Windows Credential Guard is een beveiligingsfunctie die authenticatiereferenties beveiligt tegen kwaadwillende aanvallen. Het voorkomt dat hackers knoeien met systeemtools of schadelijke codes op uw computer uitvoeren. Deze functie is beschikbaar in Enterprise- en Pro-versies van Windows 10 en Windows 11. Overweeg om Credential Guard in te schakelen als u lokaal of op afstand gevoelige gegevens verwerkt of opent in een Windows-domein of -werkgroep.
Wat is Credential Guard precies?
Wanneer u uw computer opstart, verifieert een proces met de naam Local Security Authority Server Service (LSASS) de inloggegevens en verleent u toegang. LSASS slaat deze referenties ook op (versleutelde wachtwoorden, NT-hashes, LM-hashes en Kerberos-tickets) in het geheugen tijdens actieve sessies, zodat u uw wachtwoord niet elke keer opnieuw hoeft in te voeren als u wijzigingen wilt aanbrengen of bestanden wilt openen.
Het opslaan van de inloggegevens in het geheugen tijdens sessies is handig in vergelijking met het alternatief: handmatige identiteitsverificatie bij elke stap. Toegegeven, het af en toe invoeren van authenticatiereferenties verbetert de beveiliging. Maar authenticatiereferenties zijn lang, vooral in hun gehashte vormen. Het zou vooral onhandig zijn als je snel een wijziging moet aanbrengen en vooral frustrerend als je een fout hebt gemaakt en een wachtwoord opnieuw moet invoeren. En als u het wachtwoord ergens moet opschrijven, kan dit mogelijk uw beveiligingsrisico vergroten. LSASS verwerkt authenticaties, dus uw apparaatgebruik is efficiënt.
Maar zoals u zich kunt voorstellen, met alles dat waardevolle, gevoelige gegevens opslaat, is LSASS een jackpot voor hackers. Ze kunnen LSASS compromitteren via Aanvallen voor het stelen van referenties met behulp van tools zoals Mimikatz, Crackmapexec en Lsassy. Hackers gebruiken deze tools om het echte systeembestand (lsass.exe) te verwijderen, te vervangen of te wijzigen.
Er zijn manieren om het stelen van inloggegevens te stoppen voordat een hacker enorme schade aanricht, en het is mogelijk om een aanval te stoppen zodra je deze hebt ontdekt. Het is echter beter om de aanval in de eerste plaats te voorkomen. Credential Guard beschermt tegen kwaadaardige aanvallen door een geïsoleerd LSASS-proces (LSAIso) te creëren dat authenticatiegegevens veilig opslaat.
Waarom u Credential Guard op uw pc moet inschakelen
De beveiligingsfunctie isoleert inloggegevens van de rest van het systeemgeheugen en van het hoofdproces (lsass.exe) dat de authenticatie afhandelt. Het is dus in wezen een zwarte doos.
Gebruik Credential Guard als u meerdere computers hebt die deel uitmaken van een domein of werkgroep. Waarom? Een aanvaller die een apparaat binnendringt met inloggegevens van de beheerder, kan het hele netwerk binnendringen. Door deze functie in te schakelen, voorkomt u effectief dat een aanvaller volledige controle krijgt over gevoelige informatie als deze een systeem binnendringt.
Uw systeem moet aan de vereisten voldoen
Windows Credential Guard is exclusief voor de Enterprise- en Pro-smaken van Windows 10 en 11. Recente versies van Windows Servers beschikken ook over deze beveiligingsfunctie, maar het apparaat moet dan wel aan strenge hardware- en softwarevereisten voldoen.
Om te beginnen moet het apparaat een 64-bits CPU hebben (ter ondersteuning van op virtualisatie gebaseerde beveiliging) en veilig opstarten. Microsoft raadt ook aan om Trusted Platform-module (TPM) versies 1.2 of 2.0 en UEFI-vergrendeling (om te voorkomen dat aanvallers de beveiligingsinstellingen omzeilen met regedit). U kunt de basisvereisten op basis van de computer of server die u wilt beschermen.
