Panoramica di Credential Guard
Credential Guard impedisce attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket di concessione di ticket Kerberos e le credenziali archiviate dalle applicazioni come credenziali di dominio.
Credential Guard usa la sicurezza basata su virtualizzazione (VBS) per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi. L'accesso non autorizzato a questi segreti può causare attacchi di furto di credenziali come passare l'hash e passare il ticket.
Se abilitata, Credential Guard offre i vantaggi seguenti:
- Sicurezza hardware: NTLM, Kerberos e Credential Manager sfruttano le funzionalità di sicurezza della piattaforma, tra cui avvio protetto e virtualizzazione, per proteggere le credenziali
- Sicurezza basata sulla virtualizzazione: NTLM, credenziali derivate da Kerberos e altri segreti vengono eseguiti in un ambiente protetto isolato dal sistema operativo in esecuzione
- Protezione dalle minacce persistenti avanzate: quando le credenziali sono protette tramite VBS, le tecniche di attacco con furto di credenziali e gli strumenti usati in molti attacchi mirati vengono bloccati. Il malware in esecuzione nel sistema operativo con privilegi amministrativi non può estrarre i segreti protetti da VBS
Nota
Sebbene Credential Guard sia una potente mitigazione, gli attacchi alle minacce persistenti probabilmente passeranno a nuove tecniche di attacco ed è consigliabile incorporare anche altre strategie e architetture di sicurezza.
Abilitazione predefinita
A partire da Windows 11, 22H2 e Windows Server 2025, VBS e Credential Guard sono abilitati per impostazione predefinita nei dispositivi che soddisfano i requisiti.
L'abilitazione predefinita è senza blocco UEFI, consentendo così agli amministratori di disabilitare Credential Guard in remoto, se necessario.
Quando Credential Guard è abilitato, anche VBS viene abilitato automaticamente.
Nota
Se Credential Guard è disabilitato in modo esplicito prima che un dispositivo venga aggiornato a Windows 11 versione 22H2/Windows Server 2025 o versione successiva, l'abilitazione predefinita non sovrascrive le impostazioni esistenti. Il dispositivo continuerà a avere Credential Guard disabilitato anche dopo l'aggiornamento a una versione di Windows che abilita Credential Guard per impostazione predefinita.
Abilitazione predefinita in Windows
Per i dispositivi che eseguono Windows 11, 22H2 o versioni successive, Credential Guard è abilitato per impostazione predefinita se:
- Soddisfare i requisiti di licenza
- Soddisfare i requisiti hardware e software
- Non sono configurati in modo esplicito per disabilitare Credential Guard
Nota
I dispositivi che eseguono Windows 11 Pro/Pro Edu 22H2 o versioni successive possono avere la sicurezza basata su virtualizzazione (VBS) e/o Credential Guard abilitata automaticamente se soddisfano gli altri requisiti per l'abilitazione predefinita e hanno eseguito in precedenza Credential Guard. Ad esempio, se Credential Guard è stato abilitato in un dispositivo Enterprise che in seguito ha eseguito il downgrade a Pro.
Per determinare se il dispositivo Pro è in questo stato, verificare se esiste la chiave del Registro di sistema seguente: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. In questo scenario, se si vuole disabilitare VBS e Credential Guard, seguire le istruzioni per disabilitare la sicurezza basata su virtualizzazione. Se si vuole disabilitare solo Credential Guard, senza disabilitare VBS, usare le procedure per disabilitare Credential Guard.
Abilitazione predefinita in Windows Server
Per i dispositivi che eseguono Windows Server 2025 o versioni successive, Credential Guard è abilitato per impostazione predefinita se:
- Soddisfare i requisiti di licenza
- Soddisfare i requisiti hardware e software
- Non sono configurati in modo esplicito per disabilitare Credential Guard
- Vengono aggiunti a un dominio
- Non sono un controller di dominio
Importante
Per informazioni sui problemi noti relativi all'abilitazione predefinita, vedere Credential Guard: problemi noti.
