Vue d’ensemble de Credential Guard
Credential Guard empêche les attaques de vol d’informations d’identification en protégeant les hachages de mot de passe NTLM, les tickets d’octroi de tickets Kerberos (TGT) et les informations d’identification stockées par les applications en tant qu’informations d’identification de domaine.
Credential Guard utilise la sécurité basée sur la virtualisation (VBS) pour isoler les secrets afin que seuls les logiciels système privilégiés puissent y accéder. L’accès non autorisé à ces secrets peut entraîner des attaques de vol d’informations d’identification, comme passer le hachage et transmettre le ticket.
Lorsqu’elle est activée, Credential Guard offre les avantages suivants :
- Sécurité matérielle : NTLM, Kerberos et Credential Manager tirent parti des fonctionnalités de sécurité de la plateforme, notamment le démarrage sécurisé et la virtualisation, pour protéger les informations d’identification
- Sécurité basée sur la virtualisation : NTLM, les informations d’identification dérivées de Kerberos et d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution
- Protection contre les menaces persistantes avancées : lorsque les informations d’identification sont protégées à l’aide de VBS, les techniques et outils d’attaque de vol d’informations d’identification utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants s’exécutant dans le système d’exploitation avec des privilèges d’administration ne peuvent pas extraire les secrets protégés par VBS
Remarque
Bien que Credential Guard soit une solution d’atténuation puissante, les attaques par menaces persistantes seront probablement déplacées vers de nouvelles techniques d’attaque, et vous devez également incorporer d’autres stratégies et architectures de sécurité.
Activation par défaut
À compter de Windows 11, 22H2 et Windows Server 2025, VBS et Credential Guard sont activés par défaut sur les appareils qui répondent aux exigences.
L’activation par défaut est sans verrouillage UEFI, ce qui permet aux administrateurs de désactiver Credential Guard à distance si nécessaire.
Lorsque Credential Guard est activé, VBS l’est également automatiquement.
Remarque
Si Credential Guard est explicitement désactivéavant la mise à jour d’un appareil vers Windows 11 version 22H2/Windows Server 2025 ou ultérieure, l’activation par défaut ne remplace pas les paramètres existants. Credential Guard continuera à être désactivé sur cet appareil, même après la mise à jour vers une version de Windows qui active Credential Guard par défaut.
Activation par défaut sur Windows
Les appareils exécutant Windows 11, 22H2 ou version ultérieure ont Credential Guard activé par défaut s’ils :
- Respecter les exigences de licence
- Répondre à la configuration matérielle et logicielle requise
- Ne sont pas explicitement configurés pour désactiver Credential Guard
Remarque
Les appareils exécutant Windows 11 Professionnel/Pro Edu 22H2 ou version ultérieure peuvent avoir la sécurité basée sur la virtualisation (VBS) et/ou Credential Guard automatiquement activés s’ils répondent aux autres exigences pour l’activation par défaut et qu’ils ont précédemment exécuté Credential Guard. Par exemple, si Credential Guard a été activé sur un appareil d’entreprise qui a ensuite été rétrogradé à Pro.
Pour déterminer si l’appareil Pro est dans cet état, case activée si la clé de Registre suivante existe : Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Dans ce scénario, si vous souhaitez désactiver VBS et Credential Guard, suivez les instructions pour désactiver la sécurité basée sur la virtualisation. Si vous souhaitez désactiver Credential Guard uniquement, sans désactiver VBS, utilisez les procédures pour désactiver Credential Guard.
Activation par défaut sur Windows Server
Les appareils exécutant Windows Server 2025 ou version ultérieure ont Credential Guard activé par défaut s’ils :
- Respecter les exigences de licence
- Répondre à la configuration matérielle et logicielle requise
- Ne sont pas explicitement configurés pour désactiver Credential Guard
- Sont joints à un domaine
- Ne sont pas un contrôleur de domaine
Important
Pour plus d’informations sur les problèmes connus liés à l’activation par défaut, consultez Credential Guard : problèmes connus.
Configuration requise
Pour que Credential Guard assure la protection, l’appareil doit répondre à certaines exigences matérielles, microprogrammes et logicielles.
