Credential Guard 會保護 NTLM 密碼雜湊、Kerberos 票證授與票證 (TGT) ,以及應用程式儲存為網域認證的認證,以防止認證竊取攻擊。
Credential Guard 會使用 虛擬化型安全性 (VBS) 來隔離秘密,以便只有特殊許可權系統軟體才能存取它們。 未經授權存取這些秘密可能會導致憑證竊取攻擊,例如 傳遞雜湊 和 傳遞票證。
啟用時,Credential Guard 提供下列優點:
- 硬體安全性:NTLM、Kerberos 和認證管理員利用平台安全性功能,包括安全開機和虛擬化,來保護認證
- 虛擬化型安全性:NTLM、Kerberos 衍生認證和其他秘密會在與執行中的作業系統隔離的受保護環境中執行
- 防範進階持續性威脅:使用 VBS 保護認證時,會封鎖許多目標攻擊中使用的認證竊取攻擊技術和工具。 在具有系統管理許可權的作業系統中執行的惡意代碼無法擷取受 VBS 保護的秘密
注意
雖然 Credential Guard 是一種強大的緩解措施,但持續的威脅攻擊可能會轉移到新的攻擊技術,而且您還應該合併其他安全策略和架構。
預設啟用
從 Windows 11、22H2 和 Windows Server 2025 開始,預設會在符合需求的裝置上啟用 VBS 和 Credential Guard。
預設啟用沒有 UEFI 鎖定,因此系統管理員可以視需要從遠端停用 Credential Guard。
啟用 Credential Guard 時, VBS 也會自動啟用。
注意
如果在裝置更新至 Windows 11 版本 22H2/Windows Server 2025 或更新版本之前明確停用 Credential Guard,則預設啟用不會覆寫現有的設定。 即使更新至預設啟用 Credential Guard 的 Windows 版本,該裝置仍會繼續停用 Credential Guard。
Windows 上的預設啟用
執行 Windows 11、22H2 或更新版本的裝置預設會啟用 Credential Guard,如果它們:
- 符合 授權要求
- 滿足 硬體和軟體需求
- 未 明確設定為停用 Credential Guard
注意
執行 Windows 11 專業版/Pro Edu 22H2 或更新版本的裝置,如果符合預設啟用的其他需求,且先前已執行 Credential Guard,則可能會自動啟用虛擬化型安全性 (VBS) 和/或 Credential Guard。 例如,如果在後來降級為 Pro 的企業裝置上啟用了 Credential Guard。
若要判斷 Pro 裝置是否處於此狀態,請檢查下列登錄機碼是否存在:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。 如果您想要停用 Credential Guard,請參閱 設定 Credential Guard。
Windows Server 上的預設啟用
執行 Windows Server 2025 或更新版本的裝置預設會啟用 Credential Guard,如果它們:
- 符合 授權要求
- 滿足 硬體和軟體需求
- 未 明確設定為停用 Credential Guard
- 已加入網域
- 不是網域控制站
重要
如需與預設啟用相關的已知問題的相關資訊,請參閱 Credential Guard:已知問題。
系統需求
若要讓 Credential Guard 提供保護,裝置必須符合特定硬體、韌體和軟體需求。
超過最低硬體和韌體資格的裝置會獲得額外的保護,並且針對某些威脅更加堅固。
硬體與軟體需求
Credential Guard 需要下列功能:
雖然不是必需的,但建議使用下列功能來提供額外的保護:
- 信任平臺模組 (TPM) ,因為它提供與硬體的繫結。 支援 TPM 1.2 和 2.0 版,無論是離散或韌體
- UEFI 鎖定,因為它可防止攻擊者使用登錄機碼變更來停用 Credential Guard
如需與硬體和韌體選項相關聯的改善安全性保護的詳細資訊,請參閱 其他安全性資格。
虛擬機器中的 Credential Guard
Credential Guard 可以保護 Hyper-V 虛擬機器中的秘密,就像在實體機器上一樣。 在 VM 上啟用 Credential Guard 時,會保護秘密免受 VM 內 的攻擊。 Credential Guard 不會提供來自主機的特殊許可權系統攻擊的保護。
在 Hyper-V 虛擬機器中執行 Credential Guard 的需求如下:
- Hyper-V 主機必須具有 IOMMU
- Hyper-V 虛擬機必須是第 2 代
注意
Hyper-V 或 Azure 第 1 代 VM 不支援 Credential Guard。 Credential Guard 僅適用於第 2 代 VM。
Windows 版本和授權需求
下表列出支援 Credential Guard 的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
Credential Guard 授權權利由下列授權授與:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
應用程式需求
啟用 Credential Guard 時,會封鎖某些驗證功能。 需要這類功能的應用程式會中斷。 我們將這些要求稱為 應用程式要求。
應用程式應該在部署之前進行測試,以確保與縮減的功能相容。
警告
不建議在網域控制站上啟用 Credential Guard。 Credential Guard 不會為網域控制站提供任何額外的安全性,而且可能會導致網域控制站上的應用程式相容性問題。
不支援在 Exchange Server 上啟用 Credential Guard,而且可能會導致效能問題。
注意
Credential Guard 不會為 Active Directory 資料庫或 SAM) (安全性帳戶管理員提供保護。 Kerberos 和 NTLM 在啟用 Credential Guard 時所保護的認證同樣都在 Active Directory 資料庫 (位於網域控制站) 和 SAM (位於本機帳戶) 中。
如果需要,則應用程式會中斷:
- Kerberos DES 加密支援
- Kerberos 未設限委派
- Kerberos TGT 擷取
- NTLMv1
如果應用程式需要,則會詢問認證並將其暴露給風險:
- 摘要式驗證
- 認證委派
- MS-CHAPv2
- CredSSP
應用程式嘗試連結隔離的 Credential Guard 程序 LSAIso.exe時,可能會導致效能問題。
依賴 Kerberos 的服務或通訊協定,例如檔案共用或遠端桌面,會繼續運作,且不受 Credential Guard 的影響。
後續步驟
- 瞭解 Credential Guard 的運作方式
- 瞭解 如何設定 Credential Guard
- 檢閱建議和範例程式碼,以使用 其他風險降低 一文中的 Credential Guard 讓您的環境更安全且健全
- 檢閱 使用 Credential Guard 時的考量和已知問題