Mit dem Windows Defender Credential Guard in Windows 11 kannst du deine Anmeldeinformationen noch besser schützen. Da das Thema IT-Sicherheit immer mehr an Bedeutung gewinnt, solltest du dich damit beschäftigen.
Was ist Windows Defender Credential Guard in Windows 11?
Dieses Feature wurde mit Windows 10 Enterprise und Windows Server 2016 eingeführt. Es schützt sensible Anmeldeinformationen, wie Passwörter und Tokens, indem es eine virtualisierungsbasierte Sicherheitsumgebung (VBS) nutzt.
Dadurch haben nur privilegierte Systemkomponenten Zugriff auf diese Daten – nicht einmal Malware mit Administratorrechten kann sie auslesen.
Davor schützt dich der Windows Defender Credential Guard in Windows 11
Angriffe wie Pass-the-Hash oder Pass-the-Ticket zielen darauf ab, Anmeldeinformationen zu stehlen. Credential Guard blockiert solche Angriffe, indem es vertrauliche Daten isoliert. Zu diesen vertraulichen Daten gehören u. a. folgende:
- NTLM-Kennworthashes
- Kerberos-Ticket-Granting-Tickets
- Domänenanmeldeinformationen
Funktionsweise von Windows Defender Credential Guard
Früher wurden diese Daten in der Local Security Authority (LSA) gespeichert. Mit aktivierter Credential Guard kommuniziert LSA mit einem isolierten Prozess, der in einer virtualisierten Umgebung läuft. Das restliche Betriebssystem hat keinen Zugriff darauf.
Zusätzliche Schutzmaßnahmen:
Der isolierte Prozess erlaubt keine unsicheren Gerätetreiber. Nur signierte und vertrauenswürdige Systemdateien dürfen in dieser Umgebung ausgeführt werden.
Vorteile von Credential Guard
- Besserer Schutz vor modernen Bedrohungen: Angriffe, die auf den Diebstahl von Anmeldeinformationen abzielen, werden effektiv blockiert.
- Auf Virtualisierung basierende Sicherheit: Geheimnisse sind selbst bei kompromittierten Betriebssystemen sicher.
- Nahtlose Integration: Funktioniert auf physischen und virtuellen Maschinen gleichermaßen.
Voraussetzungen für Windows Defender Device Guard unter Windows 11
Hardwareanforderungen
- Prozessor: Unterstützung für Intel VT-x/AMD-V und SLAT (Intel EPT/AMD RVI).
- 64-Bit-System: Nur auf 64-Bit-Systemen verfügbar.
- TPM 2.0: Aktiviert und einsatzbereit.
- UEFI-Firmware: Unterstützung für UEFI und Secure Boot (Legacy BIOS nicht unterstützt).
Betriebssystemanforderungen
- Windows-Edition: Windows 11 Pro, Enterprise oder Education (kein Support für Windows 11 Home).
- Hypervisor Enforced Code Integrity (HVCI): Erforderlich für den Schutz des Kernel-Modus.
BIOS-/UEFI-Einstellungen
- Secure Boot: Muss aktiviert sein.
- Virtualisierung: Virtualization Technology (Intel VT-x/AMD-V) und IOMMU (Intel VT-d/AMD-Vi) aktivieren.
Softwarevoraussetzungen
- Hyper-V: Muss aktiviert sein, da Device Guard Virtualisierung verwendet.
- Gruppenrichtlinien: Erforderlich für die Konfiguration von Device Guard und WDAC-Richtlinien.
- Memory Integrity (Speicherintegrität): Aktivierung über „Windows-Sicherheit → Gerätesicherheit“.
So aktivierst du den Credential Guard in Windows 11
Du kannst Credential Guard einfach aktivieren, z. B. über die Gruppenrichtlinienverwaltung, welche du am einfachsten über gpedit.msc öffnen kannst. Anschließend musst du dabei folgenden Pfad öffnen:
- Computerkonfiguration → Administrative Vorlagen → System → Device Guard.
- Aktiviere „Auf Virtualisierung basierte Sicherheit“.
- Wähle unter „Plattformsicherheitsstufe“ die Option sicherer Start.
- Konfiguriere Credential Guard auf mit UEFI-Sperre aktiviert (empfohlen).
Fazit
Windows Defender Credential Guard ist ein mächtiges Werkzeug, um deine Systeme vor dem Diebstahl von Anmeldeinformationen zu schützen. Kombiniere es mit anderen Sicherheitsmaßnahmen, wie dem Device Guard, um deine IT-Infrastruktur noch sicherer zu machen.
Natürlich solltest du auch eine Antivirensoftware verwenden. Entweder die Microsoft bordeigenen Tools oder aber eine Drittanbieter-Software wie Sophos Home oder F-Secure Internet Security.
Empfohlene Beiträge