Les appareils qui dépassent les qualifications minimales du matériel et du microprogramme reçoivent des protections supplémentaires et sont plus renforcés contre certaines menaces.
Configuration matérielle et logicielle requise
Credential Guard nécessite les fonctionnalités suivantes :
- Sécurité basée sur la virtualisation (VBS)
Remarque
VBS a des exigences différentes pour l’activer sur différentes plateformes matérielles. Pour plus d’informations, consultez Configuration requise pour la sécurité basée sur la virtualisation.
- Démarrage sécurisé
Bien qu’elles ne soient pas obligatoires, les fonctionnalités suivantes sont recommandées pour fournir des protections supplémentaires :
- Module de plateforme sécurisée (TPM), car il fournit une liaison au matériel. Les versions de TPM 1.2 et 2.0 sont prises en charge, discrètes ou microprogrammes
- Verrouillage UEFI, car il empêche les attaquants de désactiver Credential Guard avec une modification de clé de Registre
Pour plus d’informations sur les protections pour une sécurité améliorée associées aux options de matériel et de microprogramme, consultez Qualifications de sécurité supplémentaires.
Credential Guard dans les machines virtuelles
Credential Guard peut protéger les secrets dans les machines virtuelles Hyper-V, comme sur un ordinateur physique. Lorsque Credential Guard est activé sur une machine virtuelle, les secrets sont protégés contre les attaques à l’intérieur de la machine virtuelle. Credential Guard ne fournit pas de protection contre les attaques système privilégiées provenant de l’hôte.
Les conditions requises pour exécuter Credential Guard sur les machines virtuelles Hyper-V sont les suivantes :
- L’hôte Hyper-V doit avoir un IOMMU
- La machine virtuelle Hyper-V doit être de génération 2
Remarque
Credential Guard n’est pas pris en charge sur les machines virtuelles Hyper-V ou Azure de génération 1. Credential Guard est disponible uniquement sur les machines virtuelles de génération 2.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge Credential Guard :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Non | Oui | Non | Oui |
Les droits de licence Credential Guard sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Non | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Configuration requise pour les applications
Lorsque Credential Guard est activé, certaines fonctionnalités d’authentification sont bloquées. Les applications qui nécessitent de telles fonctionnalités s’arrêtent. Nous faisons référence à ces exigences en tant qu’exigences d’application.
Les applications doivent être testées avant le déploiement pour garantir la compatibilité avec les fonctionnalités réduites.
Warning
L’activation de Credential Guard sur les contrôleurs de domaine n’est pas recommandée. Credential Guard n’offre aucune sécurité supplémentaire aux contrôleurs de domaine et peut entraîner des problèmes de compatibilité des applications sur les contrôleurs de domaine.
Remarque
Credential Guard ne fournit pas de protections pour la base de données Active Directory ou le Gestionnaire des comptes de sécurité (SAM). Les informations d’identification protégées par Kerberos et NTLM lorsque Credential Guard est activé se trouvent également dans la base de données Active Directory (sur les contrôleurs de domaine) et le SAM (pour les comptes locaux).
Les applications s’arrêtent si elles nécessitent :
- La prise en charge du chiffrement DES via Kerberos
- Délégation Kerberos sans contraintes
- Extraction TGT Kerberos
- NTLMv1
Les applications demandent et exposent des informations d’identification à des risques si elles nécessitent :
- Authentification Digest
- Délégation des informations d’identification
- MS-CHAPv2
- CredSSP
Les applications peuvent entraîner des problèmes de performances lorsqu’elles tentent de raccorder le processus LSAIso.exeisolé Credential Guard .
Les services ou protocoles qui s’appuient sur Kerberos, tels que les partages de fichiers ou le Bureau à distance, continuent de fonctionner et ne sont pas affectés par Credential Guard.
Étapes suivantes
- Découvrez le fonctionnement de Credential Guard
- Découvrez comment configurer Credential Guard
- Passez en revue les conseils et les exemples de code pour rendre votre environnement plus sécurisé et robuste avec Credential Guard dans l’article Autres atténuations
- Passer en revue les considérations et les problèmes connus liés à l’utilisation de Credential Guard