Windows Credential Guard ist eine Sicherheitsfunktion, die Authentifizierungsdaten vor böswilligen Angriffen schützt. Es verhindert, dass Hacker Systemtools manipulieren oder schädliche Codes auf Ihrem Computer ausführen. Diese Funktion ist in den Varianten Enterprise und Pro von Windows 10 und Windows 11 verfügbar. Sie sollten die Aktivierung von Credential Guard in Betracht ziehen, wenn Sie vertrauliche Daten lokal oder remote in einer Windows-Domäne oder -Arbeitsgruppe verarbeiten oder darauf zugreifen.
Was ist Credential Guard genau?
Wenn Sie Ihren Computer starten, authentifiziert ein Prozess namens Local Security Authority Server Service (LSASS) die Anmeldeinformationen und gewährt Ihnen Zugriff. LSASS speichert auch diese Anmeldeinformationen (verschlüsselte Passwörter, NT-Hashes, LM-Hashes und Kerberos-Tickets) im Speicher während aktiver Sitzungen, sodass Sie Ihr Passwort nicht jedes Mal neu eingeben müssen, wenn Sie Änderungen vornehmen oder auf Dateien zugreifen müssen.
Das Speichern der Anmeldeinformationen während der Sitzungen im Speicher ist praktisch im Vergleich zur Alternative: manuelle Identitätsauthentifizierung bei jedem Schritt. Zugegeben, die gelegentliche Eingabe von Authentifizierungsdaten verbessert die Sicherheit. Authentifizierungsdaten sind jedoch langwierig, insbesondere in ihren gehashten Formen. Besonders unpraktisch wäre es, wenn Sie schnell eine Änderung vornehmen müssten und besonders frustrierend, wenn Sie sich vertippt haben und ein Passwort neu eingeben müssten. Und wenn Sie das Passwort irgendwo aufschreiben müssen, könnte dies Ihr Sicherheitsrisiko möglicherweise erhöhen. LSASS verarbeitet Authentifizierungen, sodass Ihre Gerätenutzung effizient ist.
Aber wie Sie sich vorstellen können, ist LSASS mit allem, was wertvolle, sensible Daten speichert, ein Jackpot für Hacker. Sie können LSASS durch kompromittieren Anmeldedatendiebstahl-Angriffe mit Tools wie Mimikatz, Crackmapexec und Lsassy. Hacker verwenden diese Tools, um die echte Systemdatei (lsass.exe) zu löschen, zu ersetzen oder zu ändern.
Es gibt Möglichkeiten, den Diebstahl von Anmeldeinformationen zu stoppen, bevor ein Hacker immensen Schaden anrichtet, und es ist möglich, einen Angriff zu stoppen, sobald Sie ihn entdeckt haben. Es ist jedoch besser, den Angriff von vornherein zu verhindern. Credential Guard schützt vor böswilligen Angriffen, indem es einen isolierten LSASS-Prozess (LSAIso) erstellt, der Authentifizierungsdaten sicher speichert.
Warum Sie Credential Guard auf Ihrem PC aktivieren sollten
Die Sicherheitsfunktion isoliert Anmeldeinformationen vom restlichen Systemspeicher sowie vom Hauptprozess (lsass.exe), der die Authentifizierung durchführt. Es handelt sich also im Wesentlichen um eine Blackbox.
Sie sollten Credential Guard verwenden, wenn Sie mehrere Computer haben, die Teil einer Domäne oder Arbeitsgruppe sind. Warum? Ein Angreifer, der ein Gerät mit Admin-Anmeldedaten kompromittiert, kann das gesamte Netzwerk kompromittieren. Die Aktivierung dieser Funktion verhindert effektiv, dass ein Angreifer die vollständige Kontrolle über vertrauliche Informationen erlangt, wenn er ein System kompromittiert.
Ihr System muss die Anforderungen erfüllen
Windows Credential Guard ist exklusiv für die Enterprise- und Pro-Varianten von Windows 10 und 11. Neuere Versionen von Windows Servern verfügen ebenfalls über diese Sicherheitsfunktion, aber das Gerät muss strenge Hardware- und Softwareanforderungen erfüllen.
Zunächst einmal muss das Gerät über eine 64-Bit-CPU (zur Unterstützung virtualisierungsbasierter Sicherheit) und einen sicheren Start verfügen. Microsoft empfiehlt auch zu haben Vertrauenswürdiges Plattformmodul (TPM) Versionen 1.2 oder 2.0 und UEFI-Sperre (um Angreifer daran zu hindern, das Sicherheitssetup mit regedit zu umgehen). Sie können die überprüfen grundlegende Anforderungen basierend auf dem Computer oder Server, den Sie schützen möchten.
