Windows Defender Credential Guard-Anforderungen (Windows) - Windows security (2023)

  • Artikel
  • 8Minuten Lesedauer
  • Gilt für:
    Windows 10, ✅ Windows 11, ✅ Windows Server 2016, ✅ Windows Server 2019, ✅ Windows Server 2022

Damit Windows Defender Credential Guard Schutz bietet, müssen die von Ihnen geschützten Computer bestimmte grundlegende Hardware-, Firmware- und Softwareanforderungen erfüllen, die wir als Hardware- und Softwareanforderungen bezeichnen. Darüber hinaus blockiert Windows Defender Credential Guard spezifische Authentifizierungsfunktionen, sodass Anwendungen, die blockierte Funktionen erfordern, unterbrochen werden. Wir bezeichnen diese Anforderungen als Anwendungsanforderungen. Über diese Anforderungen hinaus können Computer zusätzliche Hardware- und Firmwarequalifikationen erfüllen und zusätzlichen Schutz erhalten. Diese Computer sind noch stärker vor bestimmten Bedrohungen geschützt. Ausführliche Informationen zum grundlegenden Schutz und zum Schutz für erhöhte Sicherheit, der mit den in 2015, 2016 und 2017 verfügbaren Hardware- und Firmwareoptionen verknüpft ist, finden Sie in den Tabellen unter Sicherheitsüberlegungen.

Hardware- und Softwareanforderungen

Zum Bereitstellen von grundlegendem Schutz gegen Versuche auf Betriebssystemebene, Domänenanmeldeinformationen für die Anmeldeinformationsverwaltung sowie von NTLM und Kerberos abgeleitete Anmeldeinformationen zu lesen, verwendet Windows Defender Credential Guard Folgendes:

  • Unterstützung für virtualisierungsbasierte Sicherheit (erforderlich)
  • Sicherer Start (erforderlich)
  • Trusted Platform Module (TPM, bevorzugt – stellt Bindung an Hardware bereit) Die Versionen 1.2 und 2.0 werden entweder diskret oder Firmware unterstützt.
  • UEFI-Sperre (bevorzugt – verhindert Deaktivierungen durch Angreifer mit einer einfachen Änderung des Registrierungsschlüssels)

Die virtualisierungsbasierte Sicherheit erfordert Folgendes:

  • 64-Bit-CPU
  • CPU-Virtualisierungserweiterungen sowie erweiterte Seitentabellen
  • Windows-Hypervisor (die Installation des Hyper-V-Windows-Features ist nicht erforderlich)

Windows Defender Credential Guard-Bereitstellung auf virtuellen Computern

Credential Guard kann geheime Schlüssel auf einem virtuellen Hyper-V-Computer genau wie auf einem physischen Computer schützen. Wenn Sie Credential Guard auf einem virtuellen Computer bereitstellen, werden geheime Schlüssel vor Angriffen innerhalb des virtuellen Computers geschützt. Credential Guard bietet jedoch keinen zusätzlichen Schutz vor Systemangriffen von einem Host mit privilegiertem Zugriff.

Anforderungen für die Ausführung von Windows Defender Credential Guard auf virtuellen Hyper-V-Computern

  • Der Hyper-V-Host muss über eine IOMMU verfügen und mindestens Windows Server 2016 oder Windows 10, Version 1607, ausführen.
  • Beim virtuellen Hyper-V-Computer muss es sich um einen Computer der Generation2 mit aktiviertem virtuellen TPM handeln, auf dem mindestens Windows Server 2016 oder Windows10 ausgeführt wird.
    • TPM ist keine Anforderung, es wird jedoch empfohlen, TPM zu implementieren.

Informationen zu anderen Hostplattformen finden Sie unter Aktivieren von Windows Server 2016- und Hyper-V-Virtualisierungs-basierten Sicherheitsfeatures auf anderen Plattformen.

Informationen zu den Hardware- und Softwareanforderungen für Windows Defender Remote Credential Guard finden Sie unter Windows Defender Remote Credential Guard-Anforderungen.

(Video) How To Disable Windows Defender Credential Guard

Anforderungen an Anwendungen

Wenn Windows Defender Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert, sodass Anwendungen, die blockierte Funktionen erfordern, unterbrochen werden. Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der eingeschränkten Funktionalität sicherzustellen.

