Vue d’ensemble de Credential Guard

Credential Guard empêche les attaques de vol d’informations d’identification en protégeant les hachages de mot de passe NTLM, les tickets d’octroi de tickets Kerberos (TGT) et les informations d’identification stockées par les applications en tant qu’informations d’identification de domaine.

Credential Guard utilise la sécurité basée sur la virtualisation (VBS) pour isoler les secrets afin que seuls les logiciels système privilégiés puissent y accéder. L’accès non autorisé à ces secrets peut entraîner des attaques de vol d’informations d’identification, comme passer le hachage et transmettre le ticket.

Lorsqu’elle est activée, Credential Guard offre les avantages suivants :

  • Sécurité matérielle : NTLM, Kerberos et Credential Manager tirent parti des fonctionnalités de sécurité de la plateforme, notamment le démarrage sécurisé et la virtualisation, pour protéger les informations d’identification
  • Sécurité basée sur la virtualisation : NTLM, les informations d’identification dérivées de Kerberos et d’autres secrets s’exécutent dans un environnement protégé isolé du système d’exploitation en cours d’exécution
  • Protection contre les menaces persistantes avancées : lorsque les informations d’identification sont protégées à l’aide de VBS, les techniques et outils d’attaque de vol d’informations d’identification utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants s’exécutant dans le système d’exploitation avec des privilèges d’administration ne peuvent pas extraire les secrets protégés par VBS

Remarque

Bien que Credential Guard soit une solution d’atténuation puissante, les attaques par menaces persistantes seront probablement déplacées vers de nouvelles techniques d’attaque, et vous devez également incorporer d’autres stratégies et architectures de sécurité.

Activation par défaut

À compter de Windows 11, 22H2 et Windows Server 2025, VBS et Credential Guard sont activés par défaut sur les appareils qui répondent aux exigences.

L’activation par défaut est sans verrouillage UEFI, ce qui permet aux administrateurs de désactiver Credential Guard à distance si nécessaire.

Lorsque Credential Guard est activé, VBS l’est également automatiquement.

Remarque

Si Credential Guard est explicitement désactivéavant la mise à jour d’un appareil vers Windows 11 version 22H2/Windows Server 2025 ou ultérieure, l’activation par défaut ne remplace pas les paramètres existants. Credential Guard continuera à être désactivé sur cet appareil, même après la mise à jour vers une version de Windows qui active Credential Guard par défaut.

Activation par défaut sur Windows

Les appareils exécutant Windows 11, 22H2 ou version ultérieure ont Credential Guard activé par défaut s’ils :

Remarque

Les appareils exécutant Windows 11 Professionnel/Pro Edu 22H2 ou version ultérieure peuvent avoir la sécurité basée sur la virtualisation (VBS) et/ou Credential Guard automatiquement activés s’ils répondent aux autres exigences pour l’activation par défaut et qu’ils ont précédemment exécuté Credential Guard. Par exemple, si Credential Guard a été activé sur un appareil d’entreprise qui a ensuite été rétrogradé à Pro.

Pour déterminer si l’appareil Pro est dans cet état, case activée si la clé de Registre suivante existe : Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Dans ce scénario, si vous souhaitez désactiver VBS et Credential Guard, suivez les instructions pour désactiver la sécurité basée sur la virtualisation. Si vous souhaitez désactiver Credential Guard uniquement, sans désactiver VBS, utilisez les procédures pour désactiver Credential Guard.

Activation par défaut sur Windows Server

Les appareils exécutant Windows Server 2025 ou version ultérieure ont Credential Guard activé par défaut s’ils :

Important

Pour plus d’informations sur les problèmes connus liés à l’activation par défaut, consultez Credential Guard : problèmes connus.

Configuration requise

Pour que Credential Guard assure la protection, l’appareil doit répondre à certaines exigences matérielles, microprogrammes et logicielles.

