Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kerberos, NTLM und Credential Manager isolieren Geheimnisse mithilfe der virtualisierungsbasierten Sicherheit (VBS). In früheren Versionen von Windows wurden Geheimnisse im Prozessspeicher im Prozess "Local Security Authority( LSA)" lsass.exegespeichert.
Wenn Credential Guard aktiviert ist, kommuniziert der LSA-Prozess im Betriebssystem mit einer Komponente, die als isolierter LSA-Prozess bezeichnet wird, der diese Geheimnisse speichert und schützt. LSAIso.exe Daten, die vom isolierten LSA-Prozess gespeichert werden, werden mithilfe von VBS geschützt und sind für den Rest des Betriebssystems nicht zugänglich. Die LSA verwendet Remoteprozeduraufrufe, um mit dem isolierten LSA-Prozess zu kommunizieren.
Aus Sicherheitsgründen hostet der isolierte LSA-Prozess keine Gerätetreiber. Stattdessen enthält er nur eine kleine Teilmenge der Binärdateien des Betriebssystems, die für die Sicherheit nötig sind, und sonst nichts. Alle Binärdateien werden mit einem Zertifikat signiert, dem VBS vertraut, und die Signaturen werden überprüft, bevor die Datei in der geschützten Umgebung gestartet wird.
VSM- und TPM-Schutz
Geheimnisse, die von Credential Guard geschützt werden, werden im Arbeitsspeicher geschützt und zur Laufzeit vom Hypervisor mithilfe des virtuellen sicheren Modus (Virtual Secure Mode , VSM) isoliert. Auf kürzlich unterstützter Hardware mit TPM 2.0 werden VSM-Daten, die beibehalten werden, durch einen Schlüssel namens VSM master-Schlüssel geschützt, der durch Gerätefirmwareschutz geschützt ist. Weitere Informationen finden Sie unter Systemüberwachung: Wie ein hardwarebasierter Vertrauensstamm Windows schützt. Der VSM-master Schlüssel wird durch das TPM geschützt, wodurch sichergestellt wird, dass nur in einer vertrauenswürdigen Umgebung auf den Schlüssel und die geheimnisse zugegriffen werden kann, die von Credential Guard geschützt werden.
Credential Guard speichert in der Regel keine Authentifizierungsdaten (NTLM-Hash und TGTs), da diese Daten zwischen Neustarts verloren gehen und aktualisiert werden, wenn sich der Benutzer beim System anmeldet. Dies bedeutet, dass es nicht vom VSM-master-Schlüssel oder dem TPM abhängig ist, um diese Daten beim Zurücksetzen zu schützen.
Hinweis
Der VBS-master-Schlüssel ist möglicherweise in keiner der folgenden Umgebungen durch das TPM geschützt:
- Wenn sicherer Start deaktiviert ist
- Wenn ein TPM in der Firmware nicht verfügbar ist
Von Credential Guard nicht abgedeckte Schutzszenarien
Einige Möglichkeiten zum Speichern von Anmeldeinformationen sind nicht durch Credential Guard geschützt, darunter:
- Wenn Credential Guard aktiviert ist, können NTLMv1, MS-CHAPv2, Digest und CredSSP die angemeldeten Anmeldeinformationen nicht verwenden. Folglich funktioniert einmaliges Anmelden nicht mit diesen Protokollen. Anwendungen können jedoch zur Eingabe von Anmeldeinformationen auffordern oder im Windows-Tresor gespeicherte Anmeldeinformationen verwenden, die nicht durch Credential Guard mit einem dieser Protokolle geschützt sind.
Achtung
Es wird empfohlen, dass wertvolle Anmeldeinformationen, z. B. die Anmeldedaten für die Anmeldeinformationen, nicht mit den Protokollen NTLMv1, MS-CHAPv2, Digest oder CredSSP verwendet werden.
- Software, mit der Anmeldeinformationen außerhalb des Schutzes durch Windows-Features verwaltet werden
- Lokale Konten und Microsoft-Konten
- Credential Guard schützt die Active Directory-Datenbank nicht, die auf Windows Server Domänencontrollern ausgeführt wird. Es schützt auch keine Pipelines für die Anmeldeinformationseingabe, z. B. Windows Server, das Remotedesktopgateway ausführt. Wenn Sie ein Windows Server Betriebssystem als Client-PC verwenden, erhält dieses den gleichen Schutz wie bei der Ausführung eines Windows-Clientbetriebssystems.
- Keylogger
- Physische Angriffe
- Verhindert nicht, dass ein Angreifer mit Schadsoftware auf dem PC die Berechtigungen verwendet, die anmeldeinformationen zugeordnet sind. Es wird empfohlen, dedizierte PCs für hochwertige Konten zu verwenden, z. B. IT-Experten und Benutzer mit Zugriff auf hochwertige Ressourcen in Ihrem organization
- Nicht von Microsoft stammende Sicherheitspakete
- Die angegebenen Anmeldeinformationen für die NTLM-Authentifizierung sind nicht geschützt. Wenn ein Benutzer dazu aufgefordert wird und Anmeldeinformationen für die NTLM-Authentifizierung eingibt, sind diese Anmeldeinformationen anfällig für das Lesen aus dem LSASS-Arbeitsspeicher. Dieselben Anmeldeinformationen sind auch für Schlüsselprotokollierungen anfällig.
- Kerberos-Diensttickets werden nicht durch Credential Guard geschützt, aber das Kerberos Ticket Granting Ticket (TGT) ist geschützt.
- Wenn Credential Guard aktiviert ist, lässt Kerberos keine uneingeschränkte Kerberos-Delegierung oder DES-Verschlüsselung zu, nicht nur für angemeldete Anmeldeinformationen, sondern auch für aufgeforderte oder gespeicherte Anmeldeinformationen.
- Wenn Credential Guard auf einem virtuellen Computer aktiviert ist, werden Geheimnisse vor Angriffen innerhalb des virtuellen Computers geschützt. Es bietet jedoch keinen Schutz vor privilegierten Systemangriffen, die vom Host ausgehen.
- Zwischengespeicherte Windows-Anmeldekennwortüberprüfungen (häufig als zwischengespeicherte Anmeldeinformationen bezeichnet) gelten nicht als Anmeldeinformationen, da sie nicht einem anderen Computer zur Authentifizierung angezeigt werden können und nur lokal zum Überprüfen von Anmeldeinformationen verwendet werden können. Sie werden in der Registrierung auf dem lokalen Computer gespeichert und stellen eine Überprüfung für Anmeldeinformationen bereit, wenn ein in die Domäne eingebundener Computer während der Benutzeranmeldung keine Verbindung mit AD DS herstellen kann. Diese zwischengespeicherten Anmeldungen oder insbesondere zwischengespeicherte Domänenkontoinformationen können mithilfe der Sicherheitsrichtlinieneinstellung Interaktive Anmeldung: Anzahl der zwischengespeicherten Anmeldungen verwaltet werden, wenn ein Domänencontroller nicht verfügbar ist.
Nächste Schritte
- Erfahren Sie , wie Sie Credential Guard konfigurieren.
- Lesen Sie die Hinweise und den Beispielcode im Artikel Zusätzliche Risikominderungen, um Ihre Umgebung mit Credential Guard sicherer und stabiler zu machen.
- Lesen Sie Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard