Windows Defender Credential Guard: Anforderungen

Betrifft:

  • Windows 11
  • Windows 10
  • Windows Server 2019
  • Windows Server 2016

Damit Windows Defender Credential Guard Schutz bietet, müssen die computer, die Sie schützen, bestimmte grundlegende Hardware-, Firmware- und Softwareanforderungen erfüllen, die als Hardware- und Softwareanforderungenbezeichnet werden. Darüber hinaus blockiert Windows Defender Credential Guard spezifische Authentifizierungsfunktionen, sodass Anwendungen, die blockierte Funktionen erfordern, unterbrochen werden. Wir bezeichnen diese Anforderungen als Anwendungsanforderungen. Über diese Anforderungen hinaus können Computer zusätzliche Hardware- und Firmwarequalifikationen erfüllen und zusätzliche Schutzmaßnahmen erhalten. Diese Computer sind noch stärker vor bestimmten Bedrohungen geschützt. Ausführliche Informationen zum grundlegenden Schutz und zum Schutz für erhöhte Sicherheit, der mit den in 2015, 2016 und 2017 verfügbaren Hardware- und Firmwareoptionen verknüpft ist, finden Sie in den Tabellen unter Sicherheitsüberlegungen.

Hardware- und Softwareanforderungen

Zum Bereitstellen von grundlegendem Schutz gegen Versuche auf Betriebssystemebene, Domänenanmeldeinformationen für die Anmeldeinformationsverwaltung sowie von NTLM und Kerberos abgeleitete Anmeldeinformationen zu lesen, verwendet Windows Defender Credential Guard Folgendes:

  • Unterstützung für virtualisierungsbasierte Sicherheit (erforderlich)
  • Sicherer Start (erforderlich)
  • Trusted Platform Module (TPM, preferred – stellt Bindung an Hardware bereit) Die Versionen 1.2 und 2.0 werden unterstützt, entweder diskret oder Firmware.
  • UEFI-Sperre (bevorzugt – verhindert Deaktivierungen durch Angreifer mit einer einfachen Änderung des Registrierungsschlüssels)

Die virtualisierungsbasierte Sicherheit erfordert Folgendes:

  • 64-Bit-CPU
  • CPU-Virtualisierungserweiterungen sowie erweiterte Seitentabellen
  • Windows Hypervisor (muss kein Hyper-V-Windows-Feature installiert werden)

Windows Defender Credential Guard-Bereitstellung auf virtuellen Computern

Credential Guard kann geheime Schlüssel auf einem virtuellen Hyper-V-Computer genau wie auf einem physischen Computer schützen. Wenn Sie Credential Guard auf einem virtuellen Computer bereitstellen, werden geheime Schlüssel vor Angriffen innerhalb des virtuellen Computers geschützt. Credential Guard bietet jedoch keinen zusätzlichen Schutz vor Systemangriffen von einem Host mit privilegiertem Zugriff.

Anforderungen für die Ausführung von Windows Defender Credential Guard auf virtuellen Hyper-V-Computern

  • Der Hyper-V-Host muss über eine IOMMU verfügen und mindestens Windows Server 2016 oder Windows 10, Version 1607, ausführen.
  • Beim virtuellen Hyper-V-Computer muss es sich um einen Computer der Generation2 mit aktiviertem virtuellen TPM handeln, auf dem mindestens Windows Server 2016 oder Windows10 ausgeführt wird.
    • TPM ist keine Anforderung, es wird jedoch empfohlen, TPM zu implementieren.

Informationen zu anderen Hostplattformen finden Sie unter Aktivieren Windows Server 2016 und Hyper-V-virtualisierungsbasierter Sicherheitsfeatures auf anderen Plattformen.

Informationen zu Windows Defender Hardware- und Softwareanforderungen für Remote Credential Guard finden Sie unter Windows Defender Remote Credential Guard-Anforderungen.

Anforderungen an Anwendungen

Wenn Windows Defender Credential Guard aktiviert ist, werden bestimmte Authentifizierungsfunktionen blockiert, sodass Anwendungen, die blockierte Funktionen erfordern, unterbrochen werden. Anwendungen sollten vor der Bereitstellung getestet werden, um die Kompatibilität mit der reduzierten Funktionalität sicherzustellen.

Warnung

Das Aktivieren von Windows Defender Credential Guard auf Domänencontrollern wird nicht unterstützt. Der Domänencontroller hostet Authentifizierungsdienste, die in isolierte Prozesse integriert werden, wenn Windows Defender Credential Guard aktiviert ist. Dadurch kommt es zu Abstürzen.

