修复 Windows Defender Credential Guard 问题

在这篇文章中，我将向您展示如何修复 Windows Defender Credential Guard 问题。如果您正在处理计算机上 Windows Defender 的 Credential Guard 问题，本文列出了这些问题的解决方案。

Windows Defender Credential Guard 是 Microsoft 在 Windows 10 Enterprise 和 Windows Server 2016 中首次引入的。它是一项有用的功能，仅适用于 Windows 操作系统。

Windows Defender Credential Guard 隔离机密，以便只有特权系统软件才能访问用户凭据。这样做将保护 NTLM 密码哈希值和 Kerberos 票证授予票证以及由具有域凭据的应用程序存储的凭据。

用户由本地安全机构 (LSA) 进行验证。一旦 Credential Guard 激活，Windows 会将凭据存储在隔离的 LSA 中，其中仅包含经过签名和认证的安全可信二进制文件，以保证凭据的安全。

这是 Microsoft 发表的一篇关于如何管理 Windows Defender Credential Guard 的好文章。

启用此功能后，MS-CHAPv2 身份验证可能会中断

如果启用 Windows Defender Credential Guard，则无法再使用单点登录的 NTLM 经典身份验证。

然后，您将被迫输入凭据才能使用这些协议，并且您将无法保存它们以供将来使用。

基于 MS-CHAPv2 的 Wi-Fi 和 VPN 端点受到与 NTLMv1 类似的攻击。 Microsoft 建议组织从基于 MS-CHAPv2 的连接（例如 PEAP-MSCHAPv2 和 EAP-MSCHAPv2）迁移到基于证书的身份验证（例如 PEAP-TLS 或 EAP-TLS）。

阅读：使用 Windows Defender Credential Guard (Windows) 时的建议 - Windows 安全 |微软文档

修复 Windows Defender Credential Guard 问题

让我们看看您在使用 Windows Defender Credential Guard 时遇到的一些常见问题以及每个问题的解决方案。

您可能遇到的 Windows 事件错误示例：

问题一：有线802.1X认证失败

原因文本: 网络身份验证失败\n 提供的凭据可能不正确。

问题 2：错误代码：0x2B3

网络接口“此处为网络接口名称”已开始重置。硬件重置时，网络连接将会暂时中断。原因：网络驱动程序请求将其重置。该网络接口自上次初始化以来已重置 5 次。

可用于帮助实时查看此错误的工具：

• Wireshark
• 提琴手

使用这些工具，您可以获得问题的网络跟踪和数据包捕获并查看故障。即使您在思科 ISE 中“抑制重复失败的客户端”，您仍然可以在我的测试中看到错误。

以下是使用 Windows Defender Credential Guard 时的一些注意事项。如果您考虑使用 Windows Defender Credential Guard，我强烈建议您查看下面的 Microsoft 文章。

使用 Windows Defender Credential Guard (Windows) 时的建议 - Windows 安全 |微软文档

#1 Kerberos 注意事项

如果启用 Windows Defender Credential Guard，则无法再使用 Kerberos 无约束委派或 DES 加密。攻击者可以使用无约束委派从隔离的 LSA 进程中提取 Kerberos 密钥。建议改用受约束或基于资源的 Kerberos 委派。

#2 第 3 方安全支持提供商注意事项

Microsoft 提到，某些第三方安全支持提供商可能与 Windows Defender Credential Guard 不兼容，因为它不允许第三方安全支持提供商向 LSA 请求密码哈希值。

此外，不支持自定义 SSP 和 AP 中未记录的 API。因此，如果您确实使用 SSP 的自定义实现，建议您在实现 Windows Defender Credential Guard 之前进行彻底测试以确保它们能够协同工作。

#3 Windows Defender Credential Guard 保护限制

下面的链接将解释使用 Windows Defender Credential Guard 存储 Windows 凭据的某些方法如何不受保护。在完全实施之前了解这一点非常重要，以确保 Windows Defender Credential Guard 满足您的环境需求。

Windows Defender Credential Guard 保护限制 (Windows) - Windows 安全 |微软文档

#4 保存的 Windows 凭据受到保护

Microsoft 表示，从 Windows 10 开始，存储在 Credential Manager 中的版本 1511 域凭据受到 Windows Defender Credential Guard 的保护。

但是，您用于登录网站的用户名和密码的通用凭据将不受保护，因为应用程序需要您的明文密码。

如果应用程序不需要密码副本，它可以将域凭据保存为受保护的 Windows 凭据。

Microsoft 声明了有关凭据管理器的 Windows Defender Credential Guard 保护的以下注意事项：

• 远程桌面客户端保存的 Windows 凭据无法发送到远程主机。尝试使用保存的 Windows 凭据失败，显示错误消息“登录尝试失败”。
• 提取 Windows 凭据的应用程序失败。
• 从启用了 Windows Defender Credential Guard 的电脑备份凭据时，无法恢复 Windows 凭据。如果需要备份凭据，则必须在启用 Windows Defender Credential Guard 之前执行此操作。否则，您无法恢复这些凭据。

Windows Defender Credential Guard 通过保护 NTLM 密码哈希、Kerberos 票证授予票证以及应用程序存储为域凭据的凭据提供了许多好处。此外，您还将获得更好的硬件安全性、基于虚拟化的安全性以及针对高级持续威胁的防护。