Konfigurer Credential Guard i Windows trinn for trinn

Credential Guard har blitt en nøkkelbrikke for å styrke legitimasjonssikkerheten i miljøer Windows Moderne systemer er spesielt viktige i organisasjoner der et angrep basert på tyveri av legitimasjon kan utgjøre et alvorlig problem. I stedet for å la autentiseringshemmeligheter ligge eksponert i systemminnet, isolerer denne funksjonen dem ved hjelp av virtualiseringsbasert sikkerhet, noe som reduserer angrepsflaten betydelig.

I de følgende linjene vil du se hvordan du konfigurerer Credential Guard Ved hjelp av ulike metoder (Intune/MDM, gruppepolicy og register) vil vi dekke kravene enheten din må oppfylle, begrensningene den introduserer, hvordan du bekrefter at den faktisk er aktiv, og hvordan du deaktiverer den i nødvendige scenarier, inkludert virtuelle maskiner og UEFI-låste enheter. Alt er forklart i detalj, men på et klart og brukervennlig språk, slik at du enkelt kan bruke det.

Hva er Credential Guard, og hvordan beskytter det legitimasjon?

Credential Guard er en sikkerhetsfunksjon i Windows som bruker virtualiseringsbasert sikkerhet (VBS) for å isolere legitimasjon og andre autentiseringsrelaterte hemmeligheter. I stedet for at alt lagres direkte i den lokale sikkerhetsmyndigheten (lsass.exe), lagres sensitive data i en isolert komponent kalt LSA isolert o isolert LSA.

Denne isolerte LSA-en kjører i et beskyttet miljø, atskilt fra hovedoperativsystemet ved hjelp av hypervisoren (sikker modus virtuell eller VSM). Bare et veldig lite sett med binærfiler, signert med klarerte sertifikater, kan lastes inn i det miljøet. Kommunikasjon med resten av systemet skjer via RPC, som forhindrer malware som kjører på systemet, uansett hvor privilegert det måtte være, kan lese de beskyttede hemmelighetene direkte.

Credential Guard beskytter spesifikt tre typer legitimasjonNTLM-passord-hasher, Kerberos Ticket Granting (TGT)-oppføringer og legitimasjon lagret av applikasjoner som domenelegitimasjon blir alle kompromittert. Dette reduserer klassiske angrep som pass-the-hash o pass-the-ticket, veldig vanlig i laterale bevegelser innenfor bedriftsnettverk.

Det er viktig å forstå at Credential Guard ikke beskytter alt.Den dekker for eksempel ikke legitimasjon som håndteres av tredjepartsprogramvare utenfor standard Windows-mekanismer, lokale kontoer og Microsoft-kontoer, og den beskytter heller ikke mot fysiske angrep eller tasteloggere. Likevel reduserer den risikoen knyttet til domenelegitimasjon betraktelig.

Legitimasjonsbeskyttelse aktivert som standard

Fra Windows 11 22H2 og Windows Server 2025Virtualiseringsbasert sikkerhet (VBS) og Credential Guard er aktivert som standard på enheter som oppfyller Microsofts definerte krav til maskinvare, fastvare og programvare. Dette betyr at det på mange moderne datamaskiner leveres forhåndskonfigurert og aktivt uten noen administratorinnblanding.

Standard aktiveringsmodus er «UEFI ulåst»Med andre ord, uten låsen som forhindrer fjerndeaktivering. Denne tilnærmingen gjør det enklere for administratorer å deaktivere Credential Guard via policyer eller fjernkonfigurasjon hvis et kritisk program er inkompatibelt eller det oppdages ytelsesproblemer.

Når Credential Guard er aktivert som standardSelve VBS aktiveres også automatisk. Ingen separat VBS-konfigurasjon er nødvendig for at Credential Guard skal fungere, selv om det finnes tilleggsparametere for å styrke plattformens beskyttelsesnivå (for eksempel kreve DMA-beskyttelse i tillegg til standarden). boot sikker).

