Panoramica di Credential Guard

Credential Guard impedisce attacchi di furto di credenziali proteggendo gli hash delle password NTLM, i ticket di concessione di ticket Kerberos e le credenziali archiviate dalle applicazioni come credenziali di dominio.

Credential Guard usa la sicurezza basata su virtualizzazione (VBS) per isolare i segreti in modo che solo il software di sistema con privilegi possa accedervi. L'accesso non autorizzato a questi segreti può causare attacchi di furto di credenziali come passare l'hash e passare il ticket.

Se abilitata, Credential Guard offre i vantaggi seguenti:

  • Sicurezza hardware: NTLM, Kerberos e Credential Manager sfruttano le funzionalità di sicurezza della piattaforma, tra cui avvio protetto e virtualizzazione, per proteggere le credenziali
  • Sicurezza basata sulla virtualizzazione: NTLM, credenziali derivate da Kerberos e altri segreti vengono eseguiti in un ambiente protetto isolato dal sistema operativo in esecuzione
  • Protezione dalle minacce persistenti avanzate: quando le credenziali sono protette tramite VBS, le tecniche di attacco con furto di credenziali e gli strumenti usati in molti attacchi mirati vengono bloccati. Il malware in esecuzione nel sistema operativo con privilegi amministrativi non può estrarre i segreti protetti da VBS

Nota

Sebbene Credential Guard sia una potente mitigazione, gli attacchi alle minacce persistenti probabilmente passeranno a nuove tecniche di attacco ed è consigliabile incorporare anche altre strategie e architetture di sicurezza.

Abilitazione predefinita

A partire da Windows 11, 22H2 e Windows Server 2025, VBS e Credential Guard sono abilitati per impostazione predefinita nei dispositivi che soddisfano i requisiti.

L'abilitazione predefinita è senza blocco UEFI, consentendo così agli amministratori di disabilitare Credential Guard in remoto, se necessario.

Quando Credential Guard è abilitato, anche VBS viene abilitato automaticamente.

Nota

Se Credential Guard è disabilitato in modo esplicito prima che un dispositivo venga aggiornato a Windows 11 versione 22H2/Windows Server 2025 o versione successiva, l'abilitazione predefinita non sovrascrive le impostazioni esistenti. Il dispositivo continuerà a avere Credential Guard disabilitato anche dopo l'aggiornamento a una versione di Windows che abilita Credential Guard per impostazione predefinita.

Abilitazione predefinita in Windows

Per i dispositivi che eseguono Windows 11, 22H2 o versioni successive, Credential Guard è abilitato per impostazione predefinita se:

Nota

I dispositivi che eseguono Windows 11 Pro/Pro Edu 22H2 o versioni successive possono avere la sicurezza basata su virtualizzazione (VBS) e/o Credential Guard abilitata automaticamente se soddisfano gli altri requisiti per l'abilitazione predefinita e hanno eseguito in precedenza Credential Guard. Ad esempio, se Credential Guard è stato abilitato in un dispositivo Enterprise che in seguito ha eseguito il downgrade a Pro.

Per determinare se il dispositivo Pro è in questo stato, verificare se esiste la chiave del Registro di sistema seguente: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. In questo scenario, se si vuole disabilitare VBS e Credential Guard, seguire le istruzioni per disabilitare la sicurezza basata su virtualizzazione. Se si vuole disabilitare solo Credential Guard, senza disabilitare VBS, usare le procedure per disabilitare Credential Guard.

Abilitazione predefinita in Windows Server

Per i dispositivi che eseguono Windows Server 2025 o versioni successive, Credential Guard è abilitato per impostazione predefinita se:

Importante

Per informazioni sui problemi noti relativi all'abilitazione predefinita, vedere Credential Guard: problemi noti.

Requisiti di sistema

Affinché Credential Guard fornisca protezione, il dispositivo deve soddisfare determinati requisiti hardware, firmware e software.

I dispositivi che superano le qualifiche minime di hardware e firmware ricevono protezioni aggiuntive e sono più protetti da determinate minacce.

Requisiti hardware e software

Credential Guard richiede le funzionalità seguenti:

Anche se non è necessario, è consigliabile usare le funzionalità seguenti per fornire protezioni aggiuntive:

  • Trusted Platform Module (TPM), in quanto fornisce l'associazione all'hardware. Sono supportate le versioni 1.2 e 2.0 di TPM, discrete o firmware
  • Blocco UEFI, in quanto impedisce agli utenti malintenzionati di disabilitare Credential Guard con una modifica della chiave del Registro di sistema

Per informazioni dettagliate sulle protezioni per una maggiore sicurezza associata alle opzioni hardware e firmware, vedere requisiti di sicurezza aggiuntivi.

Credential Guard nelle macchine virtuali

Credential Guard può proteggere i segreti nelle macchine virtuali Hyper-V, proprio come in un computer fisico. Quando Credential Guard è abilitato in una macchina virtuale, i segreti vengono protetti da attacchi all'interno della macchina virtuale. Credential Guard non fornisce protezione dagli attacchi di sistema con privilegi provenienti dall'host.

I requisiti per eseguire Credential Guard nelle macchine virtuali Hyper-V sono:

  • L'host Hyper-V deve avere un iommu
  • La macchina virtuale Hyper-V deve essere di generazione 2

Nota

Credential Guard non è supportato in macchine virtuali Hyper-V o Azure di generazione 1. Credential Guard è disponibile solo nelle macchine virtuali di seconda generazione.

Requisiti di licenza ed edizione di Windows

La tabella seguente elenca le edizioni di Windows che supportano Credential Guard:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
No No

I diritti di licenza di Credential Guard sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Requisiti delle applicazioni

Quando Credential Guard è abilitato, alcune funzionalità di autenticazione vengono bloccate. Le applicazioni che richiedono tali funzionalità si rompono. Questi requisiti vengono definiti requisiti dell'applicazione.

Le applicazioni devono essere testate prima della distribuzione per garantire la compatibilità con le funzionalità ridotte.

Warning

L'abilitazione di Credential Guard nei controller di dominio non è consigliata. Credential Guard non fornisce alcuna sicurezza aggiuntiva ai controller di dominio e può causare problemi di compatibilità delle applicazioni nei controller di dominio.

Nota

Credential Guard non fornisce protezioni per il database di Active Directory o per Security Accounts Manager (SAM). Le credenziali protette da Kerberos e NTLM quando Credential Guard è abilitato si trovano anche nel database di Active Directory (nei controller di dominio) e in SAM (per gli account locali).

Le applicazioni si interrompono se richiedono:

  • Supporto della crittografia DES Kerberos
  • Delega senza vincoli Kerberos
  • Estrazione TGT Kerberos
  • NTLMv1

Le applicazioni richiedono ed espongono credenziali a rischio se richiedono:

  • Autenticazione del digest
  • Delega delle credenziali
  • MS-CHAPv2
  • CredSSP

Le applicazioni potrebbero causare problemi di prestazioni quando tentano di associare il processo LSAIso.exeisolato di Credential Guard.

I servizi o i protocolli che si basano su Kerberos, ad esempio condivisioni file o desktop remoto, continuano a funzionare e non sono interessati da Credential Guard.

Passaggi successivi