Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Geheimnisse zu isolieren und zu schützen (z. B. NTLM-Kennworthashes und Kerberos-Ticket-Gewährungstickets), um Pass-the-Hash- oder Pass-the-Ticket-Angriffe (PtH) zu blockieren. Wenn Microsoft Defender Credential Guard aktiviert ist, kann NTLMv1, MS-CHAPv2, Digest und CredSSP die Anmeldeinformationen nicht verwenden. Folglich funktioniert einmaliges Anmelden mit diesen Protokollen nicht. Anwendungen können jedoch Anmeldeinformationen anfordern oder Anmeldeinformationen verwenden, die im Windows-Tresor gespeichert sind, die von Microsoft Defender Credential Guard nicht mit einem dieser Protokolle geschützt sind.
Es wird dringend empfohlen, wichtige Anmeldedaten, wie z. B. die Anmeldedaten, nicht mit einem dieser Protokolle zu verwenden. Wenn diese Protokolle von Domänen- oder Azure AD-Benutzern verwendet werden müssen, sollten für diese Anwendungsfälle sekundäre Anmeldeinformationen bereitgestellt werden.
Wenn Microsoft Defender Credential Guard aktiviert ist, erlaubt Kerberos keine unkonstrainierte Kerberos-Delegation oder DES-Verschlüsselung, nicht nur für angemeldete Anmeldeinformationen, sondern auch aufgeforderte oder gespeicherte Anmeldeinformationen.
Hinweis: Ab Windows 10 Version 1709 und Windows Server Version 1709, wenn Intel TXT oder SGX in einer Plattform über das BIOS aktiviert ist, sind Hypervisor-Protected Code Integrity (HCVI) und Credential Guard nicht betroffen und funktionieren wie erwartet. HVCI und Credential Guard werden in früheren Versionen von Windows nicht unterstützt, wenn Intel TXT oder SGX in einer Plattform über das BIOS aktiviert sind.
Ein besseres Verständnis dafür, was Microsoft Defender Credential Guard ist und welche Angriffe es wieder schützt, finden Sie unter Ausführliche Informationen zu Credential Guard.
IT-Experten: Informationen zum Bereitstellen von Microsoft Defender Credential Guard in Ihrem Unternehmen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.
Für ein Gerät, das Microsoft Defender Credential Guard unterstützt, wie in den Windows-Hardwarekompatibilitätsanforderungen (WHCR) angegeben, muss der OEM die folgenden Hardware-, Software- oder Firmwarefeatures bereitstellen.
| Anforderung | Details |
|---|---|
| Sicherer Start | Hardwarebasierter sicherer Start muss unterstützt werden. Weitere Informationen finden Sie unter Sicherer Start. |
| Konfiguration und Verwaltung von „Sicherer Start“ |
|
| Prozess für ein sicheres Firmwareupdate | Wie UEFI-Software kann UEFI-Firmware Sicherheitsrisiken aufweisen. Es ist wichtig, dass solche Schwachstellen sofort repariert werden können, wenn sie durch Firmware-Updates entdeckt werden. UEFI-Firmware muss das sichere Firmwareupdate nach der Hardwarekompatibilitätsspezifikation für Systeme für Windows 10 unter System.Fundamentals.Firmware.UEFISecureBoot unterstützen. |
| United Extensible Firmware Interface (UEFI) | Weitere Informationen finden Sie unter Firmwareanforderungen für United Extensible Firmware Interface (UEFI). |
| Virtualisierungsbasierte Sicherheit (VBS) | Hypervisor-geschützte Code-Integrität erfordert VBS. Weitere Informationen über VBS finden Sie in Virtualisierungsbasierte Sicherheit (VBS). |
Hypervisor-Protected Codeintegrität und Credential Guard-Bereitschaftstool
Um festzustellen, ob ein Gerät HVCI und Credential Guard ausführen kann, laden Sie das HVCI- und Credential Guard-Hardwarebereitschaftstool herunter.