Les appareils qui dépassent les qualifications minimales du matériel et du microprogramme reçoivent des protections supplémentaires et sont plus renforcés contre certaines menaces.

Configuration matérielle et logicielle requise

Credential Guard nécessite les fonctionnalités suivantes :

Bien qu’elles ne soient pas obligatoires, les fonctionnalités suivantes sont recommandées pour fournir des protections supplémentaires :

  • Module de plateforme sécurisée (TPM), car il fournit une liaison au matériel. Les versions de TPM 1.2 et 2.0 sont prises en charge, discrètes ou microprogrammes
  • Verrouillage UEFI, car il empêche les attaquants de désactiver Credential Guard avec une modification de clé de Registre

Pour plus d’informations sur les protections pour une sécurité améliorée associées aux options de matériel et de microprogramme, consultez Qualifications de sécurité supplémentaires.

Credential Guard dans les machines virtuelles

Credential Guard peut protéger les secrets dans les machines virtuelles Hyper-V, comme sur un ordinateur physique. Lorsque Credential Guard est activé sur une machine virtuelle, les secrets sont protégés contre les attaques à l’intérieur de la machine virtuelle. Credential Guard ne fournit pas de protection contre les attaques système privilégiées provenant de l’hôte.

Les conditions requises pour exécuter Credential Guard sur les machines virtuelles Hyper-V sont les suivantes :

  • L’hôte Hyper-V doit avoir un IOMMU
  • La machine virtuelle Hyper-V doit être de génération 2

Remarque

Credential Guard n’est pas pris en charge sur les machines virtuelles Hyper-V ou Azure de génération 1. Credential Guard est disponible uniquement sur les machines virtuelles de génération 2.

Conditions d'octroi de licence d'édition Windows

Le tableau suivant répertorie les éditions de Windows qui prennent en charge Credential Guard :

Windows Pro Windows Entreprise Windows Pro Education/SE Windows Éducation
Non Oui Non Oui

Les droits de licence Credential Guard sont accordés par les licences suivantes :

Windows Pro/Professionnel Éducation/SE Windows Entreprise E3 Windows Entreprise E5 Windows Éducation A3 Windows Éducation A5
Non Oui Oui Oui Oui

Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.

Configuration requise pour les applications

Lorsque Credential Guard est activé, certaines fonctionnalités d’authentification sont bloquées. Les applications qui nécessitent de telles fonctionnalités s’arrêtent. Nous faisons référence à ces exigences en tant qu’exigences d’application.

Les applications doivent être testées avant le déploiement pour garantir la compatibilité avec les fonctionnalités réduites.

Warning

L’activation de Credential Guard sur les contrôleurs de domaine n’est pas recommandée. Credential Guard n’offre aucune sécurité supplémentaire aux contrôleurs de domaine et peut entraîner des problèmes de compatibilité des applications sur les contrôleurs de domaine.

Remarque

Credential Guard ne fournit pas de protections pour la base de données Active Directory ou le Gestionnaire des comptes de sécurité (SAM). Les informations d’identification protégées par Kerberos et NTLM lorsque Credential Guard est activé se trouvent également dans la base de données Active Directory (sur les contrôleurs de domaine) et le SAM (pour les comptes locaux).

Les applications s’arrêtent si elles nécessitent :

  • La prise en charge du chiffrement DES via Kerberos
  • Délégation Kerberos sans contraintes
  • Extraction TGT Kerberos
  • NTLMv1

Les applications demandent et exposent des informations d’identification à des risques si elles nécessitent :

  • Authentification Digest
  • Délégation des informations d’identification
  • MS-CHAPv2
  • CredSSP

Les applications peuvent entraîner des problèmes de performances lorsqu’elles tentent de raccorder le processus LSAIso.exeisolé Credential Guard .

Les services ou protocoles qui s’appuient sur Kerberos, tels que les partages de fichiers ou le Bureau à distance, continuent de fonctionner et ne sont pas affectés par Credential Guard.

Étapes suivantes