Det er en viktig nyanse i oppdatert utstyrHvis en enhet hadde Credential Guard eksplisitt deaktivert før oppgradering til en versjon av Windows der den er aktivert som standard, vil den forbli deaktivert etter oppgraderingen. Med andre ord har administratorens eksplisitte innstilling prioritet over standardvirkemåten.

Krav til system, maskinvare, fastvare og lisenser

For at Credential Guard skal gi reell beskyttelseEnheten må oppfylle en rekke minimumskrav til maskinvare, fastvare og programvare. Enheter som overgår disse minimumskravene og har tilleggsfunksjoner, som IOMMU eller TPM 2.0, kan dra nytte av høyere sikkerhetsnivåer mot DMA-angrep og avanserte trusler.

Krav til maskinvare og fastvare

De viktigste maskinvarekravene for Credential Guard De inkluderer en 64-bits CPU med virtualiseringsutvidelser (Intel VT-x eller AMD-V) og støtte for adresseoversettelse på andre nivå (SLAT, også kjent som utvidede sidetabeller). Uten disse virtualiseringsfunksjonene vil ikke VBS og virtuell sikkermodus kunne isolere minnet ordentlig.

På firmwarenivå er det obligatorisk å ha UEFI Versjon 2.3.1 eller høyere med støtte for sikker oppstart og en sikker fastvareoppdateringsprosess. I tillegg anbefales funksjoner som sikkert implementert Memory Overwrite Request (MOR), beskyttelse av oppstartskonfigurasjon og mulighet for fastvareoppgradering via [uklart - muligens "programvareoppgradering" eller "programvareoppgradering"]. Windows Update.

Bruk av en input/output-minnehåndteringsenhet (IOMMU)Det anbefales på det sterkeste å bruke en virtuell maskin som Intel VT-d eller AMD-Vi, da det lar deg aktivere DMA-beskyttelse i forbindelse med VBS. Denne beskyttelsen forhindrer at ondsinnede enheter som er koblet til bussen, får direkte tilgang til minne og henter ut hemmeligheter.

Trusted Platform Module (TPM) er en annen nøkkelkomponenthelst i versjon TPM 2.0selv om TPM 1.2 også støttes. TPM tilbyr et maskinvaresikkerhetsanker for å beskytte VSM-hovednøkkelen og sikre at data som er beskyttet av Credential Guard bare kan nås i et klarert miljø.

VSM-beskyttelse og rollen til TPM

Hemmeligheter beskyttet av Credential Guard er isolert i minnet gjennom virtuell sikker modus (VSM). På nyere maskinvare med TPM 2.0 krypteres vedvarende data i VSM-miljøet med en VSM-hovednøkkel beskyttet av selve TPM-en og av enhetens sikre oppstartsmekanismer.

Selv om NTLM- og Kerberos TGT-er genereres på nytt ved hver pålogging og siden de vanligvis ikke beholdes mellom omstarter, tillater eksistensen av VSM-hovednøkkelen beskyttelse av data som kan oppbevares på plass. tidenTPM-en sikrer at nøkkelen ikke kan hentes ut fra enheten, og at de beskyttede hemmelighetene ikke er tilgjengelige utenfor et validert miljø.

Krav og lisenser for Windows-utgaven

Credential Guard er ikke tilgjengelig i alle utgaver av WindowsI klientsystemer støttes det i Windows Enterprise og i Windows Education, men ikke i Windows Pro eller Windows Pro Education/SE. Med andre ord, en datamaskin med Windows Pro trenger en oppgradering til Enterprise for å bruke denne funksjonaliteten.

Bruksrettigheter for Credential Guard er gitt gjennom lisenser som Windows Enterprise E3 og E5 eller utdanningslisensene A3 og A5. I forretningsmiljøer oppnås dette vanligvis gjennom volumlisensavtaler, mens OEM-er vanligvis leverer Windows Pro, og kunden oppgraderer deretter til Enterprise.

Credential Guard på virtuelle Hyper-V-maskiner

Credential Guard kan også beskytte hemmeligheter i virtuelle maskiner kjøres i Hyper-V, på samme måte som det fungerer på fysiske maskiner. Hovedkravene er at Hyper-V-verten har IOMMU og at de virtuelle maskinene er av generasjon 2.

