Как работает Credential Guard в Защитнике Windows

Область применения

  • Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019

Диспетчер учетных данных, NTLM и Kerberos изолируют секреты с помощью безопасности на основе виртуализации. Предыдущие версии Windows хранили секреты в локальной системе безопасности (LSA). В версиях Windows, предшествовавших Windows10, за хранение секретов, используемых в операционной системе, отвечала служба LSA, которая размещала их в памяти своего процесса. С появлением Credential Guard в Защитнике Windows процесс LSA в операционной системе стал взаимодействовать с новым компонентом— изолированным процессом LSA, который отвечает за хранение и защиту секретов. Данные, хранимые в изолированном процессе LSA, защищены с помощью безопасности на основе виртуализации и недоступны для остальной операционной системы. LSA взаимодействует с изолированным процессом LSA с помощью удаленных вызовов процедур.

По соображениям безопасности в изолированном процессе LSA не хранятся никакие драйверы устройств. Он содержит только небольшую группу двоичных файлов операционной системы, которые необходимы для обеспечения безопасности. Все эти двоичные файлы подписаны сертификатом, который является доверенным для средства обеспечения безопасности на основе виртуализации, а перед запуском файла в защищенной среде эти подписи проверяются.

При включенном Credential Guard в Защитнике Windows NTLMv1, MS-CHAPv2, Digest и CredSSP не могут использовать учетные данные для входа в систему. Таким образом, единый вход не работает с этими протоколами. Однако приложения могут запросить учетные данные или использовать учетные данные, хранимые в хранилище Windows Vault, которые не защищены Защитник Windows credential Guard ни с одним из этих протоколов. Рекомендуется, чтобы ценные учетные данные, такие как учетные данные входа, не использовались ни в одной из этих протоколов. Если эти протоколы должны использоваться пользователями домена или Azure AD, для таких случаев необходимо предоставить дополнительные учетные данные.

Если включить Credential Guard в Защитнике Windows, Kerberos запрещает неограниченное делегирование Kerberos или шифрование DES не только в отношении учетных данных для входа в систему, но также относительно запрошенных или сохраненных учетных данных.

Ниже представлен краткий обзор изолированности LSA с помощью безопасности на основе виртуализации:

Защитник Windows Обзор Credential Guard.

Статьи по теме

Связанные видео

Что такое безопасность на основе виртуализации?