Windows 11/10 hat mehrere neue Sicherheitsfunktionen eingeführt. Eine neue Sicherheitsfunktion, die hinzugefügt wurde, heißt Credential Guard, die dazu beiträgt, abgeleitete Domänenanmeldeinformationen zu schützen.
Anmeldeinformationsschutz in Windows 11/10
Credential Guard ist eine der wichtigsten Sicherheitsfunktionen von Windows 11/10. Es bietet Schutz vor dem Hacken von Domänenanmeldeinformationen und verhindert so, dass Hacker die Unternehmensnetzwerke übernehmen. Zusammen mit Funktionen wie Device Guard und Secure Boot ist Windows 11/10 sicherer als alle vorherigen Windows-Betriebssysteme.
Was ist die Credential Guard-Funktion in Windows 11/0
Wie der Name schon sagt, schützt diese Funktion in Windows 11/10 Anmeldeinformationen in und zwischen Benutzerdomänen in einem Netzwerk. Während frühere Betriebssysteme von Microsoft ID und Passwort für Benutzerkonten im lokalen Arbeitsspeicher speicherten, schafft Credential Guard eine virtueller Behälter und speichert alle Domänengeheimnisse in diesem virtuellen Container, auf den das Betriebssystem nicht direkt zugreifen kann. Sie benötigen keine externe Virtualisierung. Die Funktion nutzt Hyper-V, das Sie im Applet „Programme und Funktionen“ in der Systemsteuerung konfigurieren können.
Wenn Hacker früher ein Windows-Betriebssystem kompromittiert haben, konnten sie Zugriff auf den Hash erhalten, der zum Verschlüsseln der Benutzeranmeldeinformationen verwendet wurde, da er ohne großen Schutz im lokalen RAM gespeichert wurde. Mit Credential Manager werden Anmeldeinformationen in einem virtuellen Container gespeichert, sodass Hacker, selbst wenn sie das System kompromittieren, keinen Zugriff auf den Hash haben. Auf diese Weise können sie nicht in Computer im Netzwerk eindringen.
Kurz gesagt, die Credential Guard-Funktion in Windows 11/10 erhöht die Sicherheit von Domänenanmeldeinformationen und zugehörigen Hashes so dass es für Hacker fast unmöglich wird, auf das Geheimnis zuzugreifen und es auf andere Computer anzuwenden. Somit wird jede Angriffsmöglichkeit erst am Eingang unterbunden. Ich werde nicht sagen, dass Credential Guard unzerbrechlich ist, aber es erhöht auf jeden Fall das Sicherheitsniveau, sodass Ihr Computer und das Netzwerk sicher sind.
Im Gegensatz zu den Credential Guards in früheren Windows-Versionen verbietet der in Windows 11/10 mehrere Protokolle, die es Hackern ermöglichen könnten, den virtuellen Container zu erreichen, in dem die gehashten Anmeldeinformationen gespeichert sind. Die Funktion ist jedoch nicht für alle Computer verfügbar.
Lesen: Remote Credential Guard schützt Remotedesktop-Anmeldeinformationen.
Credential Guard-Systemanforderungen
Es gibt ein paar Einschränkungen – vor allem, wenn Sie preisgünstige Laptops verwenden. Sogar Ultrabooks, die das nicht unterstützen Trusted-Platform-Modul (TPM) Credential Guard kann nicht ausgeführt werden, obwohl das Buch Windows 11/10 Enterprise ausführt.
Credential Guard läuft nur in der Enterprise Edition von Windows 11/10. Wenn Sie Pro oder Education verwenden, können Sie diese Funktion nicht verwenden.
Ihre Maschine sollte es sein Unterstützung von Secure Boot und 64-Bit-Virtualisierung. Damit sind alle 32-Bit-Computer von dieser Funktion ausgeschlossen.
Dies bedeutet nicht, dass Sie alle Ihre Computer gleichzeitig aktualisieren müssen. Sie können alle Computer verwenden, die die Anforderungen erfüllen, nachdem Sie eine Unterdomäne erstellt und inkompatible Computer in die Unterdomäne eingefügt haben. Wenn Sie die oberen Domänen mit Credential Guard konfigurieren und sich die inkompatiblen Computer in einer niedrigeren Unterdomäne befinden, ist die Sicherheit immer noch gut genug, um Anmeldeversuche zu vereiteln.
Grenzen von Credential Guard
Während für Credential Guard in der Windows 11/10 Enterprise Edition einige Hardwareanforderungen bestehen, soll nicht alles durch die Funktion geschützt werden. Folgendes sollten Sie von Credential Guard nicht erwarten:
- Schutz von lokalen und Microsoft-Konten
- Schutz von Anmeldeinformationen, die von einer Drittanbietersoftware verwaltet werden
- Schutz vor Keyloggern.
Credential Guard bietet Schutz vor direkten Hacking-Versuchen und Malware, die nach Anmeldeinformationen sucht. Wenn die Anmeldeinformationen bereits gestohlen wurden, bevor Sie Credential Guard implementieren konnten, hindert dies die Hacker nicht daran, den Hash-Schlüssel auf anderen Computern in derselben Domäne zu verwenden.
Weitere Informationen und Skripte zum Verwalten der Credential Guard-Funktion in Windows 11/10 finden Sie unter TechNet.
Morgen werden wir sehen, wie man Credential Guard mithilfe von Gruppenrichtlinien einschaltet.
Sollte ich Credential Guard aktivieren?
Der Credential Guard stellt sicher, dass die Domänengeheimnisse nicht kompromittiert werden. Wenn es bereits kompromittiert ist, kann Windows Defender Credential Guard das Gerät oder die Identität nicht sichern. Daher wird es nicht nur empfohlen, es zu aktivieren, sondern sollte getan werden, bevor das Gerät der Domäne beitritt.