Credential Guard inschakelen op Windows
Op uw computer of server is Credential Guard standaard ingeschakeld als deze voldoet aan de basisvereisten van Microsoft. Druk op om te controleren of deze beveiligingsfunctie al is ingeschakeld Begin typ vervolgens "msinfo32.exe". Selecteer Systeeminformatie > Systeemoverzicht. U zou naast elkaar "Op virtualisatie gebaseerde beveiligingsservices actief" en "Credential Guard, door Hypervisor afgedwongen code-integriteit" moeten zien.
Als Credential Guard niet is ingeschakeld op uw computer, kunt u de functie op drie manieren inschakelen: via Groepsbeleid, het Windows-register bewerken of Microsoft Intune gebruiken. Er is ook de mogelijkheid om Credential Guard met UEFI-vergrendeling in te schakelen als u een hoofdgebruiker bent. De meeste beheerders vinden het gemakkelijker om deze functie in te schakelen met Groepsbeleid.
Hoe Credential Guard op Windows uit te schakelen
Ondanks het nut ervan om het stelen van inloggegevens en Pass the Hash-aanvallen te voorkomen, zorgt Credential Guard ervoor dat sommige services en protocollen breken. Als u de beveiligingsfunctie inschakelt, kunt u bijvoorbeeld Windows To Go, onbeperkte Kerberos-delegatie en DES-codering niet gebruiken.
U kunt ook geen gebruik maken van externe Security Support Providers (SSP's) omdat deze kwetsbaar zijn voor aanvallen waarbij inloggegevens worden gestolen. Wi-Fi- en VPN-eindpunten op basis van MS-CHAPv2 zijn even kwetsbaar en worden uitgeschakeld wanneer u Credentials Guard inschakelt.
Als je enkele van de bovengenoemde functies nodig hebt, kun je Credential Guard zo lang als je nodig hebt uitschakelen. Maar zorg ervoor dat u een herinnering instelt om deze opnieuw in te schakelen.
Uitschakelen met Groepsbeleid-editor
Uw eerste optie is om Credential Guard uit te schakelen door de instellingen voor Groepsbeleid te wijzigen.
Druk hiervoor op Begin en typ "gpedit" en selecteer vervolgens Groepsbeleid bewerken. Ga naar Computerconfiguratie > Beheersjablonen > Systeem > Device Guard > Op virtualisatie gebaseerde beveiliging inschakelen > Opties. Stel "Credential Guard-configuratie" in op Gehandicapt, Klik OK om de wijziging op te slaan en vervolgens uw computer opnieuw op te starten.
Uitschakelen met Regedit
Deze optie is geweldig als u Defender Credential Guard hebt ingeschakeld met een andere methode dan UEFI Lock en Group Policy. Om Credential Guard met Regedit uit te schakelen, drukt u op Begin en typ "regedit". Selecteer Register-editor. Navigeer eerst naar het bestandspad HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\LsaCfgFlags en stel de waarde in op "0".
Navigeer vervolgens terug naar HKEY_LOCAL_MACHINE\\SOFTWARE\\Policies\\Microsoft\\Windows\\DeviceGuard\LsaCfgFlags en stel de waarde in op "0".
U kunt ook volgen De instructies van Microsoft voor het uitschakelen van Credential Guard met UEFI-vergrendeling of het uitschakelen van de beveiligingsfunctie op een virtuele machine.
Het inschakelen van Credential Guard is slechts een preventie
De vuistregel is om een omheining rond uw tuin te plaatsen voordat u gaat planten, vooral als u in een gebied woont met vrij rondlopend vee. Dat hek zou nutteloos zijn als je al geiten op je terrein hebt - in dat geval zou je ze moeten verjagen.
Hetzelfde principe geldt voor de beveiliging van uw gevoelige inloggegevens. Indien ingeschakeld, voorkomt Credential Guard dat hackers uw gegevens stelen. Het zou echter niet effectief zijn als de aanvaller zich al in uw netwerk heeft gevestigd of het apparaat heeft gecompromitteerd. Dus als u besluit deze beveiligingsfunctie op een nieuwe werkcomputer te gebruiken, zorg er dan voor dat deze is ingeschakeld voordat de computer lid wordt van het Windows-domein of de werkgroep.