Det er viktig å forstå beskyttelsesgrensen i disse scenarieneCredential Guard beskytter mot angrep som stammer fra selve den virtuelle maskinen, men ikke mot trusler fra verten med utvidede rettigheter. Hvis verten blir kompromittert, kan den fortsatt få tilgang til gjestemaskinene.

Applikasjonskrav og kompatibilitet

Aktivering av Credential Guard blokkerer visse autentiseringsfunksjonerDerfor kan noen applikasjoner slutte å virke hvis de er avhengige av utdaterte eller usikre metoder. Før massedistribusjon anbefales det å teste kritiske applikasjoner for å sikre at de forblir operative.

Applikasjoner som krever DES-kryptering for KerberosUbegrenset Kerberos-delegering, TGT-uttrekking og NTLMv1-bruk vil bli forstyrret fordi disse alternativene er direkte deaktivert når Credential Guard er aktiv. Dette er et strengt sikkerhetstiltak, men nødvendig for å forhindre alvorlige sårbarheter.

Andre funksjoner, som implisitt autentiseringDelegering av legitimasjon, MS-CHAPv2 eller CredSSP, utsetter legitimasjon for ytterligere risikoer selv når Credential Guard er aktiv. Applikasjoner som insisterer på å bruke dem kan fortsette å fungere, men de gjør legitimasjon mer sårbar, så det anbefales også å gjennomgå dem.

Det kan også være ytelsespåvirkninger hvis visse applikasjoner prøver å samhandle direkte med den isolerte prosessen LsaIso.exeGenerelt sett tjenester som bruker Kerberos på en standard måte (for eksempel fildelinger eller Eksternt skrivebord) fortsette å fungere normalt uten å merke noen endringer.

Slik aktiverer du Credential Guard riktig

Microsofts generelle anbefaling er å aktivere Credential Guard Dette må gjøres før enheten blir med i et domene eller før en domenebruker logger seg på for første gang. Hvis det aktiveres senere, kan bruker- eller datamaskinhemmeligheter allerede være eksponert i ubeskyttet minne.

Det finnes tre hovedmetoder for å sette opp denne funksjonen.Dette kan gjøres via Microsoft Intune/MDM, ved hjelp av gruppepolicy eller gjennom Windows-registeret. Valget avhenger av miljøtypen, tilgjengelige administrasjonsverktøy og ønsket automatiseringsnivå.

Aktiver Credential Guard ved hjelp av Microsoft Intune/MDM

I miljøer som administreres med Intune eller andre MDM-løsningerCredential Guard kan aktiveres ved å opprette en enhetskonfigurasjonspolicy som først aktiverer virtualiseringsbasert sikkerhet og deretter definerer den spesifikke virkemåten til Credential Guard.

Tilpassede policyer kan opprettes ved hjelp av DeviceGuard CSP. med følgende viktige OMA-URI-parametere:

• Aktiver VBS: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecuritydatatype int, verdi 1 for å aktivere virtualiseringsbasert sikkerhet.
• Konfigurer Credential Guard: OMA-URI ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags, skriv inn int, verdi 1 for å aktivere med UEFI-lås eller 2 å aktivere uten å blokkere.

Når policyen er opprettet, tilordnes den til enheten eller brukergruppen. som du vil beskytte. Etter at du har aktivert policyen, må du starte enheten på nytt for at Credential Guard skal tre i kraft.

Konfigurer Credential Guard ved hjelp av gruppepolicy (GPO)

I Active Directory-domener er den mest praktiske metoden vanligvis GPO-en.Du kan bruke redigeringsprogrammet for lokale gruppepolicyer for én enkelt datamaskin eller opprette et gruppepolicyobjekt koblet til domener eller organisasjonsenheter for å dekke mange enheter.

Den spesifikke banen til gruppepolicyen erEnhetskonfigurasjon → Administrative maler → System → Enhetsbeskyttelse. I denne delen finnes det en innstilling som heter «Aktiver virtualiseringsbasert sikkerhet».

