Proteggere le credenziali di dominio derivate con Windows Defender Credential Guard

Si applica a

  • Windows 10
  • Windows Server2016

Introdotta in Windows10 Enterprise e Windows Server 2016, la protezione delle credenziali di Windows Defender usa la sicurezza basata sulla virtualizzazione per isolare i segreti in modo che solo il software di sistema privilegiato possa accedervi. L’accesso non autorizzato a questi segreti può produrre attacchi di furto delle credenziali come attacchi di tipo Pass-the-Hash o Pass-The-Ticket. Windows Defender Credential Guard impedisce questi attacchi proteggendo gli hash delle password NTLM, i ticket di concessione Ticket Kerberos e le credenziali archiviate dalle applicazioni come credenziali di dominio.

Abilitando Windows Defender Credential Guard, sono disponibili le seguenti funzionalità e soluzioni:

  • Sicurezza hardware NTLM, Kerberos e Gestione credenziali sfruttano al meglio le funzionalità di sicurezza della piattaforma, tra cui Avvio protetto e virtualizzazione, per proteggere le credenziali.
  • Sicurezza basata su virtualizzazione Le credenziali di dominio derivate NTLM e Kerberos di Windows e altri segreti vengono eseguiti in un ambiente protetto isolato dal sistema operativo in esecuzione.
  • Maggiore protezione da minacce persistenti avanzate Quando le credenziali di dominio di Gestione credenziali e le credenziali derivate NTLM e Kerberos vengono protette mediante la sicurezza basata su virtualizzazione, le tecniche e gli strumenti per il furto delle credenziali utilizzati in molti attacchi mirati vengono bloccati. Il malware eseguito nel sistema operativo, anche se con privilegi amministrativi, non può estrarre segreti protetti tramite la sicurezza basata su virtualizzazione. Windows Defender Credential Guard è un mezzo di attenuazione potente. È probabile tuttavia che le minacce persistenti adottino nuove tecniche di attacco. Pertanto sarebbe necessario incorporare anche Device Guard e altre strategie e architetture di sicurezza.

Argomenti correlati