共用方式為


Credential Guard 概觀

Credential Guard 藉由保護 NTLM 密碼哈希、Kerberos 票證授與票證 (TGT) ,以及應用程式儲存為網域認證的認證,來防止認證竊取攻擊。

Credential Guard 會使用 虛擬化型安全性 (VBS) 來隔離秘密,以便只有具特殊許可權的系統軟體可以存取它們。 未經授權存取這些秘密可能會導致認證竊取攻擊 ,例如傳遞哈希傳遞票證

啟用時,Credential Guard 提供下列優點:

  • 硬體安全性:NTLM、Kerberos 和認證管理員會利用平臺安全性功能,包括安全開機和虛擬化,以保護認證
  • 虛擬化型安全性:NTLM、Kerberos 衍生認證和其他秘密會在受保護的環境中執行,而受保護的環境與執行中的操作系統隔離
  • 防範進階持續性威脅:使用 VBS保護認證時,會封鎖許多目標攻擊中使用的認證竊取攻擊技術和工具。 在操作系統中以系統管理許可權執行的惡意代碼無法擷取受 VBS 保護的秘密

注意

雖然 Credential Guard 是功能強大的防護功能,但持續性威脅攻擊可能會轉移到新的攻擊技術,而且您也應該納入其他安全策略和架構。

默認啟用

Windows 11 開始,22H2Windows Server 2025 預設會在符合需求的裝置上啟用 VBS 和 Credential Guard。

默認啟用 沒有 UEFI 鎖定,因此可讓系統管理員視需要從遠端停用 Credential Guard。

啟用 Credential Guard 時,也會自動啟用 VBS

注意

如果在裝置更新為 Windows 11 22H2/Windows Server 2025 或更新版本之前,已明確用 Credential Guard,默認啟用不會覆寫現有的設定。 即使更新為默認啟用 Credential Guard 的 Windows 版本,該裝置仍會繼續停用 Credential Guard。

Windows 上的預設啟用

執行 Windows 11、22H2 或更新版本的裝置預設會啟用 Credential Guard,如果是:

注意

如果執行 Windows 11 專業版/Pro Edu 22H2 或更新版本的裝置符合其他默認啟用需求,且先前已執行 Credential Guard,則 VBS) 和/或 Credential Guard 可能會自動啟用虛擬化型安全性 (。 例如,如果在稍後降級為 Pro 的企業裝置上啟用 Credential Guard。

若要判斷 Pro 裝置是否處於此狀態,請檢查下列登錄機碼是否存在: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。 在此案例中,如果您想要停用 VBS 和 Credential Guard,請依照指示停用 虛擬化型安全性。 如果您只想要停用 Credential Guard,而不停用 VBS,請使用停用 Credential Guard 的程式。

Windows Server 上的預設啟用

執行 Windows Server 2025 或更新版本的裝置預設會啟用 Credential Guard::

重要

如需與默認啟用相關的已知問題資訊,請參閱 Credential Guard:已知問題

系統需求

若要讓 Credential Guard 提供保護,裝置必須符合特定硬體、韌體和軟體需求。

超過最低硬體和韌體資格的裝置會獲得額外的保護,並更強化以抵禦特定威脅。

硬體與軟體需求

Credential Guard 需要下列功能:

雖然並非必要,但建議使用下列功能來提供額外的保護:

  • 信賴平臺模組 (TPM) ,因為它提供硬體系結。 支援 TPM 1.2 和 2.0 版,包括離散或韌體
  • UEFI 鎖定,因為它可防止攻擊者使用登錄機碼變更來停用 Credential Guard

如需與硬體和韌體選項相關聯之改善安全性保護的詳細資訊,請參閱 其他安全性資格

虛擬機中的 Credential Guard

Credential Guard 可以保護 Hyper-V 虛擬機中的秘密,就像在實體機器上一樣。 在 VM 上啟用 Credential Guard 時,會保護秘密免於遭受 VM 的攻擊。 Credential Guard 不會提供保護,以防止來自主機的特殊許可權系統攻擊。

在 Hyper-V 虛擬機中執行 Credential Guard 的需求如下:

  • Hyper-V 主機必須有 IOMMU
  • Hyper-V 虛擬機必須是第 2 代

注意

Hyper-V 或 Azure 第 1 代 VM 不支援 Credential Guard。 Credential Guard 僅適用於第 2 代 VM。

Windows 版本和授權需求

下表列出支援 Credential Guard 的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

Credential Guard 授權權利由下列授權授與:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀

應用程式需求

啟用 Credential Guard 時,會封鎖某些驗證功能。 需要這類功能的應用程式會中斷。 我們將這些需求稱為 應用程式需求

部署之前應先測試應用程式,以確保與降低功能的相容性。

警告

不建議在域控制器上啟用 Credential Guard。 Credential Guard 不會為域控制器提供任何新增的安全性,而且可能會在域控制器上造成應用程式相容性問題。

注意

Credential Guard 不會為 Active Directory 資料庫或安全性帳戶管理員 (SAM) 提供保護。 Kerberos 和 NTLM 在啟用 Credential Guard 時所保護的認證同樣都在 Active Directory 資料庫 (位於網域控制站) 和 SAM (位於本機帳戶) 中。

應用程式會在需要時中斷:

  • Kerberos DES 加密支援
  • Kerberos 未設限委派
  • Kerberos TGT 擷取
  • NTLMv1

應用程式會在需要時詢問認證並公開其風險:

  • 摘要式驗證
  • 認證委派
  • MS-CHAPv2
  • CredSSP

當應用程式嘗試連結隔離的 Credential Guard 程式 LSAIso.exe時,可能會造成效能問題。

依賴 Kerberos 的服務或通訊協定,例如檔案共用或遠端桌面,會繼續運作,且不受 Credential Guard 影響。

後續步驟