Credential Guard 概觀
Credential Guard 藉由保護 NTLM 密碼哈希、Kerberos 票證授與票證 (TGT) ,以及應用程式儲存為網域認證的認證,來防止認證竊取攻擊。
Credential Guard 會使用 虛擬化型安全性 (VBS) 來隔離秘密,以便只有具特殊許可權的系統軟體可以存取它們。 未經授權存取這些秘密可能會導致認證竊取攻擊 ,例如傳遞哈希 並 傳遞票證。
啟用時,Credential Guard 提供下列優點:
- 硬體安全性:NTLM、Kerberos 和認證管理員會利用平臺安全性功能,包括安全開機和虛擬化,以保護認證
- 虛擬化型安全性:NTLM、Kerberos 衍生認證和其他秘密會在與執行中操作系統隔離的受保護環境中執行
- 防範進階持續性威脅:使用 VBS保護認證時,會封鎖許多目標攻擊中使用的認證竊取攻擊技術和工具。 在操作系統中以系統管理許可權執行的惡意代碼無法擷取受 VBS 保護的秘密
注意
雖然 Credential Guard 是功能強大的防護功能,但持續性威脅攻擊可能會轉移到新的攻擊技術,而且您也應該納入其他安全策略和架構。
重要
從 Windows 11 開始,預設會在符合系統需求的所有裝置上啟用 VBS 和 Credential Guard 版本 22H2。
如需與 Credential Guard 預設啟用相關的已知問題資訊,請參閱 Credential Guard:已知問題。
系統需求
若要讓 Credential Guard 提供保護,裝置必須符合特定硬體、韌體和軟體需求。
符合比最低需求更多硬體和韌體資格的裝置,可獲得額外的保護,並更強化以抵禦特定威脅。
硬體與軟體需求
Credential Guard 需要下列功能:
雖然並非必要,但建議使用下列功能來提供額外的保護:
- 信賴平臺模組 (TPM) ,因為它提供硬體系結。 支援 TPM 1.2 和 2.0 版,包括離散或韌體
- UEFI 鎖定,因為它可防止攻擊者使用登錄機碼變更來停用 Credential Guard
如需與硬體和韌體選項相關聯之改善安全性保護的詳細資訊,請參閱 其他安全性資格。
虛擬機中的 Credential Guard
Credential Guard 可以保護 Hyper-V 虛擬機中的秘密,就像在實體機器上一樣。 在 VM 上啟用 Credential Guard 時,會保護秘密免於遭受 VM 內 的攻擊。 Credential Guard 不會提供保護,以防止來自主機的特殊許可權系統攻擊。
在 Hyper-V 虛擬機中執行 Credential Guard 的需求如下:
- Hyper-V 主機必須有 IOMMU
- Hyper-V 虛擬機必須是第 2 代
注意
Hyper-V 或 Azure 第 1 代 VM 不支援 Credential Guard。 Credential Guard 僅適用於第 2 代 VM。
Windows 版本和授權需求
下表列出支援 Credential Guard 的 Windows 版本:
Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
---|---|---|---|
否 | 是 | 否 | 是 |
Credential Guard 授權權利由下列授權授與:
Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
應用程式需求
啟用 Credential Guard 時,會封鎖某些驗證功能。 需要這類功能的應用程式會中斷。 我們將這些需求稱為 應用程式需求。
在部署之前,應先測試應用程式,以確保與降低功能的相容性。
警告
不建議在域控制器上啟用 Credential Guard。 Credential Guard 不會為域控制器提供任何新增的安全性,而且可能會在域控制器上造成應用程式相容性問題。
注意
Credential Guard 不會為 Active Directory 資料庫或安全性帳戶管理員 (SAM) 提供保護。 Kerberos 和 NTLM 在啟用 Credential Guard 時所保護的認證同樣都在 Active Directory 資料庫 (位於網域控制站) 和 SAM (位於本機帳戶) 中。
應用程式會在需要時中斷:
- Kerberos DES 加密支援
- Kerberos 未設限委派
- 擷取 Kerberos TGT
- NTLMv1
應用程式會在需要時提示並公開認證的風險:
- 摘要式驗證
- 認證委派
- MS-CHAPv2
當應用程式嘗試連結隔離的 Credential Guard 程式 LSAIso.exe
時,可能會造成效能問題。
依賴 Kerberos 的服務或通訊協定,例如檔案共用或遠端桌面,會繼續運作,且不受 Credential Guard 影響。
後續步驟
- 瞭解 Credential Guard 的運作方式
- 瞭解 如何設定 Credential Guard
- 請參閱 其他防護 功能文章中的 Credential Guard 建議和範例程式代碼,讓您的環境更安全且更健全
- 檢閱使用 Credential Guard 時的考慮和已知問題
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應