Share via


Übersicht über Credential Guard

Credential Guard verhindert Angriffe zum Diebstahl von Anmeldeinformationen, indem NTLM-Kennworthashes, Kerberos Ticket Granting Tickets (TGTs) und Von Anwendungen als Domänenanmeldeinformationen gespeicherte Anmeldeinformationen geschützt werden.

Credential Guard verwendet virtualisierungsbasierte Sicherheit (VBS), um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Nicht autorisierter Zugriff auf diese Geheimnisse kann zu Diebstahlangriffen von Anmeldeinformationen führen, z. B. das Übergeben des Hashs und das Übergeben des Tickets.

Wenn diese Option aktiviert ist, bietet Credential Guard die folgenden Vorteile:

  • Hardwaresicherheit: NTLM, Kerberos und Anmeldeinformations-Manager nutzen Plattformsicherheitsfeatures wie sicherer Start und Virtualisierung, um Anmeldeinformationen zu schützen.
  • Virtualisierungsbasierte Sicherheit: NTLM, von Kerberos abgeleitete Anmeldeinformationen und andere Geheimnisse werden in einer geschützten Umgebung ausgeführt, die vom ausgeführten Betriebssystem isoliert ist.
  • Schutz vor erweiterten persistenten Bedrohungen: Wenn Anmeldeinformationen mithilfe von VBS geschützt werden, werden die Techniken und Tools zum Diebstahl von Anmeldeinformationen blockiert, die bei vielen gezielten Angriffen verwendet werden. Schadsoftware, die im Betriebssystem mit Administratorrechten ausgeführt wird, kann keine Geheimnisse extrahieren, die durch VBS geschützt sind.

Hinweis

Credential Guard ist zwar eine leistungsstarke Gegenmaßnahme, aber persistente Bedrohungsangriffe werden sich wahrscheinlich auf neue Angriffstechniken verlagern, und Sie sollten auch andere Sicherheitsstrategien und -architekturen integrieren.

Wichtig

Ab Windows 11, Version 22H2, sind VBS und Credential Guard standardmäßig auf allen Geräten aktiviert, die die Systemanforderungen erfüllen.
Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung von Credential Guard finden Sie unter Credential Guard: Bekannte Probleme.

Systemanforderungen

Damit Credential Guard Schutz bietet, müssen die Geräte bestimmte Hardware-, Firmware- und Softwareanforderungen erfüllen.

Geräte, die mehr Hardware- und Firmwarequalifikationen als die Mindestanforderungen erfüllen, erhalten zusätzlichen Schutz und sind besser gegen bestimmte Bedrohungen geschützt.

Hardware- und Softwareanforderungen

Für Credential Guard sind folgende Features erforderlich:

Obwohl nicht erforderlich, werden die folgenden Features empfohlen, um zusätzlichen Schutz bereitzustellen:

  • Trusted Platform Module (TPM), da es eine Bindung an Hardware bereitstellt. TPM-Versionen 1.2 und 2.0 werden unterstützt, entweder diskret oder Firmware
  • UEFI-Sperre, da sie verhindert, dass Angreifer Credential Guard mit einer Änderung des Registrierungsschlüssels deaktivieren

Ausführliche Informationen zu Den Schutzmaßnahmen für verbesserte Sicherheit, die mit Hardware- und Firmwareoptionen verbunden sind, finden Sie unter Zusätzliche Sicherheitsqualifikationen.

Credential Guard auf virtuellen Computern

Credential Guard kann Geheimnisse auf virtuellen Hyper-V-Computern genau wie auf einem physischen Computer schützen. Wenn Credential Guard auf einem virtuellen Computer aktiviert ist, werden Geheimnisse vor Angriffen innerhalb des virtuellen Computers geschützt. Credential Guard bietet keinen Schutz vor privilegierten Systemangriffen, die vom Host ausgehen.

Zum Ausführen von Credential Guard auf virtuellen Hyper-V-Computern gelten folgende Anforderungen:

  • Der Hyper-V-Host muss über eine IOMMU verfügen.
  • Der virtuelle Hyper-V-Computer muss generation 2 sein.

Hinweis

Credential Guard wird auf Hyper-V- oder Azure-VMs der Generation 1 nicht unterstützt. Credential Guard ist nur auf VMs der 2. Generation verfügbar.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Credential Guard unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Nein Ja Nein Ja

Credential Guard-Lizenzberechtigungen werden von den folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Nein Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Anforderungen an Anwendungen

Wenn Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert. Anwendungen, für die solche Funktionen erforderlich sind, werden unterbrochen. Wir bezeichnen diese Anforderungen als Anwendungsanforderungen.

Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der eingeschränkten Funktionalität sicherzustellen.

Warnung

Das Aktivieren von Credential Guard auf Domänencontrollern wird nicht empfohlen. Credential Guard bietet keine zusätzliche Sicherheit für Domänencontroller und kann Probleme mit der Anwendungskompatibilität auf Domänencontrollern verursachen.

Hinweis

Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder den Security Accounts Manager (SAM). Die bei Aktivierung von Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.

Anwendungen werden unterbrochen, wenn folgendes erforderlich ist:

  • Kerberos-DES-Verschlüsselungsunterstützung
  • Uneingeschränkte Kerberos-Delegierung
  • Extrahieren des Kerberos-TGT
  • NTLMv1

Anwendungen fordern Anmeldeinformationen auf und machen sie risikobehaftet, wenn sie Folgendes erfordern:

  • Digestauthentifizierung
  • Delegierung von Anmeldeinformationen
  • MS-CHAPv2

Anwendungen können Leistungsprobleme verursachen, wenn sie versuchen, den isolierten Credential Guard-Prozess LSAIso.exezu verbinden.

Dienste oder Protokolle, die auf Kerberos basieren, z. B. Dateifreigaben oder Remotedesktop, funktionieren weiterhin und sind von Credential Guard nicht betroffen.

Nächste Schritte