Når du aktiverer denne policyen, må du velge alternativet Credential Guard. i rullegardinlisten «Innstillinger for legitimasjonsbeskyttelse»:

• Aktivert med UEFI-låsforhindrer ekstern deaktivering av Credential Guard; det kan bare endres gjennom fysisk tilgang til fastvaren/BIOS.
• Aktivert uten blokkeringlar deg deaktivere Credential Guard senere via GPO eller ekstern konfigurasjon.

GPO-er kan filtreres ved hjelp av sikkerhetsgrupper eller WMI-filtreDette lar deg bruke denne beskyttelsen bare på bestemte typer enheter eller brukerprofiler. Etter at du har implementert policyen, kreves det også en omstart for at endringene skal tre i kraft.

Konfigurer Credential Guard ved hjelp av Windows-registeret

Når det er behov for mer detaljert kontroll, eller script skikkCredential Guard kan aktiveres direkte via registeret. Denne metoden brukes vanligvis i avanserte scenarioer eller automatiseringer der GPO eller MDM ikke er tilgjengelig.

Slik aktiverer du virtualiseringsbasert sikkerhet (VBS)Følgende nøkler må konfigureres:

• Nøkkelsti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nombre: EnableVirtualizationBasedSecurity, skriv inn REG_DWORD, verdi 1.
• Nøkkelsti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  Nombre: RequirePlatformSecurityFeatures, skriv inn REG_DWORD, verdi 1 for sikker start eller 3 for sikker oppstart med DMA-beskyttelse.

For spesifikk Credential Guard-konfigurasjon Nøkkelen brukes:

• Nøkkelsti: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  Nombre: LsaCfgFlags, skriv inn REG_DWORDMulige verdier:
  0 for å deaktivere Credential Guard,
  1 for å aktivere den med UEFI-lås,
  2 for å aktivere det uten å blokkere.

Etter å ha justert disse nøklene i registeretDu må starte datamaskinen på nytt slik at VBS og Credential Guard initialiseres riktig og begynner å beskytte legitimasjonsbeskrivelser.

Sjekk om Credential Guard er aktivert

Selv om det kan virke fristende å se på om prosessen LsaIso.exe Det er i gang fra OppgavebehandlingMicrosoft anbefaler ikke denne metoden som en pålitelig sjekk. I stedet foreslås tre hovedmekanismer: Systeminformasjon, PowerShell og hendelsesvisning.

Verifisering med systeminformasjon (msinfo32)

Den enkleste måten for mange administratorer Det innebærer å bruke Windows-verktøyet "Systeminformasjon":

1. Velg Start og skriv inn msinfo32.exeÅpne deretter programmet «Systeminformasjon».
2. Gå til i venstre panel Systemoversikt.
3. I høyre panel ser du etter seksjonen "Virtualiseringsbaserte sikkerhetstjenester i drift" og sjekk at «Credential Guard» vises blant de oppførte tjenestene.

Hvis Credential Guard er oppført som en kjørende tjeneste I denne delen betyr det at den er riktig aktivert og aktiv på datamaskinen.

Verifisering ved hjelp av PowerShell

I administrerte miljøer er det veldig praktisk å bruke PowerShell. For å utføre en massesjekk av Credential Guard-status, kan du kjøre følgende kommando fra en forhøyet PowerShell-konsoll:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Denne kommandoen returnerer et sett med numeriske verdier som indikerer hvilke virtualiseringsbaserte sikkerhetstjenester som er aktive. I det spesifikke tilfellet med Credential Guard tolkes de slik:

• 0Credential Guard deaktivert (kjører ikke).
• 1Credential Guard aktivert (kjører).

I tillegg til denne generelle forespørselenMicrosoft tilbyr DG_Readiness_Tool-skriptet (for eksempel DG_Readiness_Tool_v2.0.ps1), som lar deg sjekke om systemet er i stand til å kjøre Credential Guard, aktivere det, deaktivere det og validere statusen ved hjelp av alternativer som -Capable, -Enable, -Disable y -Ready.

