Funktionsweise von Windows Defender Credential Guard

• Gilt für:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Kerberos, NTLM und die Anmeldeinformationsverwaltung isolieren geheime Schlüssel mithilfe virtualisierungsbasierter Sicherheit. In früheren Windows-Versionen wurden geheime Schlüssel in der lokalen Sicherheitsautorität (LSA) gespeichert. Vor Windows 10 speicherte die LSA geheime Schlüssel, die vom Betriebssystem verwendet werden, im Prozessspeicher. Bei Aktivierung von Windows Defender Credential Guard kommuniziert der LSA-Prozess im Betriebssystem mit einer neuen Komponente, die als isolierter LSA-Prozess bezeichnet wird und in der diese geheimen Schlüssel gespeichert und geschützt werden. Daten, die vom isolierten LSA-Prozess gespeichert werden, werden mithilfe der virtualisierungsbasierten Sicherheit geschützt und sind für den Rest des Betriebssystems nicht zugänglich. Die LSA verwendet Remoteprozeduraufrufe, um mit dem isolierten LSA-Prozess zu kommunizieren.

Aus Sicherheitsgründen hostet der isolierte LSA-Prozess keine Gerätetreiber. Stattdessen enthält er nur eine kleine Teilmenge der Binärdateien des Betriebssystems, die für die Sicherheit nötig sind, und sonst nichts. Alle diese Binärdateien werden mit einem Zertifikat signiert, dem die virtualisierungsbasierte Sicherheit vertraut, und diese Signaturen werden vor dem Starten der Datei in der geschützten Umgebung überprüft.

Wenn Windows Defender Credential Guard aktiviert ist, können NTLMv1, MS-CHAPv2, Digest und CredSSP die angemeldeten Anmeldeinformationen nicht verwenden. Daher funktioniert einmaliges Anmelden nicht mit diesen Protokollen. Anwendungen können jedoch zur Eingabe von Anmeldeinformationen auffordern oder im Windows-Tresor gespeicherte Anmeldeinformationen verwenden, die nicht durch Windows Defender Credential Guard mit einem dieser Protokolle geschützt sind. Es wird empfohlen, dass wertvolle Anmeldeinformationen, z. B. anmeldeinformationen, nicht mit einem dieser Protokolle verwendet werden. Wenn die Protokolle von Domänenbenutzern oder Azure AD verwendet werden müssen, sollten für diese Anwendungsfälle sekundäre Anmeldeinformationen bereitgestellt werden.

Wenn Windows Defender Credential Guard aktiviert ist, lässt Kerberos keine uneingeschränkte Kerberos-Delegierung oder DES-Verschlüsselung zu, nicht nur für angemeldete Anmeldeinformationen, sondern auch für die eingabeaufforderungen oder gespeicherten Anmeldeinformationen.

Hier finden Sie eine allgemeine Übersicht darüber, wie die LSA mithilfe der virtualisierungsbasierten Sicherheit isoliert wird:

Weitere Informationen

Verwandte Videos

Was ist virtualisierungsbasierte Sicherheit?