Hvad er Credential Guard, og hvordan kontrollerer man, om det er aktiveret

Beskyttelse af legitimationsoplysninger i Windows er blevet en kritisk opgave for enhver virksomhed, der tager cybersikkerhed alvorligt. Hver gang en bruger logger ind, genereres og gemmes legitimationsoplysninger. ekstremt værdifulde autentificeringshemmeligheder (hashes, tickets, tokens osv.), som, hvis de falder i hænderne på en angriber, giver dem mulighed for at bevæge sig rundt på netværket, som om de var en legitim bruger. Det er netop her, Credential Guard kommer i spil.

Windows Defender Credential Guard er en sikkerhedsfunktion, der udnytter Virtualiseringsbaseret sikkerhed (VBS) at isolere disse hemmeligheder og forhindre det "normale" operativsystem eller malware med forhøjede rettigheder i at få adgang til dem. Selvom det ikke er en mirror bullet og ikke dækker alle typer legitimationsoplysninger eller alle angrebsvektorer, reducerer det drastisk effektiviteten af ​​klassiske teknikker som f.eks. Pass-the-Hash og Giv-the-Ticket-Billetten-I-Vejsåvel som værktøjer som Mimikatz i mange scenarier.

Hvad er Windows Defender Credential Guard præcist?

Credential Guard er en Windows-funktion designet til at Beskyt domænelegitimationsoplysninger og andre godkendelseshemmeligheder Denne teknologi beskytter mod angreb, der forsøger at læse dem direkte fra systemhukommelsen. Den optrådte først i Windows 10 Enterprise og Windows Server 2016 og findes stadig i senere versioner af Windows 11 og Windows Server.

Generelt set er Credential Guard afhængig af VBS til at udføre en del af sikkerhedsprocessen i en miljø isoleret af hypervisoren, adskilt fra det primære operativsystem. I stedet for hemmelighederne, der ligger direkte i hukommelsen i den traditionelle Local Security Authority (LSA)-proces (lsass.exe), gemmes i en beskyttet og uafhængig proces, normalt administreret af LsaIso.exe, som kun kan tilgås med den mest privilegerede og betroede kode.

Denne adskillelse har til formål at forhindre malware, der har opnået administratorrettigheder, i blot at dump LSASS-hukommelsen at udtrække NTLM-hashes, Kerberos-tickets eller legitimationsoplysninger, der er gemt i Credential Manager. Tilgangen er ikke at ændre godkendelsesprotokollerne, men at for at sikre hvor og hvordan legitimationsoplysninger gemmes i hukommelsen.

Hemmeligheder og tjenester beskyttet af Credential Guard

Funktionen beskytter forskellige typer legitimationsoplysninger, der traditionelt har været et primært mål for angribere. Blandt de hemmeligheder, som Credential Guard beskytter, er primært dem, der er relateret til:

• NTLMNTLM-adgangskodehashes brugt til godkendelse.
• KerberosSpecifikt Ticket Granting Ticket (TGT), som giver dig mulighed for at anmode om andre servicesager.
• Legitimationsadministratordomænelegitimationsoplysninger gemt af applikationer og tjenester.
• Lokale og eksterne logins som afhænger af domænelegitimationsoplysninger.

I tidligere versioner af Windows lå disse hemmeligheder i proceshukommelsen. LSASS på en tilgængelig måde for en angriber med forhøjede rettigheder. Når Credential Guard er aktiveret, kører en isoleret LSA-proces, der ikke direkte eksponerer disse hemmeligheder for værktøjer, der forsøger at læse standardoperativsystemets hukommelse.

Sådan fungerer virtualiseringsbaseret sikkerhed (VBS) og virtuel sikker tilstand (VSM)

Nøglen til Credential Guard er VBS, en teknologi der bruger Windows hypervisor til at oprette isolerede udførelsesmiljøer inden for den samme fysiske maskine. Inden for dette miljø, ofte kaldet Virtual Secure Mode (VSM), kører sikkerhedstjenester, der administrerer godkendelseshemmeligheder.

