Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Important
Ab dem Windows-Sicherheitsupdate vom April (KB5055523) werden Credential Guard-geschützte Computerkonten in Windows Server 2025 und Windows 11, Version 24H2, vorübergehend deaktiviert. Dieses Feature wurde aufgrund eines Problems mit der Computerkennwortrotation mit Kerberos deaktiviert. Das Feature bleibt deaktiviert, bis ein dauerhafter Fix verfügbar ist. Weitere Informationen zum Problem mit der Computerkennwortrotation finden Sie im Artikel zu bekannten Problemen und Benachrichtigungen unter Windows Server 2025 .
Neuere Windows-Features wie die Kerberos-Erweiterung Flexible Authentication Secure Tunneling (FAST), auch bekannt als Kerberos Armoring, wurden zunehmend abhängig von Computerkonten, um die Sicherheit zu erhöhen. Das Computerkonto wird verwendet, um dem geheimen Schlüssel des Clients Entropie hinzuzufügen. Sowohl gMSA- als auch dMSA-Dienstkonten verlassen sich jetzt auf Computerkonten und gewähren ihnen Zugriff auf Dienstkonten. Diese Abhängigkeit von Computerkonten hat jedoch eine Schwachstelle in der Sicherheit von Dienstkonten geschaffen, da Computerkonten leicht aus der Registrierung extrahiert und für den Zugriff auf hochsichere Dienstkonten verwendet werden können.
Um die Sicherheit von Dienstkonten zu erhöhen, ist das Opt-in-Feature von Computerkonten in Credential Guard jetzt auf Windows Server 2025-Geräten verfügbar, auf denen Credential Guard aktiviert ist. Es ist wichtig, Maßnahmen zu ergreifen, um dieses Problem zu lösen. Dieses Feature verlagert die Speicherung der Anmeldeinformationen für das Computerkonto von der Registrierung in den Credential Guard, der eine separate, vertrauenswürdige Ausführungsumgebung für das Kennwort des Computerkontos bereitstellt. Die Sicherheit wird verbessert, indem sichergestellt wird, dass:
- Das Kennwort ist für nicht privilegierte Benutzende, Administrierende und Treiber nicht einsehbar.
- Die Sicherheit von Computerkonten wird verbessert, wodurch die Sicherheit von Dienstkonten in Active Directory (AD) insgesamt erhöht wird.
Isolierung der Computeridentität
Die Aktivierung der Isolierung von Computeridentitäten ermöglicht einen virtualisierungsbasierten Schutz von AD-Computerkonten. Wenn diese Option aktiviert ist, werden die Anmeldeinformationen für das Computerkonto des Geräts in Credential Guard verschoben. Infolgedessen werden alle zukünftigen Authentifizierungen von Computerkonten, wie z. B. die Anmeldung bei einem Gerät, das einer Domäne angeschlossen ist, über Credential Guard geleitet. Wenn Credential Guard jedoch nach einem Neustart des Geräts nicht gestartet werden kann, führt dies dazu, dass die Domänenauthentifizierung nicht abgeschlossen werden kann und möglicherweise ein lokales Administratorkonto zur Wiederherstellung erforderlich ist.
Konfiguration der Isolierung der Computeridentität
Um die Einstellung Machine Identity Isolation Configuration (Isolation der Computeridentität konfigurieren) zu aktivieren, öffnen Sie Gruppenrichtlinie und navigieren Sie zum folgenden Pfad und wählen Sie Aktiviert:
- Computerkonfiguration\Verwaltungsvorlagen\System\Gerätewächter\SVirtualisierungsbasierte Sicherheit aktivieren
Die verfügbaren Optionen für diese spezielle Einstellung sind:
Deaktiviert: Schaltet die Isolierung der Maschinenidentität aus. Wenn diese Richtlinie zuvor auf Aktiviert im Überwachungsmodus festgelegt wurde, ist keine weitere Aktion erforderlich. Wenn diese Richtlinie zuvor auf Aktiviert im Erzwingungsmodus festgelegt wurde, muss das Gerät von der Domäne getrennt und wieder mit ihr verbunden werden, da es sich sonst nicht authentifizieren kann.
Note
Wenn die lokale Anmeldung im Cache aktiviert ist, während diese Einstellung deaktiviert ist, funktioniert die lokale Anmeldung noch, solange der Cache frisch ist, aber die Domänenauthentifizierung wird unterbrochen.
Nur das lokale Administratorkonto kann verwendet werden, um die Verbindung zum Rechner zu trennen und wieder herzustellen.
Aktiviert im Überwachungsmodus: Diese Option erstellt ein neues Geheimnis in Credential Guard und kopiert es in die lokale Sicherheitsautorität (LSA). Das alte LSA-Geheimnis wird dann gelöscht. Bei der Überwachung wird bei Versuchen, die Identität des Computers zu authentifizieren, zunächst versucht, die Kopie in Credential Guard zu verwenden. Wenn dies fehlschlägt, fällt die Authentifizierung auf die ursprüngliche Computeridentität aus LSA zurück.
Note
Wenn die Richtlinie zuvor auf den Durchsetzungsmodus eingestellt war, muss die Verbindung des Geräts manuell aufgehoben und erneut hergestellt werden.
Aktviert im Erzwingungsmodus: Diese Option verschiebt das Geheimnis des Computerkontos in Credential Guard und löscht es aus LSA. Dadurch wird das Geheimnis des Computerkontos unzugänglich, es sei denn, es wird von Credential Guard für die Computerauthentifizierung verwendet.
Nicht konfiguriert: Lässt die Richtlinieneinstellung undefiniert. Die Gruppenrichtlinie schreibt die Richtlinieneinstellung nicht in die Registrierung und hat keine Auswirkungen auf Computer oder Benutzende. Wenn es eine aktuelle Einstellung in der Registrierung gibt, wird diese nicht geändert.