Warnung

Das Aktivieren Windows Defender Credential Guard auf Domänencontrollern wird derzeit nicht empfohlen.Windows Defender Credential Guard bietet keine zusätzliche Sicherheit für Domänencontroller und kann Anwendungskompatibilitätsprobleme auf Domänencontrollern verursachen.

Hinweis

Windows Defender Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder die Sicherheitskontenverwaltung (Security Accounts Manager, SAM). Die bei Aktivierung von Windows Defender Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.

Anwendungen werden unterbrochen, wenn sie Folgendes benötigen:

(Video) Blue Security Podcast - 2021-06-20 - Windows Defender Credential Guard

  • Kerberos-DES-Verschlüsselungsunterstützung
  • Uneingeschränkte Kerberos-Delegierung
  • Extrahieren des Kerberos-TGT
  • NTLMv1

Anwendungen fordern Anmeldeinformationen an und setzen diese Risiken aus, wenn sie Folgendes benötigen:

  • Digestauthentifizierung
  • Delegierung von Anmeldeinformationen
  • MS-CHAPv2

Anwendungen können zu Leistungsproblemen führen, wenn sie versuchen, den isolierten Windows Defender Credential Guard-Prozess zu verknüpfen.

Dienste oder Protokolle, die auf Kerberos basieren, z.B. Dateifreigaben, Remotedesktop oder BranchCache, funktionieren weiterhin und sind von Windows Defender Credential Guard nicht betroffen.

Sicherheitsaspekte

Alle Computer, die die Hardware-, Firmware- und Softwareanforderungen für grundlegenden Schutz erfüllen, können Windows Defender Credential Guard nutzen.Computer mit zusätzlichen Qualifikationen können erweiterten Schutz bieten, um die Angriffsfläche weiter zu verringern.In den folgenden Tabellen werden grundlegende Schutzmaßnahmen und Schutzmaßnahmen für erhöhte Sicherheit für Hardware- und Firmwareoptionen beschrieben, die 2015, 2016 und 2017 verfügbar sind.

Hinweis

Ab Windows10, Version 1607, muss Trusted Platform Module (TPM 2.0) auf neu ausgelieferten Computern standardmäßig aktiviert sein.

Wenn Sie EIN OEM sind, lesen Sie die PC OEM-Anforderungen für Windows Defender Credential Guard.

(Video) Microsoft Defender for Endpoint (MDATP) webinar: Get started with MDATP | from zero to hero

Grundlegender Schutz

Grundlegender SchutzBeschreibungSicherheitsvorteile
Hardware: 64-Bit-CPUDamit Windows-Hypervisor VBS bereitstellen kann, ist ein 64-Bit-Computer erforderlich.
Hardware: CPU-Virtualisierungserweiterungen sowie erweiterte SeitentabellenAnforderungen: - Diese Hardwarefeatures sind für VBS erforderlich: Eine der folgenden Virtualisierungserweiterungen: - VT-x (Intel) oder - AMD-V Und: - Erweiterte Seitentabellen, auch als Second Level Address Translation (SLAT) bezeichnet.VBS isoliert den sicheren Kernel vom normalen Betriebssystem. Aufgrund dieser Isolierung ist es nicht möglich, Sicherheitslücken und Zero-Day-Angriffe im normalen Betriebssystem zu missbrauchen.
Hardware: Trusted Platform Module (TPM)Anforderung: - TPM 1.2 oder TPM 2.0, entweder diskret oder Firmware. TPM-EmpfehlungenEin TPM bietet Schutz für VBS-Verschlüsselungsschlüssel, die in der Firmware gespeichert sind. TPM schützt vor Angriffen, die einen physisch anwesenden Benutzer mit BIOS-Zugriff betreffen.
Firmware: UEFI-Firmwareversion 2.3.1.c oder höher mit „Sicherer Start“ gemäß UEFIAnforderungen: – Siehe die folgende Anforderung des Windows-Hardwarekompatibilitätsprogramms: System.Fundamentals.Firmware.UEFISecureBootDer sichere UEFI-Start trägt dazu bei, dass das Gerät nur autorisierten Code startet, und kann verhindern, dass Startkits und Stammkits bei allen Neustarts installiert und beibehalten werden.
Firmware: Prozess für ein sicheres FirmwareupdateAnforderungen: – UEFI-Firmware muss sichere Firmwareupdates unterstützen, die unter der folgenden Anforderung des Windows-Hardwarekompatibilitätsprogramms gefunden wurden: System.Fundamentals.Firmware.UEFISecureBoot.UEFI-Firmware kann wie Software Sicherheitsrisiken aufweisen. Falls vorhanden, müssen sie mithilfe von Firmwareupdates gepatcht werden. Die Patches verhindern die Installation von Rootkits.
Software: Qualifiziertes Windows-BetriebssystemAnforderung: - Mindestens Windows 10 Enterprise, Windows 10 Education oder Windows Server 2016.Unterstützung von VBS und von Verwaltungsfeatures, welche die Konfiguration von Windows Defender Credential Guard vereinfachen.

Wichtig

Die folgenden Tabellen enthalten zusätzliche Qualifikationen für erhöhte Sicherheit. Allerdings wird dringend empfohlen, die Anforderungen für erhöhte Sicherheit einzuhalten, um den Sicherheitsgrad, den Windows Defender Credential Guard gewährleisten kann, deutlich zu erhöhen.

Zusätzliche Sicherheitsqualifikationen 2015 (ab Windows10, Version 1507, und Windows Server2016, Technical Preview 4)

Schutzmaßnahmen für erhöhte SicherheitBeschreibung
Hardware: IOMMU (Input/Output Memory Management Unit, Speicherverwaltungseinheit für die Ein-/Ausgabe)Anforderung: - VT-D oder AMD Vi IOMMU Sicherheitsvorteile: - Eine IOMMU kann die Systemresilienz gegen Speicherangriffe verbessern. Weitere Informationen finden Sie in den ACPI-Beschreibungstabellen (Advanced Configuration and Power Interface)
Firmware: Schützen der Startkonfiguration und -verwaltungAnforderungen: – BIOS-Kennwort oder sicherere Authentifizierung muss unterstützt werden. – In der BIOS-Konfiguration muss die BIOS-Authentifizierung festgelegt sein. – Die geschützte BIOS-Option zum Konfigurieren einer Liste zulässiger Startgeräte (z.B. „Nur von interner Festplatte starten“) und der Reihenfolge von Startgeräten, durch die die vom Betriebssystem vorgenommene BOOTORDER-Änderung überschrieben wird, müssen unterstützt werden. – In der BIOS-Konfiguration müssen sicherheitsbezogene BIOS-Optionen und Startoptionen (Liste zulässiger Startgeräte, Startreihenfolge) geschützt werden, um den Start anderer Betriebssysteme und Änderungen an den BIOS-Einstellungen zu verhindern.
Firmware: Sichere Implementierung von MOR, Version 2Anforderung: - Sichere MOR, Revision 2-Implementierung

Zusätzliche Sicherheitsqualifikationen 2016 (ab Windows10, Version 1607, und Windows Server2016)

Wichtig

Die folgenden Tabellen enthalten zusätzliche Qualifikationen für erhöhte Sicherheit. Systeme, die diese zusätzlichen Qualifikationen erfüllen, bieten einen stärkeren Schutz.

