Windows Defender Credential Guard und Hypervisor-Protected Code Integrity

Windows Defender Credential Guard ist ein Bestandteil der Hypervisor-Protected Code Integrity (HVCI). Dabei handelt es sich um Virtualization Based Security (VBS), also die Verwendung von Virtualisierungstechnologien für die Verbesserung der Sicherheit in Windows. Windows Defender Credential Guard soll lokale Benutzerkonten schützen und Anmeldungen von Benutzern an lokalen Computern sowie Logins über das Active Directory (AD). Credential Guard ist jedoch kein Schutz für das AD selbst, denn die Funktion lässt sich nicht auf Domänencontrollern aktivieren und damit zentral im Netzwerk nutzen. Sie können die Technik aber über Gruppenrichtlinien einrichten und damit auf allen angebundenen Computern verwenden.

Credential Guard verhindert Angriffe durch den Schutz von NTLM-Kennwort-Hashes, Kerberos-Ticket-Granting-Tickets und Informationen, die von Anwendungen als Domänenanmeldedaten gespeichert werden. Die Funktion kann auf Computern die Hashes von Anmeldungen in einem sicheren Speicherbereich ablegen. Das Aktivieren und Konfigurieren des Features ist nicht sehr kompliziert.

Die Technik gehört zum Lieferumfang von Windows-Systemen und verbessert die Sicherheit ohne nennenswerte Nachteile. Es spricht also nichts dagegen, Credential Guard zu verwenden. Allerdings kann es passieren, dass veraltete Treiber die Technik nicht unterstützen. In diesem Fall sollten Sie den Treiber aktualisieren. Vor der Aktivierung sind daher Tests sinnvoll.

Virtualisierungsbasierte Sicherheit in Windows

VBS nutzt Technologien, um ein Segment des Hauptspeichers virtuell vom Rest des Betriebssystems zu isolieren. Dieser abgesonderte Bereich des Speichers nimmt dann Anmeldeinformationen und Code auf, der für die Windows-Sicherheit verantwortlich ist. Credential Guard und Hypervisor-Protected Code Integrity sind daher eng miteinander verbunden.

Der Grund für die Unterbringung von

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.