Hinweis

Windows Defender Credential Guard bietet keinen Schutz für die Active Directory-Datenbank oder die Sicherheitskontenverwaltung (Security Accounts Manager, SAM). Die bei Aktivierung von Windows Defender Credential Guard durch Kerberos und NTLM geschützten Anmeldeinformationen sind auch in der Active Directory-Datenbank (auf Domänencontrollern) und in der SAM (für lokale Konten) enthalten.

Anwendungen werden unterbrochen, wenn sie Folgendes benötigen:

  • Kerberos-DES-Verschlüsselungsunterstützung
  • Uneingeschränkte Kerberos-Delegierung
  • Extrahieren des Kerberos-TGT
  • NTLMv1

Anwendungen fordern Anmeldeinformationen an und setzen diese Risiken aus, wenn sie Folgendes benötigen:

  • Digestauthentifizierung
  • Delegierung von Anmeldeinformationen
  • MS-CHAPv2

Anwendungen können zu Leistungsproblemen führen, wenn sie versuchen, den isolierten Windows Defender Credential Guard-Prozess zu verknüpfen.

Dienste oder Protokolle, die auf Kerberos basieren, z.B. Dateifreigaben, Remotedesktop oder BranchCache, funktionieren weiterhin und sind von Windows Defender Credential Guard nicht betroffen.

Sicherheitsaspekte

Alle Computer, die die Hardware-, Firmware- und Softwareanforderungen für grundlegenden Schutz erfüllen, können Windows Defender Credential Guard nutzen. Computer mit zusätzlichen Qualifikationen können erweiterten Schutz bieten, um die Angriffsfläche weiter zu verringern. In den folgenden Tabellen werden grundlegende Schutzmaßnahmen und Schutzmaßnahmen für erhöhte Sicherheit für Hardware- und Firmwareoptionen beschrieben, die 2015, 2016 und 2017 verfügbar sind.

Hinweis

Ab Windows10, Version 1607, muss Trusted Platform Module (TPM 2.0) auf neu ausgelieferten Computern standardmäßig aktiviert sein.

Wenn Sie OEM sind, lesen Sie die PC-OEM-Anforderungen für Windows Defender Credential Guard.

Grundlegender Schutz

Grundlegender Schutz Beschreibung Sicherheitsvorteile
Hardware: 64-Bit-CPU Damit Windows-Hypervisor VBS bereitstellen kann, ist ein 64-Bit-Computer erforderlich.
Hardware: CPU-Virtualisierungserweiterungensowie erweiterte Seitentabellen Anforderungen:
– Diese Hardwarefeatures sind für VBS erforderlich: eine der folgenden Virtualisierungserweiterungen: - VT-x (Intel) oder - AMD-V And: - Erweiterte Seitentabellen, auch als Second Level Address Translation (SLAT) bezeichnet.
VBS isoliert den sicheren Kernel vom normalen Betriebssystem.

Aufgrund dieser Isolierung ist es nicht möglich, Sicherheitslücken und Zero-Day-Angriffe im normalen Betriebssystem zu missbrauchen.
Hardware: Trusted Platform Module (TPM) Anforderung:
– TPM 1.2 oder TPM 2.0, entweder diskret oder Firmware. TPM-Empfehlungen
Ein TPM bietet Schutz für VBS-Verschlüsselungsschlüssel, die in der Firmware gespeichert sind. TPM schützt vor Angriffen, an denen ein physisch anwesender Benutzer mit BIOS-Zugriff beteiligt ist.
Firmware: UEFI-Firmwareversion 2.3.1.c oder höher mit „Sicherer Start“ gemäß UEFI Anforderungen:
- Siehe die folgende Anforderung Windows Hardwarekompatibilitätsprogramms: System.Fundamentals.Firmware.UEFISecureBoot
Der sichere Start von UEFI trägt dazu bei, sicherzustellen, dass das Gerät nur autorisierten Code startet, und kann verhindern, dass Startkits und Rootkits bei Neustarts installiert und beibehalten werden.
Firmware: Prozess für ein sicheres Firmwareupdate Anforderungen:
– Die UEFI-Firmware muss ein sicheres Firmwareupdate unterstützen, das unter der folgenden Anforderung Windows Hardwarekompatibilitätsprogramms zu finden ist: System.Fundamentals.Firmware.UEFISecureBoot.
UEFI-Firmware kann wie Software Sicherheitsrisiken aufweisen. Falls vorhanden, müssen sie mithilfe von Firmwareupdates gepatcht werden. Die Patches verhindern die Installation von Rootkits.
Software: Qualifiziertes Windows-Betriebssystem Anforderung:
– Mindestens Windows 10 Enterprise oder Windows Server 2016.
Unterstützung von VBS und von Verwaltungsfeatures, welche die Konfiguration von Windows Defender Credential Guard vereinfachen.

