重要
从 4 月 Windows 安全更新(KB5055523)开始,Windows Server 2025 和 Windows 11 版本 24H2 中会暂时禁用 Credential Guard 保护的计算机帐户。 由于使用 Kerberos 的计算机密码轮换出现问题,此功能已被禁用。 在永久修复可用之前,该功能将保持禁用状态。 若要了解有关计算机密码轮换问题的详细信息,请参阅 Windows Server 2025 已知问题和通知 文章。
最近的 Windows 功能,如安全隧道的灵活身份验证 (FAST) Kerberos 扩展,也称为 Kerberos Armoring,越来越依赖于计算机帐户来增强安全性。 机器帐户用于为客户端的密钥添加熵,gMSA 和 dMSA 服务帐户现在都依赖于机器帐户,并向其授予对服务帐户的访问权限。 但是,这种对机器帐户的依赖在服务帐户安全性方面造成了漏洞,因为机器帐户可以很容易地从注册表中提取出来,并用于访问高度安全的服务帐户。
为了增强服务帐户的安全性,现在在启用了 Credential Guard 的 Windows Server 2025 设备上,可以使用 Credential Guard 中的机器帐户选择加入功能。 采取措施解决这一问题至关重要。 此功能将机器账户凭据的存储从注册表转移到 Credential Guard,该功能为机器账户密码提供了一个单独的受信任执行环境。 通过确保以下方面来提高安全性:
- 无权限的用户、管理员或驱动程序无法访问密码。
- 计算机帐户的安全性得到了增强,这加强了 Active Directory (AD) 中服务帐户的整体安全性。
计算机标识隔离
启用计算机标识隔离允许对 AD 计算机帐户进行基于虚拟化的保护。 启用后,设备的计算机帐户凭据将重新定位到 Credential Guard 中。 因此,所有将来的计算机帐户身份验证(例如登录到已加入域的设备)都将通过 Credential Guard 路由。 但是,如果在设备重新启动后 Credential Guard 未能启动,则会导致无法完成域身份验证,这可能需要本地管理员帐户进行干预才能恢复。
机器身份隔离配置
若要启用计算机标识隔离配置设置,请打开组策略,并导航到以下路径,然后选择已启用:
- 计算机配置\管理模板\系统\设备保护\启用基于虚拟化的安全
此特定设置的可用选项包括:
已禁用:关闭计算机标识隔离。 如果此策略以前设置为在审核模式下已启用,则无需执行进一步操作。 如果此策略以前设置为在强制模式下已启用,则设备必须解绑并重新加入域名,否则无法进行身份验证。
备注
如果禁用此设置时启用了本地缓存登录,则本地登录在缓存为最新时仍有效,但域身份验证会中断。
只能使用本地管理员帐户取消加入并重新加入计算机。
在审核模式下已启用:此选项在 Credential Guard 中创建新的机密,并将其复制到本地安全机构 (LSA)。 旧的 LSA 机密将被删除。 审核时,尝试对计算机标识进行身份验证会首先尝试在 Credential Guard 中使用副本。 如果前一步失败,身份验证会退回到使用 LSA 中的原始计算机标识。
备注
如果之前将策略设置为强制模式,则必须手动将设备移除并重新加入。
在强制模式下已启用:此选项将计算机帐户机密移动到 Credential Guard 中,并将其从 LSA 中删除。 这使得计算机帐户机密不可访问,除非 Credential Guard 用于计算机身份验证。
未配置:将策略设置保留为未定义。 组策略不会将策略设置写入注册表,对计算机或用户没有影响。 如果注册表中存在当前设置,则不会对其进行修改。