Credential Guard 概觀
Credential Guard 藉由保護 NTLM 密碼哈希、Kerberos 票證授與票證 (TGT) ,以及應用程式儲存為網域認證的認證,來防止認證竊取攻擊。
Credential Guard 會使用 虛擬化型安全性 (VBS) 來隔離秘密,以便只有具特殊許可權的系統軟體可以存取它們。 未經授權存取這些秘密可能會導致認證竊取攻擊 ,例如傳遞哈希 並 傳遞票證。
啟用時,Credential Guard 提供下列優點:
- 硬體安全性:NTLM、Kerberos 和認證管理員會利用平臺安全性功能,包括安全開機和虛擬化,以保護認證
- 虛擬化型安全性:NTLM、Kerberos 衍生認證和其他秘密會在受保護的環境中執行,而受保護的環境與執行中的操作系統隔離
- 防範進階持續性威脅:使用 VBS保護認證時,會封鎖許多目標攻擊中使用的認證竊取攻擊技術和工具。 在操作系統中以系統管理許可權執行的惡意代碼無法擷取受 VBS 保護的秘密
注意
雖然 Credential Guard 是功能強大的防護功能,但持續性威脅攻擊可能會轉移到新的攻擊技術,而且您也應該納入其他安全策略和架構。
默認啟用
從 Windows 11 開始,22H2 和 Windows Server 2025 預設會在符合需求的裝置上啟用 VBS 和 Credential Guard。
默認啟用 沒有 UEFI 鎖定,因此可讓系統管理員視需要從遠端停用 Credential Guard。
啟用 Credential Guard 時,也會自動啟用 VBS 。
注意
如果在裝置更新為 Windows 11 22H2/Windows Server 2025 或更新版本之前,已明確停用 Credential Guard,默認啟用不會覆寫現有的設定。 即使更新為默認啟用 Credential Guard 的 Windows 版本,該裝置仍會繼續停用 Credential Guard。
Windows 上的預設啟用
執行 Windows 11、22H2 或更新版本的裝置預設會啟用 Credential Guard,如果是:
- 符合 授權需求
- 符合 硬體和軟體需求
- 未 明確設定為停用 Credential Guard
注意
如果執行 Windows 11 專業版/Pro Edu 22H2 或更新版本的裝置符合其他默認啟用需求,且先前已執行 Credential Guard,則 VBS) 和/或 Credential Guard 可能會自動啟用虛擬化型安全性 (。 例如,如果在稍後降級為 Pro 的企業裝置上啟用 Credential Guard。
若要判斷 Pro 裝置是否處於此狀態,請檢查下列登錄機碼是否存在: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。 在此案例中,如果您想要停用 VBS 和 Credential Guard,請依照指示停用 虛擬化型安全性。 如果您只想要停用 Credential Guard,而不停用 VBS,請使用停用 Credential Guard 的程式。
Windows Server 上的預設啟用
執行 Windows Server 2025 或更新版本的裝置預設會啟用 Credential Guard::
- 符合 授權需求
- 符合 硬體和軟體需求
- 未 明確設定為停用 Credential Guard
- 加入網域
- 不是域控制器
重要
如需與默認啟用相關的已知問題資訊,請參閱 Credential Guard:已知問題。
系統需求
若要讓 Credential Guard 提供保護,裝置必須符合特定硬體、韌體和軟體需求。
超過最低硬體和韌體資格的裝置會獲得額外的保護,並更強化以抵禦特定威脅。
硬體與軟體需求
Credential Guard 需要下列功能:
雖然並非必要,但建議使用下列功能來提供額外的保護:
- 信賴平臺模組 (TPM) ,因為它提供硬體系結。 支援 TPM 1.2 和 2.0 版,包括離散或韌體
- UEFI 鎖定,因為它可防止攻擊者使用登錄機碼變更來停用 Credential Guard
如需與硬體和韌體選項相關聯之改善安全性保護的詳細資訊,請參閱 其他安全性資格。
虛擬機中的 Credential Guard
Credential Guard 可以保護 Hyper-V 虛擬機中的秘密,就像在實體機器上一樣。 在 VM 上啟用 Credential Guard 時,會保護秘密免於遭受 VM 內 的攻擊。 Credential Guard 不會提供保護,以防止來自主機的特殊許可權系統攻擊。
在 Hyper-V 虛擬機中執行 Credential Guard 的需求如下:
- Hyper-V 主機必須有 IOMMU
- Hyper-V 虛擬機必須是第 2 代
注意
Hyper-V 或 Azure 第 1 代 VM 不支援 Credential Guard。 Credential Guard 僅適用於第 2 代 VM。
Windows 版本和授權需求
下表列出支援 Credential Guard 的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
Credential Guard 授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
應用程式需求
啟用 Credential Guard 時,會封鎖某些驗證功能。 需要這類功能的應用程式會中斷。 我們將這些需求稱為 應用程式需求。
部署之前應先測試應用程式,以確保與降低功能的相容性。
警告
不建議在域控制器上啟用 Credential Guard。 Credential Guard 不會為域控制器提供任何新增的安全性,而且可能會在域控制器上造成應用程式相容性問題。
注意
Credential Guard 不會為 Active Directory 資料庫或安全性帳戶管理員 (SAM) 提供保護。 Kerberos 和 NTLM 在啟用 Credential Guard 時所保護的認證同樣都在 Active Directory 資料庫 (位於網域控制站) 和 SAM (位於本機帳戶) 中。
應用程式會在需要時中斷:
- Kerberos DES 加密支援
- Kerberos 未設限委派
- Kerberos TGT 擷取
- NTLMv1
應用程式會在需要時詢問認證並公開其風險:
- 摘要式驗證
- 認證委派
- MS-CHAPv2
- CredSSP
當應用程式嘗試連結隔離的 Credential Guard 程式 LSAIso.exe時,可能會造成效能問題。
依賴 Kerberos 的服務或通訊協定,例如檔案共用或遠端桌面,會繼續運作,且不受 Credential Guard 影響。
後續步驟
- 瞭解 Credential Guard 的運作方式
- 瞭解 如何設定 Credential Guard
- 請參閱 其他防護 功能文章中的 Credential Guard 建議和範例程式代碼,讓您的環境更安全且更健全
- 檢閱使用 Credential Guard 時的考慮和已知問題