Neues beim Schutz von Anmelde InformationenWhat's new in Credential Protection

Credential Guard für angemeldeten BenutzerCredential Guard for signed-in user

Ab Windows 10, Version 1507, Kerberos und NTLM, verwenden Sie virtualisierungsbasierte Sicherheit, um Kerberos-& NTLM-Geheimnisse der Anmelde Sitzung des angemeldeten Benutzers zu schützen.Beginning with Windows 10, version 1507, Kerberos and NTLM use virtualization-based security to protect Kerberos & NTLM secrets of the signed-in user logon session.

Ab Windows 10, Version 1511, verwendet Anmelde Informationen Manager die virtualisierungsbasierte Sicherheit, um gespeicherte Anmelde Informationen des Domänen Anmelde Informations Typs zu schützen.Beginning with Windows 10, version 1511, Credential Manager uses virtualization-based security to protect saved credentials of domain credential type. Anmelde Informationen und gespeicherte Domänen Anmelde Informationen werden nicht mithilfe von Remote Desktop an einen Remote Host übermittelt.Signed-in credentials and saved domain credentials will not be passed to a remote host using remote desktop. Credential Guard kann ohne UEFI-Sperre aktiviert werden.Credential Guard can be enabled without UEFI lock.

Ab Windows 10, Version 1607, ist der isolierte Benutzermodus in Hyper-V enthalten, sodass er nicht mehr separat für die Credential Guard-Bereitstellung installiert wird.Beginning with Windows 10, version 1607, Isolated User Mode is included with Hyper-V so it no longer is installed separately for Credential Guard deployment.

Erfahren Sie mehr über Credential Guard.Learn more about Credential Guard.

Remote Credential Guard für angemeldeten BenutzerRemote Credential Guard for signed-in user

Ab Windows 10, Version 1607, schützt Remote Credential Guard Anmelde Informationen für angemeldete Benutzer, wenn Remotedesktop, indem die Kerberos-und NTLM-Geheimnisse auf dem Client Gerät geschützt werden.Beginning with Windows 10, version 1607, Remote Credential Guard protects signed-in user credentials when using Remote Desktop by protecting the Kerberos and NTLM secrets on the client device. Damit der Remote Host die Netzwerkressourcen als Benutzer bewerten kann, müssen die geheimen Anforderungen vom Client Gerät verwendet werden.For the remote host to assess network resources as the user, authentication requests require the client device to use the secrets.

Ab Windows 10, Version 1703, schützt Remote Credential Guard bereitgestellte Benutzer Anmelde Informationen, wenn Sie Remotedesktop verwenden.Beginning with Windows 10, version 1703, Remote Credential Guard protects supplied user credentials when using Remote Desktop.

Erfahren Sie mehr über Remote Anmelde Informationen Guard.Learn more about Remote credential guard.

Domänen SchutzDomain protections

Für den Domänen Schutz ist eine Active Directory Domäne erforderlich.Domain protections require an Active Directory domain.

Unterstützung von in die Domäne eingebundenen Geräten für die Authentifizierung mit öffentlichem SchlüsselDomain-joined device support for authentication using public key

Ab Windows 10, Version 1507 und Windows Server 2016, kann das Gerät mithilfe der Kerberos PKINIT-Authentifizierung bei einem Windows Server 2016-Domänen Controller mit dem öffentlichen Schlüssel authentifiziert werden, wenn ein in eine Domäne eingebundenes Gerät seinen gebundenen öffentlichen Schlüssel bei einem Windows Server 2016-Domänen Controller (DC) registrieren kann.Beginning with Windows 10 version 1507 and Windows Server 2016, if a domain-joined device is able to register its bound public key with a Windows Server 2016 domain controller (DC), then the device can authenticate with the public key using Kerberos PKINIT authentication to a Windows Server 2016 DC.

Ab Windows Server 2016 unterstützen KDCs die Authentifizierung mithilfe der Kerberos-Schlüssel Vertrauensstellung.Beginning with Windows Server 2016, KDCs support authentication using Kerberos key trust.

Erfahren Sie mehr über die Unterstützung öffentlicher Schlüssel für in die Domäne eingebundenen Geräten & Kerberos-Schlüssel Vertrauen.Learn more about public key support for domain-joined devices & Kerberos key trust.

