Рекомендации и известные проблемы при использовании Credential Guard
В дополнение к развертыванию Credential Guard организациям рекомендуется переходить от паролей к другим методам проверки подлинности, таким как Windows Hello для бизнеса, ключи безопасности FIDO 2 или смарт-карты.
Рекомендации по Wi-Fi и VPN
При включении Credential Guard вы больше не сможете использовать классическую проверку подлинности NTLM для единого входа. Вы будете вынуждены ввести свои учетные данные для использования этих протоколов и не сможете сохранить учетные данные для использования в будущем.
Если вы используете конечные точки Wi-Fi и VPN, основанные на MS-CHAPv2, они подвергаются атакам, аналогичным атакам, что и для NTLMv1.
Для подключений Wi-Fi и VPN рекомендуется перейти от подключений на основе MSCHAPv2 (например, PEAP-MSCHAPv2 и EAP-MSCHAPv2) на проверку подлинности на основе сертификата (например, PEAP-TLS или EAP-TLS).
Рекомендации по Kerberos
После того как вы включите Credential Guard, вы больше не сможете использовать неограниченное делегирование Kerberos и шифрование DES. Благодаря неограниченному делегированию злоумышленники могут извлечь ключи Kerberos из изолированного процесса LSA.
Вместо этого следует использовать ограниченное делегирование Kerberos или делегирование Kerberos на основе ресурсов.
Рекомендации по поставщикам поддержки безопасности сторонних производителей
Некоторые сторонние поставщики поддержки безопасности (SSP и APS) могут быть несовместимы с Credential Guard, так как они не разрешают SSP сторонних поставщиков услуг запрашивать хэши паролей из LSA. При этом SSP и AP все равно получают уведомление о пароле, когда пользователь входит в систему или меняет пароль. Любое использование недокументированных API в пользовательских SSP и APS не поддерживается.
Рекомендуется тестировать пользовательские реализации SSP/APS с помощью Credential Guard. SSP и AP, зависящие от недокументированного или неподдерживаемого поведения, использовать не удастся. Например, использование API KerbQuerySupplementalCredentialsMessage не поддерживается. Замена SSP NTLM или Kerberos другими SSP и AP.
Дополнительные сведения см. в разделе Ограничения по регистрации и установке пакета безопасности.
Рекомендации по обновлению
По мере увеличения глубины и широты защиты, предоставляемой Credential Guard, новые выпуски Windows с запущенной Credential Guard могут повлиять на сценарии, которые работали в прошлом. Например, Credential Guard может блокировать использование определенного типа учетных данных или определенного компонента, чтобы предотвратить использование уязвимостей вредоносными программами.
Тестовые сценарии, необходимые для операций в организации перед обновлением устройства с помощью Credential Guard.
Рекомендации по сохраненным учетным данным Windows
Диспетчер учетных данных позволяет хранить три типа учетных данных:
- Учетные данные Windows
- Учетные данные на основе сертификатов
- Универсальные учетные данные
Учетные данные домена, хранящиеся в диспетчере учетных данных, защищены с помощью Credential Guard.
Универсальные учетные данные, такие как имена пользователей и пароли, которые используются для входа на веб-сайты, не защищены, так как приложениям требуется пароль в виде ясного текста. Если приложению не нужна копия пароля, они могут сохранить учетные данные домена в качестве защищенных учетных данных Windows. Учетные данные Windows используются для подключения к другим компьютерам в сети.
В отношении данных, хранящихся в диспетчере учетных данных и защищенных с помощью Credential Guard, действуют следующие ограничения:
- Учетные данные Windows, сохраненные клиентом удаленного рабочего стола, не могут быть отправлены на удаленный узел. Попытки использовать сохраненные учетные данные Windows завершаются ошибкой. Отображается сообщение об ошибке Попытка входа завершилась ошибкой
- Приложения, извлекающие учетные данные Windows, завершаются сбоем
- При резервном копировании учетных данных с компьютера с включенным Credential Guard учетные данные Windows восстановить невозможно. Если вам нужно создать резервную копию учетных данных, это необходимо сделать, прежде чем включить Credential Guard.
Рекомендации по очистке доверенного платформенного модуля
Функция обеспечения безопасности на основе виртуализации использует доверенный платформенный модуль для защиты своего ключа. После очистки доверенного платформенного модуля ключ TPM, используемый для шифрования секретов VBS, теряется.
Warning
Очистка доверенного платформенного модуля приводит к потере защищенных данных всех функций, использующих VBS для защиты данных.
После очистки доверенного платформенного модуля все функции, использующие VBS для защиты данных, больше не смогут расшифровать свои защищенные данные.
В результате Credential Guard больше не может расшифровывать защищенные данные. VBS создает новый ключ, защищенный доверенным платформенным модулем, для Credential Guard. Credential Guard использует новый ключ для защиты новых данных. Однако ранее защищенные данные теряются безвозвратно.
Примечание.
Credential Guard получает ключ во время инициализации, Потеря данных повлияет только на постоянные данные и произойдет после следующего запуска системы.