Når Credential Guard er aktiv, gemmes hemmeligheder i hukommelsen i VSM og ikke i normal hukommelsesplads i operativsystemetHypervisoren sikrer, at kun højt privilegeret og verificeret kode kan få adgang til dem. På denne måde reduceres chancerne for at læse disse hemmeligheder direkte, selvom en angriber formår at kompromittere operativsystemet med administratorrettigheder, kraftigt.

På moderne hardware, der inkluderer en kompatibel TPM 2.0, kan VSM-persistente data krypteres med en VSM-hovednøgleDenne nøgle gemmes og beskyttes af TPM'en og dens rodmekanismer på firmwareniveau. Som følge heraf, selvom nogen forsøger at manipulere med opstartsprocessen eller klone en disk, Du vil ikke kunne få adgang til beskyttede hemmeligheder uden for et verificeret miljø..

Det er også vigtigt at bemærke, at Credential Guard typisk ikke gemmer data som følgende på disken: NTLM-hash eller TGTDisse regenereres ved hvert login og går tabt mellem genstarter, så de er ikke direkte afhængige af VSM-masternøglen eller TPM'en for at forblive sikre efter en nedlukning.

Begrænsninger og legitimationsoplysninger, som Credential Guard ikke beskytter

Trods sine fordele har Credential Guard klare begrænsninger, der skal forstås For at undgå overdreven selvtillid. Der er legitimationsoplysninger og godkendelsesflows, der falder uden for dens beskyttelsesområde, eller som simpelthen ikke fungerer på samme måde, når funktionen er aktiv.

På den ene side, når Credential Guard er aktiveret, vil visse ældre protokoller som f.eks. NTLMv1, MS-CHAPv2, Digest og CredSSP De kan ikke bruge legitimationsoplysninger fra en allerede logget session. Det betyder, at single sign-on (SSO) med disse protokoller holder op med at virke. Programmer, der er afhængige af dem, skal muligvis bede om et brugernavn og en adgangskode igen eller bruge legitimationsoplysninger, der er gemt i Windows Store. som i disse tilfælde ikke er beskyttet af Credential Guard.

Derudover er der metoder til administration af legitimationsoplysninger, der falder helt uden for denne funktions omfang, såsom:

• Tredjepartssoftware der lagrer adgangskoder eller tokens uden for den almindelige Windows-infrastruktur.
• Lokale konti og Microsoft-konti, som ikke har den samme type isolation som domænelegitimationsoplysninger.
• Active Directory-databaser hostes på Windows Server-domænecontrollere. Credential Guard beskytter ikke direkte Active Directory-databasen eller pipelines for legitimationsoplysninger i tjenester som f.eks. Remote Desktop Gateway.
• Keyloggere og andre inputoptagelsesenheder: Hvis angriberen optager tastetryk, kan de stjæle adgangskoden, før den overhovedet er gemt i LSASS eller sandkassen.
• Fysiske angreb til udstyret (for eksempel hot memory-adgang eller disklæsning ved hjælp af avancerede teknikker).

Det skal også bemærkes, at Credential Guard ikke forhindrer en angriber, der allerede har malware på maskinen, i at få adgang. Brug privilegierne for gyldige legitimationsoplysninger der blev indhentet på alternative måder. Hvis en administrator f.eks. logger ind på en allerede kompromitteret maskine, kan angriberen udnytte deres aktive session til at udføre handlinger med deres tilladelser, selvom de ikke er i stand til at udtrække NTLM-hashen fra sandbox-miljøet.

På den anden side, den cachelagrede loginoplysninger Windows-logins (ofte kaldet "cachelagrede logins") falder heller ikke ind under kategorien genanvendelige legitimationsoplysninger på andre computere. De gemmes i den lokale registreringsdatabase og bruges kun til at validere logins, når domænet ikke er tilgængeligt. Disse administreres af sikkerhedspolitikken "Interaktiv logon: Antal tidligere logons, der skal caches", og De er ikke specifikt beskyttet af Credential Guard.

Endelig, den Kerberos-servicekuponer De er ikke beskyttet af Credential Guard, selvom TGT er. Og når Credential Guard er aktiv, tillader Kerberos ikke ubegrænset delegering eller DES-kryptering, hverken for initierede legitimationsoplysninger eller for anmodede eller gemte legitimationsoplysninger.

