Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard
Es wird empfohlen, dass Organisationen nicht nur Credential Guard bereitstellen, sich von Kennwörtern zu anderen Authentifizierungsmethoden wie Windows Hello for Business, FIDO 2-Sicherheitsschlüsseln oder Smartcards bewegen.
Überlegungen zu WLAN und VPN
Wenn Sie Credential Guard aktivieren, können Sie die klassische NTLM-Authentifizierung nicht mehr für einmaliges Anmelden verwenden. Sie werden gezwungen, Ihre Anmeldeinformationen einzugeben, um diese Protokolle zu verwenden, und können die Anmeldeinformationen nicht für die zukünftige Verwendung speichern.
Wenn Sie WLAN- und VPN-Endpunkte verwenden, die auf MS-CHAPv2 basieren, sind diese ähnlichen Angriffen ausgesetzt wie bei NTLMv1.
Für WLAN- und VPN-Verbindungen wird empfohlen, von MSCHAPv2-basierten Verbindungen (z. B. PEAP-MSCHAPv2 und EAP-MSCHAPv2) zur zertifikatbasierten Authentifizierung (z. B. PEAP-TLS oder EAP-TLS) zu wechseln.
Überlegungen zu Kerberos
Wenn Sie Credential Guard aktivieren, können Sie die uneingeschränkte Kerberos-Delegierung oder DES-Verschlüsselung nicht mehr verwenden. Die uneingeschränkte Delegierung könnte es Angreifern ermöglichen, Kerberos-Schlüssel aus dem isolierten LSA-Prozess zu extrahieren.
Sie müssen stattdessen die eingeschränkte oder ressourcenbasierte Kerberos-Delegierung verwenden.
Überlegungen zu Nicht-Microsoft-Sicherheitssupportanbietern
Einige Nicht-Microsoft-Sicherheitssupportanbieter (SSPs und APs) sind möglicherweise nicht mit Credential Guard kompatibel, da nicht microsoft-basierte SSPs das Anfordern von Kennworthashes von LSA zulassen. SSPs und Zugriffspunkte werden aber weiterhin über das Kennwort informiert, wenn sich ein Benutzer anmeldet bzw. sein Kennwort ändert. Die Verwendung von nicht dokumentierten APIs in benutzerdefinierten SSPs und APs wird nicht unterstützt.
Es wird empfohlen, benutzerdefinierte Implementierungen von SSPs/APs mit Credential Guard zu testen. SSPs und Zugriffspunkte, die auf einem undokumentierten oder nicht unterstützten Verhalten basieren, werden nicht akzeptiert. Beispielsweise wird die Verwendung der KerbQuerySupplementalCredentialsMessage-API nicht unterstützt. Ersetzen Sie NTLM- oder Kerberos-SSPs durch benutzerdefinierte SSPs und Zugriffspunkte.
Weitere Informationen finden Sie unter Einschränkungen beim Registrieren und Installieren eines Sicherheitspakets.
Überlegungen zum Upgrade
Da die Tiefe und Breite der Von Credential Guard bereitgestellten Schutzmaßnahmen erhöht wird, können sich neue Versionen von Windows mit ausgeführtem Credential Guard auf Szenarien auswirken, die in der Vergangenheit funktionierten. Beispielsweise kann Credential Guard die Verwendung eines bestimmten Typs von Anmeldeinformationen oder einer bestimmten Komponente blockieren, um zu verhindern, dass Schadsoftware Sicherheitsrisiken ausnutzt.
Testszenarien, die für Vorgänge in einem organization erforderlich sind, bevor ein Gerät mit Credential Guard aktualisiert wird.
Überlegungen zu gespeicherten Windows-Anmeldeinformationen
Mit dem Anmeldeinformations-Manager können Sie drei Arten von Anmeldeinformationen speichern:
- Windows-Anmeldeinformationen
- Zertifikatbasierte Anmeldeinformationen
- Generische Anmeldeinformationen
Domänenanmeldeinformationen, die in Credential Manager gespeichert sind, werden mit Credential Guard geschützt.