Учетные данные Windows, сохраненные в диспетчере учетных данных
Так как диспетчер учетных данных не может расшифровать сохраненные учетные данные Windows, они удаляются. Приложения будут запрашивать ранее сохраненные учетные данные. При очередном сохранении учетные данные Windows защищаются Credential Guard.
Автоматически подготовленный открытый ключ устройства, присоединенного к домену
Присоединенные к домену устройства Active Directory автоматически подготавливают привязанный открытый ключ. Дополнительные сведения об автоматической подготовке открытого ключа см. в статье Проверка подлинности устройства с открытым ключом, присоединенного к домену.
Так как Credential Guard не может расшифровать защищенный закрытый ключ, Windows использует пароль компьютера, присоединенного к домену, для проверки подлинности в домене. Если не развернуты другие политики, не должно быть потери функциональности. Если устройство настроено для использования только открытого ключа, оно не сможет пройти проверку подлинности с помощью пароля, пока эта политика не будет отключена. Дополнительные сведения о настройке устройств для использования только открытого ключа см. в разделе Проверка подлинности открытого ключа устройства, присоединенного к домену.
Кроме того, если какие-либо проверки контроля доступа, включая политики проверки подлинности, требуют, чтобы устройства имели или KEY TRUST IDENTITY (S-1-18-4)FRESH PUBLIC KEY IDENTITY (S-1-18-3) хорошо известные идентификаторы безопасности, эти проверки доступа завершаются ошибкой. Дополнительные сведения о политиках проверки подлинности см. в разделе Политики проверки подлинности и приемники команд политик проверки подлинности. Дополнительные сведения об известных идентификаторах безопасности см. в разделе 2.4.2.4 [MS-DTYP] "Структуры известных идентификаторов безопасности".
Неисправность DPAPI на устройствах, присоединенных к домену
На устройствах, присоединенных к домену, DPAPI может восстановить ключи пользователей с помощью контроллера домена пользователя. Если присоединенное к домену устройство не имеет подключения к контроллеру домена, восстановление невозможно.
Важно.
При очистке доверенного платформенного модуля на устройстве, присоединенном к домену, рекомендуется обеспечить сетевое подключение к контроллерам домена. Это необходимо, чтобы интерфейс DPAPI работал исправно, а пользователь не сталкивался с ошибками в поведении.
Автоматическая конфигурация VPN защищена с использованием DPAPI пользователя. Пользователь может потерпеть неудачу при попытке подключения к контроллерам домена с помощью VPN, так как конфигурации VPN утеряны. При очистке доверенного платформенного модуля на устройстве, присоединенном к домену, без подключения к контроллерам домена необходимо учесть следующее.
Пользователь домена входит на присоединенное к домену устройство после очистки доверенного платформенного модуля до тех пор, пока нет подключения к контроллеру домена:
| Тип учетных данных | Поведение |
|---|---|
| Сертификат (смарт-карта или Windows Hello для бизнеса) | Все данные, защищенные с помощью пользовательского DPAPI, недоступны для использования, а DPAPI пользователя вообще не работает. |
| Пароль | Если пользователь вошел с помощью сертификата или пароля перед очисткой доверенного платформенного модуля, он может войти с паролем, и DPAPI пользователя не влияет. |
После подключения устройства к контроллерам домена DPAPI восстанавливает ключ пользователя, а данные, находившиеся под защитой до очистки доверенного платформенного модуля, можно расшифровать.
Влияние сбоев DPAPI на Windows Information Protection
Если данные, защищенные DPAPI пользователя, непригодны для использования, пользователь теряет доступ ко всем рабочим данным, находящимся под защитой Windows Information Protection. Влияние: Outlook не может запуститься, и рабочие защищенные документы не могут быть открыты. Если DPAPI работает, новые созданные рабочие данные защищены и доступны.
Решение. Для решения проблемы пользователи могут подключить устройство к домену и перезагрузить его или воспользоваться сертификатом агента восстановления данных шифрованной файловой системы. Дополнительные сведения о сертификате агента восстановления данных шифрованной файловой системы см. в разделе Создание и проверка сертификата агента восстановления данных (DRA) шифрованной файловой системы (EFS).
Известные проблемы
Credential Guard блокирует определенные возможности проверки подлинности. Приложения, которым требуются такие возможности, не будут работать при включении Credential Guard.
В этой статье описаны известные проблемы, возникающие при включении Credential Guard.
Единый вход для сетевых служб прерывается после обновления до Windows 11 версии 22H2.
Устройства, использующие беспроводные или проводные сети, RDP или VPN-подключения 802.1x, использующие небезопасные протоколы с проверкой подлинности на основе пароля, не могут использовать единый вход для входа и вынуждены вручную повторно проходить проверку подлинности в каждом новом сеансе Windows при запуске Credential Guard.
Затронутые устройства
Проблема может возникнуть на любом устройстве с включенным Credential Guard. В рамках обновления Windows 11 версии 22H2 соответствующие устройства, которые не отключали Credential Guard, включают его по умолчанию. Это повлияло на все устройства с лицензиями Enterprise (E3 и E5) и Education, а также на некоторые лицензии Pro, при условии, что они соответствуют минимальным требованиям к оборудованию.