Fordele mod angreb på legitimationsoplysninger

Hovedformålet med Credential Guard er at stoppe angreb på "tyveri og genbrug" af legitimationsoplysninger, især:

• Pass-the-HashGenbrug af stjålne NTLM-hashes til godkendelse på andre systemer.
• Giv-the-Ticket-Billetten-Ikke-Send-Ticket ...Misbrug af Kerberos-billetter (TGT eller tjeneste) hentet fra en kompromitteret maskine.

Ved at isolere hemmeligheder i VSM og begrænse, hvem der kan få adgang til dem, blokeres mange af de teknikker, der udnytter værktøjer som Mimikatz. dump LSASS-hukommelsenI et miljø uden Credential Guard kan Mimikatz udtrække NTLM-hashes og Kerberos-tickets uden større besvær, når angriberen har administratorrettigheder. Med Credential Guard aktiveret forhindrer den isolerede LSA-proces, at disse hemmeligheder er tilgængelige i hukommelsen, der er tilgængelig fra standardoperativsystemet.

Alligevel er det vigtigt at forstå, at Credential Guard ikke er usårlig. Mimikatz og lignende værktøjer kan stadig, for eksempel, indfange legitimationsoplysninger, mens de indtastesHvis systemet allerede er kompromitteret, og den privilegerede bruger logger ind bagefter, har Mimikatz' forfatter advaret om, at hvis angriberen får kontrol over endpointen, før administratoren indtaster deres legitimationsoplysninger, er der stadig måder at stjæle dem på. Derudover beskytter Credential Guard ikke mod ondsindet brug af legitimationsoplysninger af... legitime interne brugereHvis nogen har autoriseret adgang til en ressource, vil denne teknologi ikke forhindre dem i at kopiere følsomme data.

Aktiveret som standard i Windows 11 og Windows Server

I nyere versioner af systemet er Microsoft gået et skridt videre og har muliggjort kombinationen af VBS og Credential Guard på visse enheder. Fra og med Windows 11, version 22H2 og Windows Server 2025, aktiveres disse funktioner automatisk på computere, der opfylder minimumskravene.

Fabriksindstillingen udføres normalt uden UEFI-låsDet betyder, at administratorer kan deaktivere Credential Guard eksternt, hvis de finder det nødvendigt, for eksempel på grund af en kritisk inkompatibilitet med en ældre applikation. Når Credential Guard er aktiveret, aktiveres VBS også automatisk.

Det er vigtigt at vide, at hvis et team allerede havde Credential Guard eksplicit deaktiveret Før opgradering til en version af Windows, hvor funktionen er aktiveret som standard, opretholdes tilstanden "deaktiveret" efter opgraderingen. Den eksplicitte politik har altid forrang over standardadfærden efter en genstart.

Krav til hardware, firmware og software

For at Credential Guard kan tilbyde effektiv beskyttelse, skal enheden overholde Minimumskrav til hardware, firmware og operativsystemJo mere moderne og komplet hardwaren er, desto højere beskyttelsesniveau kan opnås.

Nøglekrav omfatter:

• 64-bit CPU, med understøttelse af hardwarevirtualisering.
• Virtualiseringsbaseret sikkerhed aktiveret (VBS).
• Sikker opstart aktiveret og konfigureret.

Derudover, selvom det ikke altid er obligatorisk, anbefales det kraftigt at have:

• TPM (Trusted Platform Module) version 1.2 eller 2.0, enten separat eller firmware, for at forbinde beskyttelse til hardware og opbevare masternøgler sikkert.
• UEFI-låshvilket forhindrer en angriber i at deaktivere Credential Guard blot ved at ændre poster i registreringsdatabasen eller lave konfigurationsændringer.

Hold, der opfylder disse grundlæggende krav, kan være berettigede til yderligere sikkerhedsvurderinger og højere beskyttelsesniveauer mod trusler, der forsøger at udnytte bootkæden eller direkte adgang til hukommelsen.

Brug af Credential Guard på virtuelle Hyper-V-maskiner

Credential Guard kan også beskytte hemmeligheder i virtuelle maskiner, der kører på Hyper-V, ligesom det gør på fysisk hardware. Når hemmeligheder er aktiveret i en VM, isoleres de fra angreb, der stammer fra inden for den samme virtuelle maskine.

