Funzionamento di Credential Guard
Kerberos, NTLM e Credential Manager isolano i segreti usando la sicurezza basata su virtualizzazione (VBS). Le versioni precedenti di Windows archiviava i segreti nella memoria del processo, nel processo lsass.exe
LSA (Local Security Authority).
Con Credential Guard abilitato, il processo LSA nel sistema operativo comunica con un componente denominato processo LSA isolato che archivia e protegge tali segreti, LSAIso.exe
. I dati archiviati dal processo LSA isolato sono protetti tramite VBS e non sono accessibili al resto del sistema operativo. Per comunicare con il processo LSA isolato, l'autorità di protezione locale usa RPC (Remote Procedure Call).
Per motivi di sicurezza, il processo LSA isolato non ospita driver di dispositivo. Ospita invece un piccolo sottoinsieme dei file binari del sistema operativo necessari per la sicurezza e nient'altro. Tutti i file binari vengono firmati con un certificato considerato attendibile da VBS e le firme vengono convalidate prima di avviare il file nell'ambiente protetto.
Limiti della protezione di Credential Guard
Alcuni modi per archiviare le credenziali non sono protetti da Credential Guard, tra cui:
- Quando Credential Guard è abilitato, NTLMv1, MS-CHAPv2, Digest e CredSSP non possono usare le credenziali di accesso. Pertanto, l'accesso Single Sign-On non funziona con questi protocolli. Tuttavia, le applicazioni possono richiedere le credenziali o usare le credenziali archiviate in Windows Vault, che non sono protette da Credential Guard con uno di questi protocolli
Attenzione
È consigliabile che le credenziali preziose, ad esempio le credenziali di accesso, non vengano usate con i protocolli NTLMv1, MS-CHAPv2, Digest o CredSSP.
- Software che gestisce le credenziali di fuori della protezione delle funzionalità di Windows
- Account locali e account Microsoft
- Credential Guard non protegge il database di Active Directory in esecuzione nei controller di dominio di Windows Server. Inoltre, non protegge le pipeline di input delle credenziali, ad esempio Windows Server che esegue Gateway Desktop remoto. Se si usa un sistema operativo Windows Server come PC client, questa otterrà la stessa protezione di quando si esegue un sistema operativo client Windows
- Keystroke logger
- Attacchi fisici
- Non impedisce a un utente malintenzionato con malware nel PC di usare i privilegi associati ad alcuna credenziale. È consigliabile usare PC dedicati per account di valore elevato, ad esempio professionisti IT e utenti con accesso ad asset di valore elevato nell'organizzazione
- Pacchetti di sicurezza non Microsoft
- Le credenziali fornite per l'autenticazione NTLM non sono protette. Se a un utente vengono chieste le credenziali ed egli le immette per l'autenticazione NTLM, queste credenziali possono essere lette dalla memoria LSASS. Queste stesse credenziali sono vulnerabili anche ai key logger
- I ticket di servizio Kerberos non sono protetti da Credential Guard, ma il ticket di concessione del ticket Kerberos (TGT) è protetto
- Quando Credential Guard è abilitato, Kerberos non consente la delega Kerberos non vincolata o la crittografia DES, non solo per le credenziali di accesso, ma anche le credenziali richieste o salvate
- Quando Credential Guard è abilitato in una macchina virtuale, protegge i segreti dagli attacchi all'interno della macchina virtuale. Tuttavia, non fornisce protezione da attacchi di sistema con privilegi provenienti dall'host
- I verificatori di password memorizzati nella cache di Accesso di Windows (comunemente chiamati credenziali memorizzate nella cache) non sono idonei come credenziali perché non possono essere presentati a un altro computer per l'autenticazione e possono essere usati solo in locale per verificare le credenziali. Vengono archiviati nel Registro di sistema nel computer locale e forniscono la convalida per le credenziali quando un computer aggiunto a un dominio non può connettersi ad Active Directory Domain Services durante l'accesso utente. Questi accessi memorizzati nella cache, o più in particolare le informazioni sull'account di dominio memorizzato nella cache, possono essere gestiti usando l'impostazione dei criteri di sicurezza Accesso interattivo: numero di accessi precedenti da memorizzare nella cache se non è disponibile un controller di dominio
Passaggi successivi
- Informazioni su come configurare Credential Guard
- Esaminare i consigli e il codice di esempio per rendere l'ambiente più sicuro e affidabile con Credential Guard nell'articolo Mitigazioni aggiuntive
- Esaminare le considerazioni e i problemi noti quando si usa Credential Guard