Requisiti di sistema
Affinché Credential Guard fornisca protezione, il dispositivo deve soddisfare determinati requisiti hardware, firmware e software.
I dispositivi che superano le qualifiche minime di hardware e firmware ricevono protezioni aggiuntive e sono più protetti da determinate minacce.
Requisiti hardware e software
Credential Guard richiede le funzionalità seguenti:
- Sicurezza basata su virtualizzazione (VBS)
Nota
Vbs ha requisiti diversi per abilitarlo su piattaforme hardware diverse. Per altre informazioni, vedere Requisiti di sicurezza basati su virtualizzazione
- Avvio protetto
Anche se non è necessario, è consigliabile usare le funzionalità seguenti per fornire protezioni aggiuntive:
- Trusted Platform Module (TPM), in quanto fornisce l'associazione all'hardware. Sono supportate le versioni 1.2 e 2.0 di TPM, discrete o firmware
- Blocco UEFI, in quanto impedisce agli utenti malintenzionati di disabilitare Credential Guard con una modifica della chiave del Registro di sistema
Per informazioni dettagliate sulle protezioni per una maggiore sicurezza associata alle opzioni hardware e firmware, vedere requisiti di sicurezza aggiuntivi.
Credential Guard nelle macchine virtuali
Credential Guard può proteggere i segreti nelle macchine virtuali Hyper-V, proprio come in un computer fisico. Quando Credential Guard è abilitato in una macchina virtuale, i segreti vengono protetti da attacchi all'interno della macchina virtuale. Credential Guard non fornisce protezione dagli attacchi di sistema con privilegi provenienti dall'host.
I requisiti per eseguire Credential Guard nelle macchine virtuali Hyper-V sono:
- L'host Hyper-V deve avere un iommu
- La macchina virtuale Hyper-V deve essere di generazione 2
Nota
Credential Guard non è supportato in macchine virtuali Hyper-V o Azure di generazione 1. Credential Guard è disponibile solo nelle macchine virtuali di seconda generazione.
Requisiti di licenza ed edizione di Windows
La tabella seguente elenca le edizioni di Windows che supportano Credential Guard:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sì | No | Sì |
I diritti di licenza di Credential Guard sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Requisiti delle applicazioni
Quando Credential Guard è abilitato, alcune funzionalità di autenticazione vengono bloccate. Le applicazioni che richiedono tali funzionalità si rompono. Questi requisiti vengono definiti requisiti dell'applicazione.
Le applicazioni devono essere testate prima della distribuzione per garantire la compatibilità con le funzionalità ridotte.
Warning
L'abilitazione di Credential Guard nei controller di dominio non è consigliata. Credential Guard non fornisce alcuna sicurezza aggiuntiva ai controller di dominio e può causare problemi di compatibilità delle applicazioni nei controller di dominio.
Nota
Credential Guard non fornisce protezioni per il database di Active Directory o per Security Accounts Manager (SAM). Le credenziali protette da Kerberos e NTLM quando Credential Guard è abilitato si trovano anche nel database di Active Directory (nei controller di dominio) e in SAM (per gli account locali).
Le applicazioni si interrompono se richiedono:
- Supporto della crittografia DES Kerberos
- Delega senza vincoli Kerberos
- Estrazione TGT Kerberos
- NTLMv1
Le applicazioni richiedono ed espongono credenziali a rischio se richiedono:
- Autenticazione del digest
- Delega delle credenziali
- MS-CHAPv2
- CredSSP
Le applicazioni potrebbero causare problemi di prestazioni quando tentano di associare il processo LSAIso.exeisolato di Credential Guard.
I servizi o i protocolli che si basano su Kerberos, ad esempio condivisioni file o desktop remoto, continuano a funzionare e non sono interessati da Credential Guard.
Passaggi successivi
- Informazioni sul funzionamento di Credential Guard
- Informazioni su come configurare Credential Guard
- Esaminare i consigli e il codice di esempio per rendere l'ambiente più sicuro e affidabile con Credential Guard nell'articolo Mitigazioni aggiuntive
- Esaminare le considerazioni e i problemi noti quando si usa Credential Guard