Der er dog vigtige nuancer: Credential Guard yder ikke beskyttelse mod angreb med forhøjede rettigheder, der udføres fra vært som den virtuelle maskine kører. Det vil sige, at værtsadministratoren eller en angriber, der kontrollerer det underliggende fysiske system, stadig kan have manipulationsmuligheder.

For at Credential Guard kan fungere på en virtuel Hyper-V-maskine, kræves mindst følgende:

• En Hyper-V-vært med IOMMU (input/output-hukommelsesstyringsenhed) kompatibel.
• En virtuel maskine af Generation 2, der understøtter sikker UEFI-opstart og de nødvendige udvidelser.

Fra værten er det endda muligt at deaktivere Credential Guard for en specifik VM ved hjælp af PowerShell med en kommando, der ligner Set-VMSecurity -VirtualizationBasedSecurityOptOut $true, der peger på navnet på den virtuelle maskine.

Kompatible Windows-licenser og -udgaver

Credential Guard er ikke tilgængelig i alle udgaver af Windows. Microsoft har reserveret det til de mere erhvervs- og uddannelsesorienterede versioner og udeladt visse standard professionelle udgaver.

Med hensyn til kompatibilitet mellem Windows-udgaver gælder generelt følgende:

• Windows Enterprise- Understøtter Credential Guard.
• Windows Education: kompatibel.
• Windows Pro og Windows Pro Education/SE: inkluderer ikke direkte understøttelse af Credential Guard.

Hvad angår licensrettigheder, er funktionaliteten knyttet til abonnementer på virksomheds- og uddannelsesniveau. Blandt de licenser, der Ja, de giver brugsrettigheder Legitimationsbeskyttelsen omfatter:

• Windows Enterprise E3
• Windows Enterprise E5
• Windows Education A3
• Windows Education A5

Andre licenser, såsom Windows Pro eller Pro Education Standard, inkluderer ikke disse rettigheder som standard. For mere detaljerede oplysninger om, hvad hver licens inkluderer, og hvilke scenarier den dækker, anbefales det at gennemgå den officielle dokumentation. Windows-licensering.

Indvirkning på godkendelsesapplikationer og -protokoller

Aktivering af Credential Guard har direkte konsekvenser i nogle tilfælde ældre godkendelsesprotokoller og visse funktioner af Kerberos og NTLM, som mange ældre applikationer stadig bruger. Før en masseimplementering er det afgørende at identificere krav og teste kompatibilitet.

Applikationerne vil stoppe med at fungere korrekt, hvis de kræver en af ​​følgende funktioner:

• Støtte til DES-kryptering i Kerberos.
• Kerberos-delegering uden begrænsninger.
• Udvinding af Kerberos TGT fra systemet.
• Brug af NTLMv1 som en autentificeringsprotokol.

Andre scenarier ødelægger ikke nødvendigvis applikationen, men de gør øge risikoen for eksponering af legitimationsoplysninger, hvis de stadig bruges:

• Implicit godkendelse, der indfanger eller genbruger legitimationsoplysninger i klartekst.
• Delegering af legitimationsoplysninger uden tilstrækkelige sikkerhedsforanstaltninger.
• Protokoller som f.eks. MS-CHAPv2 y CredSSPhvilket kan tvinge brugeren til at indtaste legitimationsoplysninger, der derefter gemmes på en mindre sikker måde.

Nogle tjenester eller applikationer, der forsøger forbinder den isolerede proces direkte LSAIso.exe De kan forårsage ydeevneproblemer eller funktionsfejl, hvis de ikke er designet til at fungere med denne nye model. Omvendt kan tjenester, der som standard er afhængige af Kerberos, såsom SMB-delinger eller velkonfigurerede fjernskrivebordsforbindelser, De burde fortsætte med at fungere normalt når Credential Guard er aktiveret.

