Important
Starting with the April Windows security update (KB5055523), Credential Guard protected machine accounts is temporarily disabled in Windows Server 2025 and Windows 11, version 24H2. 由于使用 Kerberos 的计算机密码轮换出现问题,此功能已被禁用。 在永久修复可用之前,该功能将保持禁用状态。 若要了解有关计算机密码轮换问题的详细信息,请参阅 Windows Server 2025 已知问题和通知 文章。
最近的 Windows 功能,如安全隧道的灵活身份验证 (FAST) Kerberos 扩展,也称为 Kerberos Armoring,越来越依赖于计算机帐户来增强安全性。 机器帐户用于为客户端的密钥添加熵,gMSA 和 dMSA 服务帐户现在都依赖于机器帐户,并向其授予对服务帐户的访问权限。 但是,这种对机器帐户的依赖在服务帐户安全性方面造成了漏洞,因为机器帐户可以很容易地从注册表中提取出来,并用于访问高度安全的服务帐户。
为了增强服务帐户的安全性,现在在启用了 Credential Guard 的 Windows Server 2025 设备上,可以使用 Credential Guard 中的机器帐户选择加入功能。 采取措施解决这一问题至关重要。 此功能将机器账户凭据的存储从注册表转移到 Credential Guard,该功能为机器账户密码提供了一个单独的受信任执行环境。 通过确保以下方面来提高安全性:
- 无权限的用户、管理员或驱动程序无法访问密码。
- 计算机帐户的安全性得到了增强,这加强了 Active Directory (AD) 中服务帐户的整体安全性。
计算机标识隔离
启用计算机标识隔离允许对 AD 计算机帐户进行基于虚拟化的保护。 启用后,设备的计算机帐户凭据将重新定位到 Credential Guard 中。 因此,所有将来的计算机帐户身份验证(例如登录到已加入域的设备)都将通过 Credential Guard 路由。 但是,如果在设备重新启动后 Credential Guard 未能启动,则会导致无法完成域身份验证,这可能需要本地管理员帐户进行干预才能恢复。
机器身份隔离配置
若要启用计算机标识隔离配置设置,请打开组策略,并导航到以下路径,然后选择已启用:
- 计算机配置\管理模板\系统\设备保护\启用基于虚拟化的安全
此特定设置的可用选项包括:
Disabled: Turns off Machine Identity Isolation. 如果此策略以前设置为在审核模式下已启用,则无需执行进一步操作。 如果此策略以前设置为在强制模式下已启用,则设备必须解绑并重新加入域名,否则无法进行身份验证。
Note
如果禁用此设置时启用了本地缓存登录,则本地登录在缓存为最新时仍有效,但域身份验证会中断。
只能使用本地管理员帐户取消加入并重新加入计算机。
在审核模式下已启用:此选项在 Credential Guard 中创建新的机密,并将其复制到本地安全机构 (LSA)。 旧的 LSA 机密将被删除。 审核时,尝试对计算机标识进行身份验证会首先尝试在 Credential Guard 中使用副本。 如果前一步失败,身份验证会退回到使用 LSA 中的原始计算机标识。
Note
如果之前将策略设置为强制模式,则必须手动将设备移除并重新加入。
在强制模式下已启用:此选项将计算机帐户机密移动到 Credential Guard 中,并将其从 LSA 中删除。 这使得计算机帐户机密不可访问,除非 Credential Guard 用于计算机身份验证。
Not Configured: Leaves the policy setting undefined. 组策略不会将策略设置写入注册表,对计算机或用户没有影响。 如果注册表中存在当前设置,则不会对其进行修改。