBS. Dit kunt u doen via de Amazon EC2-console of via de AWS CLI. run-instances of met PowerShell met behulp van New-EC2Instancebijvoorbeeld het specificeren van een afbeelding van de stijl TPM-Windows_Server-2022-English-Full-Base.

In sommige scenario's zal het nodig zijn om de geheugenintegriteit uit te schakelen (HVCI) voordat Credential Guard wordt ingeschakeld, door het groepsbeleid met betrekking tot 'Virtualisatiegebaseerde bescherming van code-integriteit' aan te passen. Zodra deze aanpassingen zijn gemaakt en het exemplaar opnieuw is opgestart, kan Credential Guard worden ingeschakeld en gevalideerd, net als op elke andere Windows-machine, met msinfo32.exe.

Beschermingslimieten en aspecten die Credential Guard niet dekt

Hoewel Credential Guard een enorme stap voorwaarts betekent in de bescherming van referentiesHet is geen wondermiddel dat alles oplost. Er zijn specifieke gevallen die buiten het bereik van de tool vallen, en het is belangrijk om je daarvan bewust te zijn om een ​​vals gevoel van veiligheid te voorkomen.

Enkele voorbeelden van wat het niet beschermt zijn::

• Derde partij software die referenties beheert buiten de standaard Windows-mechanismen.
• lokale rekeningen en Microsoft-accounts die op de computer zelf zijn geconfigureerd.
• Active Directory-database op Windows Server-domeincontrollers.
• Inkomende kanalen voor inloggegevens zoals Remote Desktop Gateway-servers.
• Toetsaanslagrecorders en directe fysieke aanvallen op het team.

Het voorkomt ook niet dat een aanvaller met malware op de computer Het maakt gebruik van privileges die al aan een actieve inloggegevens zijn toegekend. Dat wil zeggen, als een gebruiker met verhoogde rechten verbinding maakt met een gecompromitteerd systeem, kan de aanvaller die rechten gedurende de sessie misbruiken, ook al kan hij de hash niet uit het beveiligde geheugen stelen.

In omgevingen met gebruikers of accounts met een hoge waarde (domeinbeheerders, IT-personeel met toegang tot cruciale bronnen, enz.) is het nog steeds raadzaam om speciale apparatuur en andere extra beveiligingslagen te gebruiken, zoals multi-factor-authenticatie, netwerksegmentatie en anti-keyloggermaatregelen.

Device Guard, VBS en relatie met Credential Guard

Device Guard en Credential Guard worden vaak samen genoemd omdat ze beide gebruikmaken van virtualisatiegebaseerde beveiliging om de systeembeveiliging te versterken, hoewel ze verschillende problemen oplossen.

Credential Guard richt zich op het beschermen van inloggegevens (NTLM, Kerberos, Credential Manager) en isoleert ze in de beveiligde LSA. Het is niet afhankelijk van Device Guard, hoewel beide gebruikmaken van de hypervisor en hardwarefuncties zoals TPM, secure boot en IOMMU.

Device Guard is op zijn beurt een set functies Met hardware- en softwareoplossingen kunt u het apparaat vergrendelen, zodat het alleen vertrouwde applicaties kan uitvoeren die zijn gedefinieerd in code-integriteitsbeleid. Dit verandert het traditionele model (waarbij alles draait tenzij geblokkeerd door antivirussoftware) naar een model waarbij alleen expliciet geautoriseerde applicaties worden uitgevoerd.

Beide functies maken deel uit van het Windows Enterprise-arsenaal. Ter bescherming tegen geavanceerde bedreigingen maakt Device Guard gebruik van VBS en vereist het dat drivers HVCI-compatibel zijn, terwijl Credential Guard VBS gebruikt om authenticatiegeheimen te isoleren. Samen bieden ze een krachtige combinatie: betrouwbaardere code en beter beveiligde inloggegevens.

Zorg dat Credential Guard correct is geconfigureerd Dit omvat het beveiligen van een van de meest gevoelige aspecten van elke Windows-omgeving: gebruikers- en computerreferenties. Door de vereisten te begrijpen, te weten hoe u deze kunt activeren met Intune, GPO of het register, de beperkingen ervan te kennen en duidelijke procedures te hanteren om de status te verifiëren en deze in uitzonderlijke gevallen uit te schakelen, kunt u deze technologie optimaal benutten zonder voor verrassingen in de productieomgeving te komen staan.