Sådan aktiverer du Credential Guard i virksomhedsmiljøer

Sikkerhedsanbefalingen er at aktivere Credential Guard. før en enhed forbindes med domænet eller før en domænebruger logger på for første gang, så hemmeligheder aldrig gemmes uden forbedret beskyttelse. Hvis aktiveret efter at maskinen har været i brug i et stykke tid, kan nogle legitimationsoplysninger allerede være blevet kompromitteret.

Der er flere hovedmetoder til at aktivere Credential Guard på en flåde af Windows-enheder:

• Microsoft Intune/MDM.
• Gruppepolitikordre (GPO).
• Direkte registreringskonfiguration.

Konfiguration ved hjælp af Microsoft Intune og MDM-politikker

I et Intune-administreret miljø kan konfigurationer implementeres via sikkerhedsprofiler eller brugerdefinerede politikker. Den typiske arbejdsgang involverer oprettelse af en kontobeskyttelsespolitik eller tilsvarende og indstilling af parametrene for Aktivér VBS og definer Credential Guard-konfigurationen.

Når du bruger en CSP (konfigurationstjenesteudbyder), f.eks. DeviceGuard, omfatter de relevante nøgler:

• Konfigurationsnavn: "Aktiver virtualiseringsbaseret sikkerhed". OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityDatatype: heltal. Værdi: 1 at aktivere.
• Konfigurationsnavn: "Credential Guard-konfiguration". OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsDatatype: heltal. Typiske værdier:
  • 1aktiveret med UEFI-lås.
  • 2aktiveret uden blokering.

Når politikken er blevet anvendt på den ønskede gruppe af enheder eller brugere, er det nødvendigt genstart computeren så hypervisoren og VSM-miljøet initialiseres korrekt, og Credential Guard bliver operationelt.

Aktivering ved hjælp af gruppepolitik (GPO)

I Active Directory-baserede domæner er den klassiske måde at konfigurere Credential Guard på via GruppepolitikredigeringsprogramDen kan konfigureres både i den lokale politikeditor på hver computer og i gruppepolitikobjekter, der er knyttet til organisationsenhederne eller hele domænet.

Standardkonfigurationsstien er:

Enhedskonfiguration → Administrative skabeloner → System → Enhedsbeskyttelse

Inden for den sti skal du redigere politikken "Aktiver virtualiseringsbaseret sikkerhed" og indstille dens status til AktiveretI rullemenuen "Indstillinger for Credential Guard" kan du vælge mellem "Aktiveret med UEFI-lås" eller "Aktiveret uden lås", afhængigt af det ønskede begrænsningsniveau. Efter politikopdateringen og en genstart vil beskyttelsen være aktiv.

Avanceret konfiguration via registreringsdatabasen

For specifikke scenarier eller automatiseringer er det også muligt at konfigurere Credential Guard ved direkte at manipulere Windows-registreringsdatabasenDe mest relevante nøgler er:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  nøgle: EnableVirtualizationBasedSecurity (REG_DWORD). Værdi: 1 for at aktivere VBS.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
  nøgle: RequirePlatformSecurityFeatures (REG_DWORD). Typiske værdier:
  • 1 kun til brug i sikker opstart.
  • 3 at bruge sikker opstart og DMA-beskyttelse.
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  nøgle: LsaCfgFlags (REG_DWORD). Værdier:
  • 1Aktivér Credential Guard med UEFI-lås.
  • 2Aktivér Credential Guard uden at låse.

Efter at have implementeret disse ændringer, skal du genstart maskinen for at den nye konfiguration kan træde i kraft, og det beskyttede miljø kan starte.

Sådan kontrollerer du, om Credential Guard rent faktisk kører

En almindelig fejl er udelukkende at fokusere på, om processen LsaIso.exe Den vises i Jobliste, hvilket tyder på, at Credential Guard er aktiv. Microsoft anbefaler ikke denne metode som en endelig kontrol, da den kan afspejler ikke nøjagtigt den faktiske beskyttelsestilstand.

I stedet er der tre mere pålidelige metoder til at kontrollere status for Credential Guard:

• Værktøj Systemoplysninger (msinfo32.exe).
• Kommandoer af PowerShell.
• Gennemgang af begivenheder i Hændelsesvisning.

