Schützen abgeleiteter Domänenanmeldeinformationen mit Windows Defender Credential Guard

• Gilt für:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Windows Defender Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Geheimnisse zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Ein nicht autorisierter Zugriff auf diese geheimen Schlüssel kann zu Angriffen mit dem Ziel des Diebstahls von Anmeldeinformationen, z. B. Pass-the-Hash oder Pass-The-Ticket, führen. Windows Defender Credential Guard verhindert diese Angriffe durch den Schutz von NTLM-Kennworthashes, Kerberos Ticket Granting Tickets und von Anwendungen als Domänenanmeldeinformationen gespeicherten Anmeldeinformationen.

Durch Aktivieren von Windows Defender Credential Guard werden die folgenden Features und Lösungen bereitgestellt:

• Hardware-Sicherheit NTLM, Kerberos und die Anmeldeinformationsverwaltung nutzen die Plattformsicherheitsfeatures, einschließlich des sicheren Starts und der Virtualisierung, um Anmeldeinformationen zu schützen.
• Virtualisierungsbasierte Sicherheit Von Windows NTLM und Kerberos abgeleitete Domänenanmeldeinformationen und andere geheime Schlüssel werden in einer geschützten Umgebung isoliert vom Betriebssystem ausgeführt.
• Verbesserter Schutz gegen fortgeschrittene dauerhafte Bedrohungen Durch das Sichern von Domänenanmeldeinformationen für die Anmeldeinformationsverwaltung sowie von NTLM und Kerberos abgeleiteten Anmeldeinformationen mithilfe von virtualisierungsbasierter Sicherheit werden die Verfahren und Tools für den Diebstahl von Anmeldeinformationen blockiert, die bei vielen gezielten Angriffen eingesetzt werden. Im Betriebssystem ausgeführte Schadsoftware mit Administratorberechtigungen kann geheime Schlüssel, die durch die virtualisierungsbasierte Sicherheit geschützt sind, nicht extrahieren. Während Windows Defender Credential Guard eine leistungsstarke Gegenmaßnahme ist, werden sich persistente Bedrohungsangriffe wahrscheinlich auf neue Angriffstechniken verlagern, und Sie sollten auch andere Sicherheitsstrategien und -architekturen integrieren.

Hinweis

Ab Windows 11 Version 22H2 wurde Windows Defender Credential Guard standardmäßig auf allen Geräten aktiviert, die die im Abschnitt Standardaktivierung angegebenen Mindestanforderungen erfüllen. Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung finden Sie unter Credential Guard: Bekannte Probleme.

Verwandte Themen

• Schützen von Kennwörtern mit Windows Defender Credential Guard
• Aktivieren der strengen KDC-Überprüfung in Windows Kerberos
• Neuerungen in der Kerberos-Authentifizierung für Windows Server 2012
• Schrittweise Anleitung zur Authentifizierungsmechanismussicherung für AD DS unter Windows Server 2008 R2
• Trusted Platform Module
• Entminderen des Diebstahls von Anmeldeinformationen mithilfe des Windows 10 Isolierten Benutzermodus
• Isolierte Benutzermodusprozesse und -features in Windows 10 mit Logan Gabriel
• Weitere Informationen zu Prozessen und Features im Windows 10 isolierten Benutzermodus mit Dave Probert
• Isolierter Benutzermodus in Windows 10 mit Dave Probert
• Windows 10 des virtuellen sicheren Modus mit David Hepkin