So aktivieren Sie den Anmeldeinformationsschutz unter Windows
Auf Ihrem Computer oder Server ist Credential Guard standardmäßig aktiviert, wenn er die grundlegenden Anforderungen von Microsoft erfüllt. Um zu überprüfen, ob diese Sicherheitsfunktion bereits aktiviert ist, drücken Sie Start Geben Sie dann "msinfo32.exe" ein. Wählen Systeminformationen > Systemzusammenfassung. Sie sollten „Virtualisierungsbasierte Sicherheitsdienste werden ausgeführt“ und „Credential Guard, Hypervisor erzwungene Codeintegrität“ nebeneinander sehen.
Wenn Credential Guard auf Ihrem Computer nicht aktiviert ist, können Sie die Funktion auf drei Arten aktivieren: über Gruppenrichtlinien, Bearbeiten der Windows-Registrierung oder Verwenden von Microsoft Intune. Es besteht auch die Möglichkeit, Credential Guard mit UEFI-Sperre zu aktivieren, wenn Sie ein Power-User sind. Die meisten Administratoren finden es einfacher, diese Funktion mit Gruppenrichtlinien zu aktivieren.
So deaktivieren Sie den Credential Guard unter Windows
Trotz seiner Nützlichkeit bei der Verhinderung des Diebstahls von Anmeldeinformationen und Pass-the-Hash-Angriffen führt Credential Guard dazu, dass einige Dienste und Protokolle beschädigt werden. Wenn Sie beispielsweise die Sicherheitsfunktion aktivieren, werden Sie daran gehindert, Windows To Go, uneingeschränkte Kerberos-Delegierung und DES-Verschlüsselung zu verwenden.
Außerdem können Sie keine Security Support Provider (SSPs) von Drittanbietern verwenden, da diese anfällig für Angriffe zum Stehlen von Anmeldeinformationen sind. Wi-Fi- und VPN-Endpunkte, die auf MS-CHAPv2 basieren, sind gleichermaßen anfällig und werden deaktiviert, wenn Sie Credentials Guard aktivieren.
Wenn Sie einige der oben genannten Funktionen benötigen, können Sie Credential Guard so lange deaktivieren, wie Sie möchten. Stellen Sie jedoch sicher, dass Sie eine Erinnerung festlegen, um es wieder zu aktivieren.
Deaktivieren mit dem Gruppenrichtlinien-Editor
Ihre erste Option besteht darin, Credential Guard zu deaktivieren, indem Sie die Gruppenrichtlinieneinstellungen ändern.
Drücken Sie dazu Start und geben Sie „gpedit“ ein und wählen Sie dann aus Gruppenrichtlinie bearbeiten. Gehe zu Computerkonfiguration > Administrative Vorlagen > System > Device Guard > Virtualisierungsbasierte Sicherheit aktivieren > Optionen. Stellen Sie "Credential Guard Configuration" auf ein Behinderte, klicken OK um die Änderung zu speichern und starten Sie Ihren Computer neu.
Deaktivieren mit regedit
Diese Option ist großartig, wenn Sie Defender Credential Guard mit einer anderen Methode als UEFI-Sperre und Gruppenrichtlinie aktiviert haben. Um Credential Guard mit Regedit zu deaktivieren, drücken Sie Start und geben Sie „regedit“ ein. Wählen Registierungseditor. Navigieren Sie zunächst zum Dateipfad HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags und setzen Sie den Wert auf "0".
Navigieren Sie als Nächstes zurück zu HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags und setzen Sie den Wert auf "0".
Sie können auch folgen Anleitung von Microsoft zum Deaktivieren von Credential Guard mit UEFI-Sperre oder zum Deaktivieren der Sicherheitsfunktion auf einer virtuellen Maschine.
Das Aktivieren von Credential Guard ist nur eine Vorbeugung
Die Faustregel lautet, vor dem Pflanzen einen Zaun um Ihren Garten zu installieren, insbesondere wenn Sie in einem Gebiet mit freilaufenden Tieren leben. Dieser Zaun wäre nutzlos, wenn Sie bereits Ziegen auf Ihrem Grundstück haben – in diesem Fall müssten Sie sie vertreiben.
Das gleiche Prinzip gilt für den Schutz Ihrer sensiblen Zugangsdaten. Wenn aktiviert, verhindert Credential Guard, dass Hacker Ihre Daten stehlen. Es wäre jedoch wirkungslos, wenn sich der Angreifer bereits in Ihrem Netzwerk etabliert oder das Gerät kompromittiert hat. Wenn Sie sich also entscheiden, diese Sicherheitsfunktion auf einem neuen Arbeitscomputer zu verwenden, stellen Sie sicher, dass sie aktiviert ist, bevor der Computer der Windows-Domäne oder -Arbeitsgruppe beitritt.
