使用 Windows Defender Credential Guard 保护特权凭据

单个 Active Directory 凭据的泄露可能会导致对整个企业的服务器、应用程序、虚拟化平台和用户文件进行未经授权的访问。凭证漏洞的原因之一是 Windows 将凭证存储在本地安全机构 (LSA) 中，该机构是内存中的一个进程。

因此，制定一项安全策略来保护 Windows 帐户免遭泄露至关重要，尤其是对公司系统和机密具有更高访问权限的特权帐户。幸运的是，Microsoft 提供了一种安全工具，可以帮助防止 Active Directory 域中的凭据被盗：Windows Defender Credential Guard。本文解释了它是如何工作的。

Windows Defender Credential Guard 简介

Windows Defender Credential Guard 是 Microsoft 在 Windows 10 Enterprise 和 Windows Server 2016 中引入的一项安全功能。Credential Guard 利用基于虚拟化的安全性和隔离d 内存管理 确保只有特权系统软件才能访问域凭据。通过在虚拟化环境中运行该进程，用户登录信息与操作系统的其余部分隔离，并且域凭据免受攻击。 Credential Guard 可保护 NTLM 密码哈希、Kerberos 票证、本地登录凭据和 Credential Manager 域凭据以及远程桌面连接。不要将 Credential Guard 与 Device Guard 混淆； Device Guard 可防止未经授权的代码在您的设备上运行。

但是，启用此功能需要付出一定的成本。启用 Windows Defender 后，域中的 Windows 服务器和设备将无法再使用旧版身份验证协议（例如 NTLMv1、Digest、CredSSP 和 MS-CHAPv2），也无法使用 Kerberos 无约束委派和 DES 加密。

Credential Guard 是否可以防范 Mimikatz？

外部威胁参与者可以通过查询 LSA 来获取内存中的秘密，从而获得对端点的特权访问权限，然后破坏哈希值或票证。 Credential Guard 有助于保护您的组织免受哈希传递和票证传递攻击，这些攻击用于在横向移动期间夺取和提升权限，因此运行 Windows 平台并使用现代身份验证协议的每个端点和服务器都应该已启用 Credential Guard。

然而不幸的是，Credential Guard 并不能完全防范像 Mimikatz 这样的工具，即使无法查询孤立的 LSA。这是因为 Mimikatz 可以捕获正在输入的凭据。 Mimikatz 的作者在推文中提到，如果恶意行为者控制了端点，并且特权用户在机器被接管后登录，他们就有可能获取凭据并提升权限。

Credential Guard 也无法防范 Windows 内部人员使用自己的凭据访问 IT 资产，而不是试图窃取其他帐户的凭据。例如，Credential Guard 无法阻止合法访问公司 IP 的心怀不满的员工在离开组织之前复制该 IP。

启用 Windows Defender Credential Guard

先决条件

Credential Guard 使用 Windows 虚拟机管理程序，因此运行它的所有 Windows 设备必须满足以下要求：

• 64位CPU
• 支持基于虚拟化的安全性
• 安全启动

此外，可信平台模块（TPM）是首选，因为它提供了与硬件的绑定； 支持版本 1.2 和 2.0，无论是离散版本还是固件版本。

启用凭证保护

默认情况下不启用 Windows Defender Credential Guard，因为它无法在仍然依赖旧版身份验证协议的 Windows 设备上运行。要在域中启用它，您可以使用 Intune 或组策略。

选项 1：使用 Intune 启用 Credential Guard

在 Intune 门户中，导航到端点安全 > 帐户保护。然后创建策略，选择以下配置设置：

• 平台：Windows 10 及更高版本
• 个人资料：帐户保护（预览版）

图 1. 创建帐户保护配置文件

为政策命名。然后，在“配置设置”步骤中，将打开 Credential Guard 的值设置为启用 UEFI 锁定。这可确保无法远程禁用 Credential Guard。

图 2. 配置帐户保护配置文件

选项 2：使用组策略启用 Credential Guard

或者，您可以使用组策略管理器来启用 Credential Guard。创建 GPO 并转到计算机配置 > 管理模板 > 系统 > Device Guard。然后将打开基于虚拟化的安全设置为启用，如下所示。

图 3. 使用组策略启用 Credential Guard

验证启用

使用 Intune 或组策略启用 Credential Guard 后，您应该会看到 Lsalso.exe 进程在分配给该策略的所有计算机上运行。

图 4.验证 Credential Guard 是否已启用

行动中的凭证卫士

如果不启用 Credential Guard，黑客可以使用 mimikatz 查询当前存储在 LSA 进程中的凭据，以获取远程登录到计算机的帐户的 NTLM 哈希，如下所示。

图 5. 在未启用 Credential Guard 的情况下，mimikatz 可以收集存储在内存中的哈希值。

然而，启用 Credential Guard 后，将使用隔离的 LSA 进程来存储凭据。因此，当我们使用 mimikatz 再次查询同一服务器时，我们不会在转储中获得 NTLM 哈希值。

图 6. 启用 Credential Guard 后，mimikatz 无法收集存储在内存中的哈希值。

Credential Guard 还可以有效抵御 Pass-the-Ticket 攻击，如下所示。

结论

限制恶意行为者在您的域中横向移动和升级权限的攻击媒介必须是任何安全机构的首要任务。 Credential Guard 可以通过使用基于虚拟化的安全性和隔离内存管理来帮助保护凭证免受攻击。