Generische Anmeldeinformationen, z. B. Benutzernamen und Kennwörter, die Sie zum Anmelden von Websites verwenden, sind nicht geschützt, da die Anwendungen Ihr Klartextkennwort erfordern. Wenn die Anwendung keine Kopie des Kennworts benötigt, können sie Domänenanmeldeinformationen als geschützte Windows-Anmeldeinformationen speichern. Windows-Anmeldedaten werden verwendet, um eine Verbindung mit anderen Computern in einem Netzwerk herzustellen.
Für den Credential Guard-Schutz für die Anmeldeinformationsverwaltung sollten Sie Folgendes berücksichtigen:
- Vom Remotedesktopclient gespeicherte Windows-Anmeldeinformationen können nicht an einen Remotehost gesendet werden. Versuche, gespeicherte Windows-Anmeldeinformationen zu verwenden, schlagen fehl, und es wird die Fehlermeldung Anmeldeversuch fehlgeschlagen angezeigt.
- Anwendungen, die Windows-Anmeldeinformationen extrahieren, schlagen fehl.
- Wenn Anmeldeinformationen von einem PC gesichert werden, auf dem Credential Guard aktiviert ist, können die Windows-Anmeldeinformationen nicht wiederhergestellt werden. Wenn Sie Ihre Anmeldeinformationen sichern müssen, müssen Sie dies tun, bevor Sie Credential Guard aktivieren.
Überlegungen zum TPM-Löschen
Virtualisierungsbasierte Sicherheit (VBS) verwendet das TPM, um den Schlüssel zu schützen. Wenn das TPM gelöscht wird, geht der TPM-geschützte Schlüssel, der zum Verschlüsseln von VBS-Geheimnissen verwendet wird, verloren.
Warnung
Das Löschen des TPM führt zu einem Verlust der geschützten Daten für alle Features, die VBS verwenden, um Daten zu schützen.
Wenn ein TPM gelöscht wird, können alle Features, die VBS zum Schutz von Daten verwenden, ihre geschützten Daten nicht mehr entschlüsseln.
Daher kann Credential Guard geschützte Daten nicht mehr entschlüsseln. VBS erstellt einen neuen, von TPM geschützten Schlüssel für Credential Guard. Credential Guard verwendet den neuen Schlüssel, um neue Daten zu schützen. Alle vorher geschützten Daten sind unwiederbringlich verloren.
Hinweis
Credential Guard erhält den Schlüssel während der Initialisierung. Der Datenverlust wirkt sich nur auf persistente Daten aus und tritt nach dem nächsten Systemstart auf.
Von der Anmeldeinformationsverwaltung gesicherte Windows-Anmeldedaten
Da der Anmeldeinformations-Manager gespeicherte Windows-Anmeldeinformationen nicht entschlüsseln kann, werden sie gelöscht. Anwendungen sollten zur Eingabe von Anmeldedaten auffordern, die zuvor gespeichert wurden. Nachdem sie erneut gespeichert wurden, sind die Windows-Anmeldedaten durch Credential Guard geschützt.
Automatisch bereitgestellter öffentlicher Schlüssel des in die Domäne eingebundenen Geräts
In die Active Directory-Domäne eingebundene Geräte stellen automatisch einen gebundenen öffentlichen Schlüssel bereit. Weitere Informationen zur automatischen Bereitstellung von öffentlichen Schlüsseln finden Sie unter Authentifizierung mit in die Domäne eingebundener öffentlicher Schlüssel für Geräte.