PKINIT-Aktualität-Erweiterungs UnterstützungPKINIT Freshness extension support

Ab Windows 10, Version 1507 und Windows Server 2016, versuchen die Kerberos-Clients, die PKINIT-Aktualitäts Erweiterung für Anmeldungen mit öffentlichem Schlüssel zu unterstützen.Beginning with Windows 10, version 1507 and Windows Server 2016, Kerberos clients will attempt the PKInit freshness extension for public key based sign-ons.

Ab Windows Server 2016 können KDCs die Erweiterung PKINIT-Aktualität unterstützen.Beginning with Windows Server 2016, KDCs can support the PKInit freshness extension. Standardmäßig bieten KDCs keine PKINIT-Aktualität-Erweiterung.By default, KDCs will not offer the PKInit freshness extension.

Weitere Informationen zur Unterstützung von PKINIT-Erweiterungen.Learn more about PKINIT freshness extension support.

Nur die NTLM-Geheimnisse des öffentlichen Schlüssels des öffentlichen SchlüsselsRolling public key only user's NTLM secrets

Beginnend mit der Windows Server 2016-Domänen Funktionsebene (DFL) können DCS die NTLM-Geheimnisse eines öffentlichen Schlüssels eines öffentlichen Schlüssels unterstützen.Beginning with Windows Server 2016 domain functional level (DFL), DCs can support rolling a public key only user's NTLM secrets. Diese Funktion ist in niedrigeren dfls nicht verfügbar.This feature is unavailable in lower DFLs.

Warnung

Wenn Sie einen Domänen Controller zu einer Domäne hinzufügen, bei der parallele NTLM-Geheimnisse aktiviert sind 2016, bevor der DC mit mindestens dem 8Adding a domain controller to a domain with rolling NTLM secrets enabled before the DC has been updated with at least the November 8, 2016 servicing runs the risk of the DC crashing.

Konfiguration: für neue Domänen ist dieses Feature standardmäßig aktiviert.Configuration: For new domains, this feature is enabled by default. Für vorhandene Domänen muss Sie im Active Directory Verwaltungs Center konfiguriert werden:For existing domains, it must be configured in the Active Directory Administrative center:

  1. Klicken Sie im Active Directory Verwaltungs Center im linken Bereich mit der rechten Maustaste auf die Domäne, und wählen Sie Eigenschaften aus.From the Active Directory Administrative center, right-click the domain on the left pane and select Properties.

    Domänen Eigenschaften

  2. Aktivieren Sie das Aktivieren des Rollbacks abgelaufener NTLM-Geheimnisse während der Anmeldung, für Benutzer, die Microsoft Passport oder Smartcard für die interaktive Anmeldung verwenden müssen.Select Enable rolling of expiring NTLM secrets during sign on, for users who are required to use Microsoft Passport or smart card for interactive logon.

    Autoroll-ablaufende NTLM-Geheimnisse

  3. Klicken Sie auf OK.Click OK.

Netzwerk-NTLM zulassen, wenn der Benutzer auf bestimmte in die Domäne eingebundenen Geräte beschränkt istAllowing network NTLM when user is restricted to specific domain-joined devices

Beginnend mit der Windows Server 2016-Domänen Funktionsebene (DFL) können DCS das Zulassen von Netzwerk-NTLM unterstützen, wenn ein Benutzer auf bestimmte in die Domäne eingebundenen Geräte beschränkt ist.Beginning with Windows Server 2016 domain functional level (DFL), DCs can support allowing network NTLM when a user is restricted to specific domain-joined devices. Diese Funktion ist in niedrigeren dfls nicht verfügbar.This feature is unavailable in lower DFLs.

Konfiguration: Klicken Sie in der Authentifizierungs Richtlinie auf NTLM-Netzwerk Authentifizierung zulassen, wenn der Benutzer auf ausgewählte Geräte beschränkt ist.Configuration: On the authentication policy, click Allow NTLM network authentication when the user is restricted to selected devices.

Weitere Informationen zu Authentifizierungs Richtlinien.Learn more about authentication policies.