Vue d’ensemble de Credential Guard

Credential Guard empêche les attaques de vol d’informations d’identification en protégeant les hachages de mot de passe NTLM, les tickets d’octroi de tickets Kerberos (TGT) et les informations d’identification stockées par les applications en tant qu’informations d’identification de domaine.

Credential Guard utilise la sécurité basée sur la virtualisation (VBS) pour isoler les secrets afin que seuls les logiciels système privilégiés puissent y accéder. L’accès non autorisé à ces secrets peut entraîner des attaques de vol d’informations d’identification, comme passer le hachage et transmettre le ticket.

Lorsqu’elle est activée, Credential Guard offre les avantages suivants :

  • Sécurité matérielle : NTLM, Kerberos et Credential Manager tirent parti des fonctionnalités de sécurité de la plateforme, notamment le démarrage sécurisé et la virtualisation, pour protéger les informations d’identification
  • Sécurité basée sur la virtualisation : NTLM, les informations d’identification kerberos dérivées et d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution
  • Protection contre les menaces persistantes avancées : lorsque les informations d’identification sont protégées à l’aide de VBS, les techniques et outils d’attaque de vol d’informations d’identification utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants s’exécutant dans le système d’exploitation avec des privilèges d’administration ne peuvent pas extraire les secrets protégés par VBS

Remarque

Bien que Credential Guard soit une solution d’atténuation puissante, les attaques par menaces persistantes seront probablement déplacées vers de nouvelles techniques d’attaque, et vous devez également incorporer d’autres stratégies et architectures de sécurité.

Important

À compter de Windows 11, version 22H2, VBS et Credential Guard sont activés par défaut sur tous les appareils qui répondent à la configuration système requise.
Pour plus d’informations sur les problèmes connus liés à l’activation par défaut de Credential Guard, consultez Credential Guard : problèmes connus.

Configuration requise

Pour que Credential Guard assure la protection, les appareils doivent répondre à certaines exigences matérielles, microprogrammes et logicielles.

Les appareils qui répondent à davantage de qualifications matérielles et de microprogrammes que les exigences minimales reçoivent des protections supplémentaires et sont plus renforcés contre certaines menaces.

Configuration matérielle et logicielle requise

Credential Guard nécessite les fonctionnalités suivantes :

Bien qu’elles ne soient pas obligatoires, les fonctionnalités suivantes sont recommandées pour fournir des protections supplémentaires :

  • Module de plateforme sécurisée (TPM), car il fournit une liaison au matériel. Les versions de TPM 1.2 et 2.0 sont prises en charge, discrètes ou microprogrammes
  • Verrouillage UEFI, car il empêche les attaquants de désactiver Credential Guard avec une modification de clé de Registre

Pour plus d’informations sur les protections pour une sécurité améliorée associées aux options de matériel et de microprogramme, consultez Qualifications de sécurité supplémentaires.

Credential Guard dans les machines virtuelles

Credential Guard peut protéger les secrets dans les machines virtuelles Hyper-V, comme sur un ordinateur physique. Lorsque Credential Guard est activé sur une machine virtuelle, les secrets sont protégés contre les attaques à l’intérieur de la machine virtuelle. Credential Guard ne fournit pas de protection contre les attaques système privilégiées provenant de l’hôte.

Les conditions requises pour exécuter Credential Guard sur les machines virtuelles Hyper-V sont les suivantes :

  • L’hôte Hyper-V doit avoir un IOMMU
  • La machine virtuelle Hyper-V doit être de génération 2

Remarque

Credential Guard n’est pas pris en charge sur les machines virtuelles Hyper-V ou Azure de génération 1. Credential Guard est disponible uniquement sur les machines virtuelles de génération 2.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge Credential Guard :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Non Oui Non Oui

Les droits de licence Credential Guard sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Non Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Configuration requise pour les applications

Lorsque Credential Guard est activé, certaines fonctionnalités d’authentification sont bloquées. Les applications qui nécessitent de telles fonctionnalités s’arrêtent. Nous faisons référence à ces exigences en tant qu’exigences d’application.

Les applications doivent être testées avant le déploiement pour garantir la compatibilité avec les fonctionnalités réduites.

Warning

L’activation de Credential Guard sur les contrôleurs de domaine n’est pas recommandée. Credential Guard n’offre aucune sécurité supplémentaire aux contrôleurs de domaine et peut entraîner des problèmes de compatibilité des applications sur les contrôleurs de domaine.

Remarque

Credential Guard ne fournit pas de protections pour la base de données Active Directory ou le Gestionnaire des comptes de sécurité (SAM). Les informations d’identification protégées par Kerberos et NTLM lorsque Credential Guard est activé se trouvent également dans la base de données Active Directory (sur les contrôleurs de domaine) et le SAM (pour les comptes locaux).

Les applications s’arrêtent si elles nécessitent :

  • La prise en charge du chiffrement DES via Kerberos
  • Délégation Kerberos sans contraintes
  • Extraire le ticket TGT Kerberos
  • NTLMv1

Les applications invitent et exposent les informations d’identification à un risque si elles nécessitent :

  • Authentification Digest
  • Délégation des informations d’identification
  • MS-CHAPv2

Les applications peuvent entraîner des problèmes de performances lorsqu’elles tentent de raccorder le processus LSAIso.exeIsolé Credential Guard .

Les services ou protocoles qui s’appuient sur Kerberos, tels que les partages de fichiers ou le Bureau à distance, continuent de fonctionner et ne sont pas affectés par Credential Guard.

Étapes suivantes