Bruke hendelsesvisningen

En annen verifiseringsmetode mer orientert mot revisjon Det er for å bruke Hendelsesvisningen. Fra eventvwr.exe Du kan få tilgang til «Windows-logger» → «System» og filtrer hendelsene hvis opprinnelse er "WinInit".

Blant disse arrangementene er det oppføringer knyttet til oppstarten av virtualiseringsbaserte sikkerhetstjenester, inkludert de som indikerer om Credential Guard har blitt initialisert under oppstartsprosessen.

Deaktiver Credential Guard og UEFI-låseadministrasjon

Selv om du vanligvis vil ha Credential Guard aktivertDet finnes scenarier der det kan være nødvendig å deaktivere den: programkompatibiliteter, laboratorietesting, endringer i sikkerhetsarkitekturen osv. Fremgangsmåten for å deaktivere den vil avhenge av hvordan den ble aktivert og om UEFI-låsing ble brukt.

Generelt sett, deaktivering av Credential Guard Dette innebærer å tilbakestille innstillingene som er brukt via Intune/MDM, gruppepolicy eller registeret, og deretter starte datamaskinen på nytt. Når det er aktivert med UEFI-låsing, er det imidlertid flere trinn fordi noen av innstillingene er lagret i EFI-variabler for fastvare.

Deaktivering av Credential Guard med UEFI-lås

Hvis Credential Guard ble aktivert med UEFI-låsDet er ikke nok å endre GPO-en eller registeret. Du må også fjerne EFI-variablene som er knyttet til den isolerte LSA-konfigurasjonen ved å bruke bcdedit og en liten spesiell oppstartsprosess.

Fra a ledetekst med utvidede privilegier en sekvens utføres kommandoer for:

1. Installer en midlertidig EFI-enhet med mountvol og kopiere SecConfig.efi til Microsofts oppstartsbane.
2. Opprett en systemladeroppføring med bcdedit /create peker på det SecConfig.efi.
3. Konfigurer oppstartssekvens av oppstartsbehandleren slik at den starter opp én gang med den spesielle lasteren.
4. Legg til ladealternativet DISABLE-LSA-ISO for å deaktivere den isolerte LSA-konfigurasjonen som er lagret i UEFI.
5. Fjern den midlertidige EFI-enheten igjen.

Etter at disse trinnene er utført, starter enheten på nytt.Før operativsystemet starter, vil det vises en melding som indikerer at UEFI-innstillingene er endret, og du vil bli bedt om bekreftelse. Det er viktig å godta denne meldingen for at deaktiveringsendringene skal tre i kraft.

Deaktiver Credential Guard på virtuelle maskiner

Når det gjelder virtuelle maskiner som er koblet til en Hyper-V-vertDet er mulig å forhindre at den virtuelle maskinen bruker VBS og Credential Guard selv om gjesteoperativsystemet er forberedt på det.

Fra verten, ved hjelp av PowerShell, kan du kjøre Følgende kommando vil ekskludere en virtuell maskin fra virtualiseringsbasert sikkerhet:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Ved å aktivere dette ekskluderingsalternativetVM-en vil kjøre uten VBS-beskyttelse og dermed uten Credential Guard, noe som kan være nyttig i testmiljøer eller når man kjører eldre systemer i virtuelle maskiner.

Integrering av Credential Guard i AWS Nitro og andre scenarier

Credential Guard er også tilgjengelig i skymiljøer som for eksempel Amazon EC2, som utnytter den sikre arkitekturen til AWS Nitro-systemet. I denne sammenhengen er VBS og Credential Guard avhengige av Nitro for å forhindre at Windows-påloggingsinformasjon hentes ut fra gjesteoperativsystemets minne.

Slik bruker du Credential Guard på en Windows-instans i EC2For å starte en kompatibel instans må du velge en støttet instanstype og et forhåndskonfigurert Windows AMI som inkluderer støtte for virtuell TPM og VBS. Dette kan gjøres fra Amazon EC2-konsollen eller fra AWS CLI ved hjelp av run-instances eller med PowerShell ved hjelp av New-EC2Instancespesifiserer for eksempel et bilde av stilen TPM-Windows_Server-2022-English-Full-Base.

