Funzionamento di Windows Defender Credential Guard

Si applica a

  • Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019

Kerberos, NTLM e Gestione credenziali isolano i segreti utilizzando la sicurezza basata su virtualizzazione. Le versioni precedenti di Windows archiviavano i segreti nell'autorità di protezione locale (LSA). Prima di Windows10, nella LSA venivano archiviati i segreti usati dal sistema operativo nella memoria dei processi. Con Windows Defender Credential Guard abilitato, il processo LSA nel sistema operativo comunica con un nuovo componente detto processo LSA isolato, in cui è possibile archiviare tali segreti e che li protegge. I dati archiviati dal processo LSA isolato sono protetti tramite la sicurezza basata su virtualizzazione e non sono accessibili al resto del sistema operativo. Per comunicare con il processo LSA isolato, l'autorità di protezione locale usa RPC (Remote Procedure Call).

Per motivi di sicurezza, il processo LSA isolato non ospita driver di dispositivo. Ospita invece un piccolo sottoinsieme dei file binari del sistema operativo necessari per la sicurezza e nient'altro. Tutti questi file binari sono firmati con un certificato considerato attendibile dalla sicurezza basata su virtualizzazione e queste firme vengono convalidate prima di avviare il file nell'ambiente protetto.

Quando Windows Defender Credential Guard è abilitato, NTLMv1, MS-CHAPv2, Digest e CredSSP non possono utilizzare le credenziali di accesso. Pertanto, Single-Sign-On non funziona con questi protocolli. Tuttavia, le applicazioni possono richiedere le credenziali o utilizzare le credenziali archiviate in Windows Vault, che non sono protette da Windows Defender Credential Guard con uno di questi protocolli. È consigliabile non utilizzare credenziali preziose, ad esempio le credenziali di accesso, con nessuno di questi protocolli. Se questi protocolli devono essere usati dagli utenti del dominio o di Azure AD, per questi casi d'uso devono essere fornite credenziali secondarie.

Quando Windows Defender Credential Guard è abilitato, Kerberos non consente la delega Kerberos senza alcun vincolo né la crittografia DES, non solo per le credenziali di accesso, ma anche per le credenziali richieste o salvate.

Ecco una panoramica generale su come l'ambiente LSA viene isolato tramite la sicurezza basata su virtualizzazione:

Windows Defender panoramica di Credential Guard.

Vedere anche

Video correlati

Che cos'è la sicurezza basata su virtualizzazione?