Все устройства с Windows Pro, которые ранее работали под управлением Credential Guard по соответствующей лицензии, а затем были понижены до Pro и которые по-прежнему соответствуют минимальным требованиям к оборудованию, будут включено по умолчанию.
Совет
Чтобы определить, получает ли устройство Windows Pro включение по умолчанию при обновлении до Windows 11 версии 22H2, проверка, если раздел IsolatedCredentialsRootSecret реестра присутствует в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0.
Если он присутствует, устройство включает Credential Guard после обновления.
Вы можете отключить Credential Guard после обновления, следуя инструкциям по отключению.
Причина проблемы
На приложения и службы влияет проблема, когда они используют небезопасные протоколы, использующие проверку подлинности на основе пароля. Такие протоколы считаются небезопасными, так как они могут привести к раскрытию пароля на клиенте или сервере, а Credential Guard блокирует их. Затронутые протоколы:
- Неограниченное делегирование Kerberos (единый вход и предоставленные учетные данные заблокированы)
- Kerberos, когда PKINIT использует шифрование RSA вместо Diffie-Hellman (единый вход и предоставленные учетные данные блокируются)
- MS-CHAP (заблокирован только единый вход)
- WDigest (заблокирован только единый вход)
- NTLM версии 1 (заблокирован только единый вход)
Примечание.
Так как для MS-CHAP, WDigest и NTLM версии 1 заблокирован только единый вход, эти протоколы по-прежнему можно использовать, предлагая пользователю указать учетные данные.
Подтверждение проблемы
MS-CHAP и NTLMv1 относятся к прерыванию единого входа после обновления Windows 11 версии 22H2. Чтобы убедиться, что Credential Guard блокирует MS-CHAP или NTLMv1, откройте Просмотр событий (eventvwr.exe) и перейдите к Application and Services Logs\Microsoft\Windows\NTLM\Operational. Проверьте следующие журналы:
Идентификатор события (тип)
Описание
4013 (предупреждение)
<string
id="NTLMv1BlockedByCredGuard"
value="Attempt to use NTLMv1 failed.
Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID
of client process: %4%nName
of client process: %5%nLUID
of client process: %6%nUser identity
of client process: %7%nDomain name
of user identity of client process: %8%nMechanism OID: 9%n%n
This device doesn't support NTLMv1.
/>
4014 (ошибка)
<string
id="NTLMGetCredentialKeyBlockedByCredGuard"
value="Attempt to get credential key by call package blocked by Credential Guard.%n%n
Calling Process Name: %1%nService Host Tag: %2"
/>
Устранение проблемы
Рекомендуется перейти от подключений на основе MSCHAPv2, таких как PEAP-MSCHAPv2 и EAP-MSCHAPv2, к проверке подлинности на основе сертификатов, например PEAP-TLS или EAP-TLS. Credential Guard не блокирует проверку подлинности на основе сертификата.
Для более быстрого, но менее безопасного исправления отключите Credential Guard. Credential Guard не имеет политик для каждого протокола или приложения, и его можно включить или отключить. Если вы отключите Credential Guard, вы оставляете сохраненные учетные данные домена уязвимыми для кражи.
Совет
Чтобы запретить включение по умолчанию, настройте на устройствах отключение Credential Guard перед обновлением до Windows 11 версии 22H2. Если параметр не настроен (что является состоянием по умолчанию) и если устройство подходит, устройство автоматически включает Credential Guard после обновления.
Если Credential Guard явно отключен, устройство не будет автоматически включать Credential Guard после обновления.
Проблемы с приложениями сторонних корпораций
Следующая проблема влияет на MSCHAPv2:
Следующая проблема затрагивает Java GSS API. См. следующую статью базы данных ошибок Oracle:
Если Credential Guard включен в Windows, API Java GSS не проходит проверку подлинности. Credential Guard блокирует определенные возможности проверки подлинности приложений и не предоставляет ключ сеанса TGT приложениям, независимо от параметров раздела реестра. Дополнительные сведения см. в разделе Требования к приложениям.
Поддержка поставщика
Следующие продукты и службы не поддерживают Credential Guard:
- Check Point поддержка клиента Endpoint Security для функций Microsoft Credential Guard и целостности кода Hypervisor-Protected
- Ошибка "Рабочая станция VMware" и Device/Credential Guard несовместимы на рабочей станции VMware на узле Windows 10 (2146361)
- Поддержка ThinkPad для целостности кода Hypervisor-Protected и Credential Guard в Microsoft Windows
- Устройства Windows с Credential Guard и Symantec Endpoint Protection 12.1
Важно.
Этот список не является исчерпывающим. Проверьте, поддерживает ли поставщик продукта, версию продукта или компьютерную систему Credential Guard в системах под управлением определенной версии Windows. Определенные модели компьютерной системы могут быть несовместимы с Credential Guard.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по