I noen tilfeller vil det være nødvendig å deaktivere minneintegriteten (HVCI) før du aktiverer Credential Guard, ved å justere gruppepolicyer relatert til "Virtualiseringsbasert beskyttelse av kodeintegritet". Når disse justeringene er gjort og instansen er startet på nytt, kan Credential Guard aktiveres og valideres, som på alle andre Windows-maskiner, med msinfo32.exe.

Beskyttelsesgrenser og aspekter som Credential Guard ikke dekker

Selv om Credential Guard representerer et stort sprang fremover innen legitimasjonsbeskyttelseDet er ikke en mirakelkur som løser alt. Det finnes spesifikke tilfeller som faller utenfor dens virkeområde, og det er viktig å være oppmerksom på disse for å unngå falsk trygghetsfølelse.

Noen eksempler på hva den ikke beskytter er:

• Tredjeparts programvare som administrerer legitimasjonsinformasjon utenfor standard Windows-mekanismer.
• Lokale kontoer og Microsoft-kontoer som er konfigurert på selve datamaskinen.
• Active Directory-database på Windows Server-domenekontrollere.
• Inngående kanaler for legitimasjon som for eksempel gateway-servere for eksternt skrivebord.
• Tastetrykkopptakere og direkte fysiske angrep på laget.

Det hindrer heller ikke en angriper med skadelig programvare på datamaskinen fra Den bruker privilegier som allerede er gitt til en aktiv legitimasjon. Det vil si at hvis en bruker med utvidede tillatelser kobler seg til et kompromittert system, kan angriperen utnytte disse tillatelsene i løpet av økten, selv om de ikke kan stjele hashen fra det beskyttede minnet.

I miljøer med brukere eller kontoer med høy verdi (domeneadministratorer, IT-ansatte med tilgang til kritiske ressurser osv.), er det fortsatt lurt å bruke dedikert utstyr og andre ekstra sikkerhetslag, som flerfaktorautentisering, nettverkssegmentering og anti-keylogger-tiltak.

Device Guard, VBS og forholdet til Credential Guard

Device Guard og Credential Guard nevnes ofte sammen. fordi begge utnytter virtualiseringsbasert sikkerhet for å styrke systembeskyttelsen, selv om de løser forskjellige problemer.

Credential Guard fokuserer på å beskytte legitimasjon (NTLM, Kerberos, Credential Manager) og isolerer dem i den beskyttede LSA-en. Den er ikke avhengig av Device Guard, selv om begge deler bruken av hypervisoren og maskinvarefunksjoner som TPM, sikker oppstart og IOMMU.

Device Guard er på sin side et sett med funksjoner Maskinvare- og programvareløsninger lar deg låse enheten slik at den bare kan kjøre pålitelige applikasjoner som er definert i kodeintegritetspolicyer. Dette endrer den tradisjonelle modellen (der alt kjører med mindre det er blokkert av antivirusprogramvare) til en der bare eksplisitt autoriserte applikasjoner kjøres.

Begge funksjonene er en del av Windows Enterprise-arsenalet. For å beskytte mot avanserte trusler er Device Guard avhengig av VBS og krever at drivere er HVCI-kompatible, mens Credential Guard bruker VBS til å isolere autentiseringshemmeligheter. Sammen tilbyr de en kraftig kombinasjon: mer pålitelig kode og bedre beskyttet legitimasjon.

Ha Credential Guard riktig konfigurert Dette innebærer å sikre et av de mest sensitive aspektene ved ethvert Windows-miljø: bruker- og datamaskinlegitimasjon. Å forstå kravene, vite hvordan du aktiverer det med Intune, GPO eller registeret, kjenne til begrensningene og ha klare prosedyrer for å bekrefte statusen og deaktivere det i unntakstilfeller, lar deg dra full nytte av denne teknologien uten å støte på overraskelser i produksjonen.