Schutzmaßnahmen für erhöhte SicherheitBeschreibungSicherheitsvorteile
Firmware: Hardware-Vertrauensanker, sicherer PlattformstartAnforderungen: - Die Startintegrität (plattformsicherer Start) muss unterstützt werden. Siehe die Anforderungen des Windows-Hardware-Kompatibilitätsprogramms unter System.Fundamentals.Firmware.CS. UEFISecureBoot.ConnectedStandby – HSTI (Hardware Security Test Interface) muss implementiert sein. Siehe Spezifikation zur Prüfbarkeit von Hardwaresicherheit.Startintegrität (sicherer Plattformstart) nach dem Einschalten bietet Schutzmaßnahmen vor physisch anwesenden Angreifern und eine tiefengestaffelte Verteidigung gegen Schadsoftware. – HSTI bietet eine zusätzliche Absicherung für ordnungsgemäß geschützte Chip- und Plattformkomponenten.
Firmware: Firmwareupdate über Windows UpdateAnforderungen: - Die Firmware muss Feldupdates über Windows Update- und UEFI-Kapselungsupdates unterstützen.Stellt sicher, dass Firmwareupdates schnell, sicher und zuverlässig sind.
Firmware: Schützen der Startkonfiguration und -verwaltungAnforderungen: – Erforderliche BIOS-Funktionen: OEMs können während der Fertigung in der Datenbank für „Sicherer Start“ ISV-, OEM- oder Unternehmenszertifikate hinzufügen. – Erforderliche Konfigurationen: Die Microsoft-UEFI-Zertifizierungsstelle muss aus der Datenbank für „Sicherer Start“ entfernt werden. UEFI-Module von Drittanbietern können unterstützt werden, allerdings sollten von ISVs bereitgestellte Zertifikate oder OEM-Zertifikate für die spezifische UEFI-Software genutzt werden.– Unternehmen können die Ausführung proprietärer EFI-Treiber/-Anwendungen zulassen. – Durch das Entfernen der Microsoft-UEFI-Zertifizierungsstelle aus der Datenbank für „Sicherer Start“ erhalten Unternehmen die vollständige Kontrolle über Software, die vor dem Betriebssystemstart ausgeführt wird.

Zusätzliche Sicherheitsqualifikationen 2017 (ab Windows10, Version1703)

Die folgende Tabelle enthält die Qualifikationen für Windows10, Version 1703, die zusätzlich zu allen vorherigen Qualifikationen gelten.

Schutzmaßnahmen für erhöhte SicherheitBeschreibungSicherheitsvorteile
Firmware: VBS-Aktivierung von No-Execute (NX)-Schutz für UEFI-LaufzeitdiensteAnforderungen: – VBS aktiviert NX-Schutz in UEFI-Laufzeitdienstcode- und Datenspeicherbereichen. UEFI-Laufzeitdienstcode muss Maßnahmen für den schreibgeschützten Seitenschutz unterstützen, und UEFI-Laufzeitdienstdaten dürfen nicht ausführbar sein. Der UEFI-Laufzeitdienst muss die folgenden Anforderungen erfüllen: – Implementieren von UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE. Alle UEFI-Laufzeitdienstspeicher (Code und Daten) müssen in dieser Tabelle beschrieben werden. - PE-Abschnitte müssen im Arbeitsspeicher seitenausrichtungsseitig ausgerichtet sein (nicht erforderlich für nicht veränderlichen Speicher). – Die Tabelle mit Speicherattributen muss Code und Daten ordnungsgemäß als RO/NX für die Konfiguration durch das Betriebssystem markieren: – Alle Einträge müssen das EFI_MEMORY_RO-Attribut und/oder EFI_MEMORY_XP-Attribut enthalten. – Es dürfen keine Einträge mit einem der oben genannten Attribute verbleiben, die angeben, dass der Speicher sowohl ausführbar als auch beschreibbar ist. Der Speicher muss entweder lesbar und ausführbar oder schreibbar und nicht ausführbar sein. (SIEHE WICHTIGE INFORMATIONEN NACH DIESER TABELLE)Sicherheitsrisiken in der UEFI-Laufzeit werden ggf. daran gehindert, VBS zu beeinträchtigen (z. B. in Funktionen wie UpdateCapsule und SetVariable). – Reduziert die Angriffsfläche von der Systemfirmware auf VBS.
Firmware: Firmwareunterstützung für SMM-SchutzAnforderungen: – Die Windows SMM Security Mitigations Table (WSMT)-Spezifikation enthält Details einer ACPI-Tabelle, die für die Verwendung mit Windows-Betriebssystemen erstellt wurde, die Windows Virtualization-based Security (VBS)-Features unterstützen.– Schützt vor potenziellen Sicherheitsrisiken in UEFI-Laufzeitdiensten, falls vorhanden, wird daran gehindert, VBS zu kompromittieren (z. B. in Funktionen wie UpdateCapsule und SetVariable). – Reduziert die Angriffsfläche von der Systemfirmware auf VBS. – Verhindert zusätzliche Sicherheitsangriffe auf SMM.

Wichtig

In Bezug auf die VBS-Aktivierung des NX-Schutzes für UEFI-Laufzeitdienste:

(Video) How To Disable Windows Defender In Windows 10 (Now Called Defender Antivirus)

FAQs

What is Microsoft Windows Defender credential guard? ›

Windows Defender Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them. Unauthorized access to these secrets can lead to credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket.

