Proteger credenciais de domínio derivadas com o Windows Defender Credential Guard

Windows Defender Credential Guard usa a segurança baseada em virtualização para isolar segredos para que somente o software do sistema privilegiado possa accessá-los. O acesso não autorizado a esses segredos pode levar a ataques de roubo de credenciais, como os ataques Pass-the-Hash ou Pass-The-Ticket. O Windows Defender Credential Guard evita esses ataques protegendo hashes de senha NTLM, tíquetes de concessão de tíquete Kerberos e credenciais armazenadas por aplicativos como credenciais de domínio.

Quando o Windows Defender Credential Guard é habilitado, os seguintes recursos e soluções são fornecidos:

  • Segurança de hardware o NTLM, o Kerberos e o Gerenciador de Credenciais tirar proveito dos recursos de segurança da plataforma, incluindo Inicialização Segura e virtualização, para proteger as credenciais.
  • Segurança baseada em virtualização Credenciais derivadas do Windows NTLM e do Kerberos e outros segredos são executados em um ambiente protegido que é isolado do sistema operacional em execução.
  • Melhor proteção contra ameaças avançadas persistentes Quando credenciais de domínio do Gerenciador de Credenciais e credenciais derivadas do NTLM e do Kerberos são protegidas usando a segurança baseada em virtualização, as técnicas de ataque de roubo de credenciais e as ferramentas usadas em muitos ataques direcionados são bloqueados. O malware com privilégios administrativos em execução no sistema operacional não pode extrair segredos protegidos pela segurança baseada em virtualização. Embora Windows Defender Credential Guard seja uma mitigação poderosa, os ataques de ameaças persistentes provavelmente mudarão para novas técnicas de ataque e você também deverá incorporar outras estratégias e arquiteturas de segurança.