configuration matérielle requise pour Microsoft Defender Credential Guard
Microsoft Defender Credential Guard utilise la sécurité basée sur la virtualisation pour isoler et protéger les secrets (par exemple, les hachages de mot de passe NTLM et les tickets d’octroi de tickets Kerberos) pour bloquer les attaques pass-the-hash ou pass-the-ticket (PtH). Lorsque Microsoft Defender Credential Guard est activé, NTLMv1, MS-CHAPv2, Digest et CredSSP ne peuvent pas utiliser les informations d’identification de connexion. Par conséquent, l’authentification unique ne fonctionne pas avec ces protocoles. Toutefois, les applications peuvent demander des informations d’identification ou utiliser des informations d’identification stockées dans le coffre Windows qui ne sont pas protégées par Microsoft Defender Credential Guard avec l’un de ces protocoles.
Il est vivement recommandé que les informations d’identification précieuses, telles que les informations d’identification de connexion, ne soient pas utilisées avec l’un de ces protocoles. Si ces protocoles doivent être utilisés par des utilisateurs du domaine ou des utilisateurs Azure AD, des informations d’identification secondaires doivent être configurées pour ces cas d’usage.
Lorsque Microsoft Defender Credential Guard est activé, Kerberos n’autorise pas la délégation Kerberos sans contrainte ou le chiffrement DES, non seulement pour les informations d’identification de connexion, mais également pour les informations d’identification à l’invite ou les informations d’identification enregistrées.
Note: À compter de Windows 10 version 1709 et windows Server version 1709, quand Intel TXT ou SGX sont activés dans une plateforme via le BIOS, Hypervisor-Protected Code Integrity (HCVI) et Credential Guard ne sont pas affectés et fonctionnent comme prévu. HVCI et Credential Guard ne sont pas pris en charge sur les versions antérieures de Windows lorsque Intel TXT ou SGX sont activés dans une plateforme via le BIOS.
Pour mieux comprendre ce qu’est Microsoft Defender Credential Guard et les attaques qu’il protège contre les attaques, consultez Présentation approfondie d’Credential Guard.
Professionnels de l’informatique : Pour savoir comment déployer Microsoft Defender Credential Guard dans votre entreprise, consultez Protéger les informations d’identification de domaine dérivées avec Credential Guard.
Pour qu’un appareil prend en charge Microsoft Defender Credential Guard comme spécifié dans les exigences de compatibilité matérielle Windows (WHCR), vous devez fournir les fonctionnalités matérielles, logicielles ou microprogramme suivantes en tant qu’OEM.
| Condition requise | Détails |
|---|---|
| Démarrage sécurisé | Le démarrage sécurisé basé sur le matériel doit être pris en charge. Pour plus d’informations, consultez Démarrage sécurisé. |
| Configuration et gestion du démarrage sécurisé |
|
| Processus de mise à jour du microprogramme sécurisé | Comme les logiciels UEFI, le microprogramme UEFI peut avoir des failles de sécurité. Il est essentiel d’avoir la possibilité de corriger immédiatement ces vulnérabilités lorsqu’elles sont détectées via les mises à jour du microprogramme. Le microprogramme UEFI doit prendre en charge la mise à jour sécurisée du microprogramme conformément à la spécification de compatibilité matérielle pour les systèmes pour les Windows 10 sous System.Fundamentals.Firmware.UEFISecureBoot. |
| United Extensible Firmware Interface (UEFI) | Pour en savoir plus, consultez Configuration requise pour le microprogramme UEFI (United Extensible Firmware Interface). |
| Sécurité basée sur la virtualisation (VBS) | Hypervisor-Protected l’intégrité du code nécessite VBS. Pour en savoir plus sur VBS, consultez Sécurité basée sur la virtualisation (VBS). |
Hypervisor-Protected Code Integrity and Credential Guard Readiness Tool
Pour déterminer si un appareil est en mesure d’exécuter HVCI et Credential Guard, téléchargez l’outil de préparation matérielle HVCI et Credential Guard.