How do I turn off device Guard credential guard? ›

Disabling Windows Defender Credential Guard with UEFI Lock

Navigate to Computer Configuration > Administrative Templates > System > Device Guard > Turn on Virtualization Based Security. In the "Credential Guard Configuration" section, set the dropdown value to "Disabled".

What does credential guard protect against? ›

Credential Guard is a virtualization-based isolation technology for LSASS which prevents attackers from stealing credentials that could be used for pass the hash attacks. Credential Guard was introduced with Microsoft's Windows 10 operating system.

How do I enable Windows Defender credential guard? ›

Under options select the platform. Security. Level you have the choice between to choose secure boot

How do you know if Credential Guard is enabled? ›

Verifying whether Device Guard is enabled using Windows...
  1. Right-click the Start button and select Windows PowerShell (Admin).
  2. In the Administrator: Windows PowerShell window, enter Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard and press Enter.

Is Credential Guard enabled by default? ›

Credential Guard is not enabled by default. It can be enabled using group policies, the Windows registry, or the Windows Defender Device Guard.

How do I remove device guard? ›

How to Remove Device Guard From Windows 10 - YouTube

Does credential Guard require secure boot? ›

For a device to support Microsoft Defender Credential Guard as specified in the Windows Hardware Compatibility Requirements (WHCR), you as the OEM must provide the following hardware, software, or firmware features. Hardware-based Secure Boot must be supported.

How do I turn off my credentials? ›

Simply follow these:
  1. Go to Control Panel.
  2. Go to Network & Sharing Center.
  3. Click on Advanced Settings.
  4. Go to All network Option.
  5. Then click on Turn Off Password Protected Sharing.

How do I turn off Windows 10 credential guard? ›

For Microsoft Windows 10 Pro & above:

Go to Local Computer Policy > Computer Configuration > Administrative Templates > System. Double Click on Device Guard on the right hand side to open. Double Click on "Turn On Virtualization Security" to open a new window. It would be "Not Configured", Select "Disable" and click " ...

How does remote credential Guard work? ›

As illustrated, Windows Defender Remote Credential Guard blocks NTLM (allowing only Kerberos), prevents Pass-the-Hash (PtH) attacks, and also prevents use of credentials after disconnection. Credentials on the server are not protected from Pass-the-Hash attacks.

Does credential Guard require secure boot? ›

For a device to support Microsoft Defender Credential Guard as specified in the Windows Hardware Compatibility Requirements (WHCR), you as the OEM must provide the following hardware, software, or firmware features. Hardware-based Secure Boot must be supported.

What is credential Guard configuration? ›

Microsoft Windows Defender Credential Guard is a security feature that isolates users' login information from the rest of the operating system to prevent theft. Microsoft introduced Credential Guard in Windows 10 Enterprise and Windows Server 2016.

Videos

1. How to Enable or Disable Notifications from Windows Security in Windows 10
(Helton's Computer Repair)
2. 12 Days of Defense - Day 5: How Windows Security Logging Works
(John Hubbard)
3. Default hardening in Windows 11, version 22H2
(Windows IT Pro)
4. TPM Trusted Platform Module and Windows 10
(TechsavvyProductions)
5. Windows 365 security best practices
(Windows IT Pro)
6. Advancing Windows Security — David Weston, Microsoft — Platform Security Summit 2019
(Platform Security Summit)
Top Articles
Latest Posts
Article information

Author: Allyn Kozey

Last Updated: 12/26/2022

Views: 6047

Rating: 4.2 / 5 (63 voted)

Reviews: 86% of readers found this page helpful

Author information

Name: Allyn Kozey

Birthday: 1993-12-21

Address: Suite 454 40343 Larson Union, Port Melia, TX 16164

Phone: +2456904400762

Job: Investor Administrator

Hobby: Sketching, Puzzles, Pet, Mountaineering, Skydiving, Dowsing, Sports

Introduction: My name is Allyn Kozey, I am a outstanding, colorful, adventurous, encouraging, zealous, tender, helpful person who loves writing and wants to share my knowledge and understanding with you.