Wichtig

Als Domänencontroller unterstützt Windows Server 2016 Windows Defender Credential Guard nicht.

Wichtig

Die folgenden Tabellen enthalten zusätzliche Qualifikationen für erhöhte Sicherheit. Allerdings wird dringend empfohlen, die Anforderungen für erhöhte Sicherheit einzuhalten, um den Sicherheitsgrad, den Windows Defender Credential Guard gewährleisten kann, deutlich zu erhöhen.

Zusätzliche Sicherheitsqualifikationen 2015 (ab Windows10, Version 1507, und Windows Server2016, Technical Preview 4)

Schutzmaßnahmen für erhöhte Sicherheit Beschreibung
Hardware: IOMMU (Input/Output Memory Management Unit, Speicherverwaltungseinheit für die Ein-/Ausgabe) Anforderung:
- VT-D oder AMD Vi IOMMU

Sicherheitsvorteile:
– Eine IOMMU kann die Systemresilienz gegenüber Speicherangriffen verbessern. Weitere Informationen finden Sie unter AcpI-Beschreibungstabellen (Advanced Configuration and Power Interface)
Firmware: Schützen der Startkonfiguration und -verwaltung Anforderungen:
– BIOS-Kennwort oder sicherere Authentifizierung muss unterstützt werden.
– In der BIOS-Konfiguration muss die BIOS-Authentifizierung festgelegt sein.
– Die geschützte BIOS-Option zum Konfigurieren einer Liste zulässiger Startgeräte (z.B. „Nur von interner Festplatte starten“) und der Reihenfolge von Startgeräten, durch die die vom Betriebssystem vorgenommene BOOTORDER-Änderung überschrieben wird, müssen unterstützt werden.
– In der BIOS-Konfiguration müssen sicherheitsbezogene BIOS-Optionen und Startoptionen (Liste zulässiger Startgeräte, Startreihenfolge) geschützt werden, um den Start anderer Betriebssysteme und Änderungen an den BIOS-Einstellungen zu verhindern.
Firmware: Sichere Implementierung von MOR, Version 2 Anforderung:
– Sichere MOR-Implementierung, Revision 2

Zusätzliche Sicherheitsqualifikationen 2016 (ab Windows10, Version 1607, und Windows Server2016)

Wichtig

Die folgenden Tabellen enthalten zusätzliche Qualifikationen für erhöhte Sicherheit. Systeme, die diese zusätzlichen Qualifikationen erfüllen, bieten einen stärkeren Schutz.

Schutzmaßnahmen für erhöhte Sicherheit Beschreibung Sicherheitsvorteile
Firmware: Hardware-Vertrauensanker, sicherer Plattformstart Anforderungen:
– Die Startintegrität (sicherer Plattformstart) muss unterstützt werden. Siehe die Anforderungen des Windows-Hardware-Kompatibilitätsprogramms unter System.Fundamentals.Firmware.CS. UEFISecureBoot.ConnectedStandby
– HSTI (Hardware Security Test Interface) muss implementiert sein. Siehe Spezifikation zur Prüfbarkeit von Hardwaresicherheit.
Startintegrität (sicherer Plattformstart) nach dem Einschalten bietet Schutzmaßnahmen vor physisch anwesenden Angreifern und eine tiefengestaffelte Verteidigung gegen Schadsoftware.
– HSTI bietet eine zusätzliche Absicherung für ordnungsgemäß geschützte Chip- und Plattformkomponenten.
Firmware: Firmwareupdate über Windows Update Anforderungen:
– Die Firmware muss Feldupdates über Windows Update und UEFI-Kapselungsupdate unterstützen.
Stellt sicher, dass Firmwareupdates schnell, sicher und zuverlässig sind.
Firmware: Schützen der Startkonfiguration und -verwaltung Anforderungen:
– Erforderliche BIOS-Funktionen: OEMs können während der Fertigung in der Datenbank für „Sicherer Start“ ISV-, OEM- oder Unternehmenszertifikate hinzufügen.
– Erforderliche Konfigurationen: Die Microsoft-UEFI-Zertifizierungsstelle muss aus der Datenbank für „Sicherer Start“ entfernt werden. UEFI-Module von Drittanbietern können unterstützt werden, allerdings sollten von ISVs bereitgestellte Zertifikate oder OEM-Zertifikate für die spezifische UEFI-Software genutzt werden.
– Unternehmen können die Ausführung proprietärer EFI-Treiber/-Anwendungen zulassen.
– Durch das Entfernen der Microsoft-UEFI-Zertifizierungsstelle aus der Datenbank für „Sicherer Start“ erhalten Unternehmen die vollständige Kontrolle über Software, die vor dem Betriebssystemstart ausgeführt wird.