Med Systemoplysninger skal du blot køre msinfo32.exeVælg "Systemoversigt" og marker feltet "Kører virtualiseringsbaserede sikkerhedstjenester". Hvis "Credential Guard" er angivet blandt de aktive tjenester, betyder det, at Funktionen virker faktisk..

Via PowerShell kan du køre kommandoen:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Den returnerede værdi vil angive udførelsesstatus:

• 0Credential Guard deaktiveret (kører ikke).
• 1Credential Guard aktiveret og operationel.

Derudover kan relaterede begivenheder gennemgås i Logbogen ved at filtrere efter Windows Logs\System på grund af begivenhedernes oprindelse WinInitPeriodisk analyse af disse hændelser, kombineret med WMI-forespørgsler eller sikkerhedsrevisioner, hjælper med at bekræfte implementeringens tilstand og status på tværs af hele flåden.

Muligheder for at deaktivere Credential Guard

Selvom det ikke er ideelt fra et sikkerhedsmæssigt synspunkt, er det nogle gange nødvendigt Deaktiver Credential Guard på grund af kompatibilitetsproblemer med kritiske applikationer eller ældre protokoller, der ikke kan erstattes på kort sigt.

Proceduren for deaktivering af funktionen varierer afhængigt af, hvordan den oprindeligt blev aktiveret. Generelt bør du:

• Gendan den konfiguration, der blev anvendt af Intune, GPO eller registreringsdatabasen, og returner VBS- og LsaCfgFlags-værdierne til deres deaktiverede tilstand.
• Genstart enheden for at stoppe indlæsningen af ​​virtualiseringsbaserede sikkerhedskomponenter.

Hvis Credential Guard blev konfigureret med UEFI-låsTingene bliver lidt mere komplicerede, fordi en del af tilstanden er gemt i EFI-variabler i firmwaren. I dette tilfælde er det, udover at fortryde konfigurationen i Windows, nødvendigt at køre en række kommandoer med bcdedit fra en kommandoprompt med administratorrettigheder for at indlæse et særligt konfigurationsværktøj (SecConfig.efi) under opstart.

Flowet er normalt noget i retning af dette:

• Monter en midlertidig EFI-partition ved hjælp af mountvol og kopier det SecConfig.efi.
• Opret en systemopladerpost med bcdedit /createpeger på SecConfig.efi.
• Konfigurer en midlertidig opstartssekvens til at udføre den pågældende post ved næste genstart og giv den indstillingen DEAKTIVER-LSA-ISO.
• Genstart maskinen, og når pre-boot-meddelelsen vises, Bekræft UEFI-konfigurationsændringen så deaktiveringen fortsætter.

Uden denne bekræftelse vil firmwaren ikke registrere ændringen, og Credential Guard vil forblive låst på UEFI-niveau, selvom konfigurationen er blevet ændret i operativsystemet.

I virtuelle maskiner kan Hyper-V-værten deaktivere brugen af ​​VBS og Credential Guard for en bestemt VM ved hjælp af PowerShell-kommandoen. Set-VMSecurity med den tilhørende udelukkelsesmulighed.

I nogle miljøer er det blevet observeret, at computere, der brugte godkendelse af fjernskrivebord med SSO eller ældre metoder, efter visse Windows-opdateringer begynder at vise meddelelser, der legitimationsoplysningerne er ikke længere gyldigeI mange af disse tilfælde har den midlertidige løsning, der er blevet anvendt, været at deaktivere Credential Guard fra den lokale gruppepolitik (GPEDIT.msc), navigere til Computerkonfiguration → Administrative skabeloner → System → Enhedsbeskyttelse → "Slå virtualiseringsbaseret sikkerhed til" og markere konfigurationsindstillingen Credential Guard som "Deaktiveret".

Credential Guard har etableret sig som en nøglekomponent i identitetsbeskyttelsesstrategier i Windows, især i miljøer med omfattende Active Directory og meget følsomme privilegerede konti. VBS-, TPM- og hukommelsesisoleringDenne teknologi gør livet meget vanskeligere for angribere, der forsøger at bevæge sig lateralt ved at stjæle legitimationsoplysninger fra hukommelsen på endpoints og servere, forudsat at den suppleres af god praksis, overvågningsværktøjer og rimelig styring af ældre applikationer og protokoller.