Da Credential Guard den geschützten privaten Schlüssel nicht entschlüsseln kann, verwendet Windows das Kennwort des in die Domäne eingebundenen Computers für die Authentifizierung bei der Domäne. Sofern keine anderen Richtlinien bereitgestellt werden, sollte es keinen Funktionsverlust geben. Wenn ein Gerät so konfiguriert ist, dass es nur einen öffentlichen Schlüssel verwendet, kann es sich erst dann mit einem Kennwort authentifizieren, wenn diese Richtlinie deaktiviert ist. Weitere Informationen zum Konfigurieren von Geräten, die nur öffentliche Schlüssel verwenden, finden Sie unter Domain-joined Device Public Key Authentication.
Auch wenn bei Zugriffssteuerungsprüfungen einschließlich Authentifizierungsrichtlinien erforderlich ist, dass Geräte entweder über die KEY TRUST IDENTITY (S-1-18-4)FRESH PUBLIC KEY IDENTITY (S-1-18-3) oder über bekannte SIDs verfügen, schlagen diese Zugriffsprüfungen fehl. Weitere Informationen über Authentifizierungsrichtlinien finden Sie unter Authentifizierungsrichtlinien und Authentifizierungsrichtliniensilos. Weitere Informationen zu bekannten SIDs finden Sie unter [MS-DTYP] Section 2.4.2.4 Well-known SID Structures.
DPAPI auf Geräte in einer Domäne
Auf den zu einer Domäne gehörenden Geräten kann DPAPI Schlüssel des Benutzers mit einem Domänencontroller aus der Domäne des Benutzers wiederherstellen. Wenn ein in die Domäne eingebundenes Gerät nicht mit einem Domänencontroller verbunden ist, ist die Wiederherstellung nicht möglich.
Wichtig
Das Löschen eines TPM auf einem Domänengerät sollte daher in einem Netzwerk mit Konnektivität zu Domänencontrollern erfolgen. Dadurch ist sichergestellt, dass DPAPI-Funktionen ausgeführt werden und der Benutzer kein ungewöhnliches Verhalten bemerkt.
Die automatische VPN-Konfiguration ist durch Benutzer-DPAPI geschützt. Benutzer können VPN möglicherweise nicht verwenden, um Verbindungen zu Domänencontrollern herzustellen, da die VPN-Konfigurationen verloren gegangen sind. Wenn Sie das TPM auf einem Domänengerät ohne Verbindung zu den Domänencontrollern löschen müssen, sollten Sie Folgendes beachten.
Domänenbenutzer melden sich nach dem Löschen eines TPM auf einem in die Domäne eingebundenen Gerät an, solange keine Verbindung mit einem Domänencontroller besteht:
| Anmeldedatentyp | Verhalten |
|---|---|
| Zertifikat (Smartcard oder Windows Hello for Business) | Alle Daten, die mit der Benutzer-DPAPI geschützt werden, sind nicht verwendbar, und die Benutzer-DPAPI funktioniert überhaupt nicht. |
| Kennwort | Wenn sich der Benutzer vor dem Löschen des TPM mit einem Zertifikat oder Kennwort angemeldet hat, kann er sich mit einem Kennwort anmelden, und die Benutzer-DPAPI ist davon nicht betroffen. |
Nachdem das Gerät über Konnektivität zum Domänencontroller verfügt, stellt DPAPI den Schlüssel des Benutzers wieder her, und vor dem Löschen des TPM geschützte Daten können entschlüsselt werden.
Auswirkungen eines DPAPI-Ausfalls auf Windows Information Protection
Wenn die per Benutzer-DPAPI geschützten Daten unbrauchbar sind, verliert der Benutzer den Zugriff auf alle von Windows Information Protection geschützten Arbeitsdaten. Die Auswirkungen umfassen: Outlook kann nicht gestartet werden, und arbeitsgeschützte Dokumente können nicht geöffnet werden. Wenn DPAPI funktioniert, werden neu erstellte Arbeitsdaten geschützt und können abgerufen werden.