Zusätzliche Sicherheitsqualifikationen 2017 (ab Windows10, Version1703)

Die folgende Tabelle enthält die Qualifikationen für Windows10, Version 1703, die zusätzlich zu allen vorherigen Qualifikationen gelten.

Schutzmaßnahmen für erhöhte Sicherheit Beschreibung Sicherheitsvorteile
Firmware: VBS-Aktivierung des No-Execute-NX-Schutzes für UEFI-Laufzeitdienste Anforderungen:
– VBS aktiviert den NX-Schutz für UEFI-Laufzeitdienstcode und Datenspeicherbereiche. UEFI-Laufzeitdienstcode muss Maßnahmen für den schreibgeschützten Seitenschutz unterstützen, und UEFI-Laufzeitdienstdaten dürfen nicht ausführbar sein. Der UEFI-Laufzeitdienst muss die folgenden Anforderungen erfüllen:
– Implementieren von UEFI 2.6 EFI_MEMORY_ATTRIBUTES_TABLE. Alle UEFI-Laufzeitdienstspeicher (Code und Daten) müssen in dieser Tabelle beschrieben werden.
– PE-Abschnitte müssen im Speicher seitenbündig ausgerichtet sein (nicht erforderlich für nicht veränderlichen Speicher).
– Die Tabelle mit Speicherattributen muss Code und Daten ordnungsgemäß als RO/NX für die Konfiguration durch das Betriebssystem markieren:
– Alle Einträge müssen das EFI_MEMORY_RO-Attribut und/oder EFI_MEMORY_XP-Attribut enthalten.
– Es dürfen keine Einträge mit einem der oben genannten Attribute verbleiben, die angeben, dass der Speicher sowohl ausführbar als auch beschreibbar ist. Der Speicher muss entweder lesbar und ausführbar oder schreibbar und nicht ausführbar sein.
(SIEHE WICHTIGE INFORMATIONEN NACH DIESER TABELLE)
Sicherheitslücken in der UEFI-Laufzeit werden ggf. daran gehindert, VBS zu gefährden (z. B. in Funktionen wie UpdateCapsule und SetVariable).
– Reduziert die Angriffsfläche auf VBS von der Systemfirmware.
Firmware: Firmwareunterstützung für SMM-Schutz Anforderungen:
– Die Spezifikation Windows SMM Security Mitigations Table (WSMT) enthält Details zu einer ACPI-Tabelle, die für die Verwendung mit Windows Betriebssystemen erstellt wurde, die Windows Virtualisierungs-basierte Sicherheitsfeatures (VBS) unterstützen.
– Schützt vor potenziellen Sicherheitsrisiken in UEFI-Laufzeitdiensten, falls vorhanden, wird verhindert, dass VBS kompromittiert wird (z. B. in Funktionen wie UpdateCapsule und SetVariable)
– Reduziert die Angriffsfläche auf VBS von der Systemfirmware.
– Verhindert zusätzliche Sicherheitsangriffe auf SMM.

Wichtig

Bezüglich der VBS-Aktivierung des NX-Schutzes für UEFI-Laufzeitdienste:

  • Dies gilt nur für UEFI-Laufzeitdienstspeicher und nicht für UEFI-Startdienstspeicher.

  • Dieser Schutz wird von VBS auf Seitentabellen des Betriebssystems angewendet.

    Beachten Sie außerdem Folgendes:

    • Verwenden Sie keine Abschnitte, die sowohl schreibbar als auch ausführbar sind

    • Versuchen Sie nicht, ausführbaren Systemspeicher direkt zu ändern

    • Verwenden Sie keinen dynamischen Code