Problemumgehung: Benutzer können das Problem beheben, indem Sie ihr Gerät mit der Domäne verbinden und neu starten oder ihr Data Recovery Agent-Zertifikat für das Encrypting File System verwenden. Weitere Informationen über das Recovery Agent-Zertifikat für das Encrypting File System finden Sie unter Erstellen und Überprüfen eines Datenwiederherstellungs-Agent (DRA)-Zertifikats des verschlüsselnden Dateisystems (Encrypting File System, EFS).
Bekannte Probleme
Credential Guard blockiert bestimmte Authentifizierungsfunktionen. Anwendungen, die solche Funktionen erfordern, funktionieren nicht, wenn Credential Guard aktiviert ist.
In diesem Artikel werden bekannte Probleme beschrieben, wenn Credential Guard aktiviert ist.
Unterbrechungen des einmaligen Anmeldens für Netzwerkdienste nach dem Upgrade auf Windows 11 Version 22H2
Geräte, die 802.1x drahtlose oder verkabelte Netzwerk-, RDP- oder VPN-Verbindungen verwenden, die auf unsicheren Protokollen mit kennwortbasierter Authentifizierung basieren, können SSO nicht für die Anmeldung verwenden und sind gezwungen, sich in jeder neuen Windows-Sitzung manuell erneut zu authentifizieren, wenn Credential Guard ausgeführt wird.
Betroffene Geräte
Das Problem kann auf jedem Gerät mit aktiviertem Credential Guard auftreten. Im Rahmen des Windows 11 Updates version 22H2 haben berechtigte Geräte, die Credential Guard nicht deaktiviert haben, standardmäßig aktiviert. Dies betraf alle Geräte mit Enterprise-Lizenzen (E3 und E5) und Education sowie einige Pro-Lizenzen, sofern sie die Mindesthardwareanforderungen erfüllten.
Alle Windows Pro-Geräte, auf denen zuvor Credential Guard unter einer berechtigten Lizenz ausgeführt und später auf Pro herabgestuft wurde und die weiterhin die Mindesthardwareanforderungen erfüllen, erhalten die Standardaktivierung.
Tipp
Um festzustellen, ob ein Windows Pro-Gerät beim Upgrade auf Windows 11 Version 22H2 die Standardaktivierung erhält, überprüfen Sie, ob der Registrierungsschlüssel IsolatedCredentialsRootSecret in Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0vorhanden ist.
Wenn es vorhanden ist, aktiviert das Gerät Credential Guard nach dem Update.
Sie können Credential Guard nach dem Upgrade deaktivieren, indem Sie die Anweisungen zur Deaktivierung befolgen.
Ursache des Problems
Anwendungen und Dienste sind von dem Problem betroffen, wenn sie auf unsichere Protokolle angewiesen sind, die die kennwortbasierte Authentifizierung verwenden. Solche Protokolle gelten als unsicher, da sie zur Kennwortveröffentlichung auf dem Client oder server führen können und Credential Guard sie blockiert. Zu den betroffenen Protokollen gehören:
- Uneingeschränkte Kerberos-Delegierung (sowohl SSO als auch die angegebenen Anmeldeinformationen werden blockiert)
- Kerberos, wenn PKINIT rsa-Verschlüsselung anstelle von Diffie-Hellman verwendet (sowohl SSO als auch die angegebenen Anmeldeinformationen werden blockiert)
- MS-CHAP (nur SSO ist blockiert)
- WDigest (nur SSO ist blockiert)
- NTLM v1 (nur SSO ist blockiert)
Hinweis
Da nur einmaliges Anmelden für MS-CHAP, WDigest und NTLM v1 blockiert ist, können diese Protokolle weiterhin verwendet werden, indem der Benutzer aufgefordert wird, Anmeldeinformationen anzugeben.
So bestätigen Sie das Problem
MS-CHAP und NTLMv1 sind für den SSO-Bruch nach dem Windows 11 Version 22H2-Update relevant. Um zu überprüfen, ob Credential Guard MS-CHAP oder NTLMv1 blockiert, öffnen Sie die Ereignisanzeige (eventvwr.exe), und wechseln Sie zu Application and Services Logs\Microsoft\Windows\NTLM\Operational. Überprüfen Sie die folgenden Protokolle:
Ereignis-ID (Typ)
Beschreibung
4013 (Warnung)
<string
id="NTLMv1BlockedByCredGuard"
value="Attempt to use NTLMv1 failed.
Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID
of client process: %4%nName
of client process: %5%nLUID
of client process: %6%nUser identity
of client process: %7%nDomain name
of user identity of client process: %8%nMechanism OID: 9%n%n
This device doesn't support NTLMv1.
/>
4014 (Fehler)
<string
id="NTLMGetCredentialKeyBlockedByCredGuard"
value="Attempt to get credential key by call package blocked by Credential Guard.%n%n
Calling Process Name: %1%nService Host Tag: %2"
/>
Beheben des Problems
Es wird empfohlen, von MSCHAPv2-basierten Verbindungen wie PEAP-MSCHAPv2 und EAP-MSCHAPv2 zur zertifikatbasierten Authentifizierung wie PEAP-TLS oder EAP-TLS zu wechseln. Credential Guard blockiert die zertifikatbasierte Authentifizierung nicht.
Deaktivieren Sie Credential Guard, um eine sofortigere, aber weniger sichere Lösung zu erhalten. Credential Guard verfügt nicht über Protokoll- oder Anwendungsrichtlinien und kann entweder aktiviert oder deaktiviert werden. Wenn Sie Credential Guard deaktivieren, lassen Sie gespeicherte Domänenanmeldeinformationen anfällig für Diebstahl.
Tipp
Um die Standardaktivierung zu verhindern, konfigurieren Sie Ihre Geräte so, dass Credential Guard deaktiviert wird, bevor Sie auf Windows 11 Version 22H2 aktualisieren. Wenn die Einstellung nicht konfiguriert ist (der Standardstatus) und das Gerät berechtigt ist, aktiviert das Gerät Credential Guard nach dem Update automatisch.
Wenn Credential Guard explizit deaktiviert ist, aktiviert das Gerät Credential Guard nach dem Update nicht automatisch.
Probleme mit Nicht-Microsoft-Anwendungen
Das folgende Problem betrifft MSCHAPv2:
Das folgende Problem betrifft die Java-GSS-API. Informationen finden Sie im folgenden Datenbankartikeln zu Oracle-Fehlern:
Wenn Credential Guard unter Windows aktiviert ist, wird die Java GSS-API nicht authentifiziert. Credential Guard blockiert bestimmte Anwendungsauthentifizierungsfunktionen und stellt den TGT-Sitzungsschlüssel nicht für Anwendungen bereit, unabhängig von den Registrierungsschlüsseleinstellungen. Weitere Informationen finden Sie unter Anwendungsanforderungen.
Anbieterunterstützung
Die folgenden Produkte und Dienste unterstützen Credential Guard nicht:
- Check Point Endpoint Security Client-Unterstützung für Microsoft Credential Guard- und Hypervisor-Protected-Codeintegritätsfeatures
- Fehler VMware Workstation und Device/Credential Guard sind nicht kompatibel in VMware Workstation auf Windows 10 Host (2146361)
- ThinkPad-Unterstützung für Hypervisor-Protected Codeintegrität und Credential Guard in Microsoft Windows
- Windows-Geräte mit Credential Guard und Symantec Endpoint Protection 12.1
Wichtig
Diese Liste ist nicht umfassend. Überprüfen Sie, ob Ihr Produktanbieter, Ihre Produktversion oder Ihr Computersystem Credential Guard auf Systemen unterstützt, auf denen eine bestimmte Version von Windows ausgeführt wird. Bestimmte Computersystemmodelle sind möglicherweise nicht mit Credential Guard kompatibel.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für