Credential Guard 利用 硬件虚拟化（如 Intel VT-x 或 AMD-V）来保护存储在系统中的凭证数据。它创建了一个高度隔离的虚拟机环境（称为隔离的子系统或“虚拟化隔离”），其中保存了操作系统的凭证数据。这些凭证数据包括：

若要使用注册表配置设备，请使用以下设置：

设置
密钥路径 ： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 密钥名称 ： EnableVirtualizationBasedSecurity 类型 ： REG_DWORD 值 ： 1 启用基于虚拟化的安全性) (
密钥路径 ： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 密钥名称 ： RequirePlatformSecurityFeatures 类型 ： REG_DWORD 值 ： 1 使用安全启动) ( 3 (使用安全启动和 DMA 保护)
密钥路径 ： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 密钥名称 ： LsaCfgFlags 类型 ： REG_DWORD 值 ： 1 (启用具有 UEFI 锁的 Credential Guard) 2 在没有锁定) 的情况下启用 Credential Guard 的 (

重启设备以应用更改。

---

检查任务管理器是否 LsaIso.exe 正在运行不是确定 Credential Guard 是否正在运行的建议方法。 请改用以下方法之一：

• 系统信息
• 事件查看器

可以使用 系统信息 来确定 Credential Guard 是否在设备上运行。

1. 选择“ 开始” ，键入 msinfo32.exe ，然后选择“ 系统信息 ”
2. 选择 “系统摘要”
3. 确认 Credential Guard 显示在 正在运行的基于虚拟化的安全服务 旁边

可以使用 来确定 Credential Guard 是否在设备上运行。 在提升的 会话中，使用以下命令：

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

命令生成以下输出：

• 0 ：凭据防护已禁用 (未运行)
• 1 ：在运行) (启用 Credential Guard

使用安全审核策略或 WMI 查询定期评审启用了 Credential Guard 的设备。
打开事件查看器 (eventvwr.exe) ，转到 Windows Logs\System 并筛选 WinInit 的事件源：

事件 ID

Description

13 (信息)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (信息)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**

• 第一个变量： 0x1  或  0x2  表示 Credential Guard 配置为运行。  0x0 表示它未配置为运行。
• 第二个变量： 0  表示它配置为在保护模式下运行。  1  表示它配置为在测试模式下运行。 此变量应始终为  0 。

15 (警告)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (警告)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

Credential Guard 是 Windows 10 和 Windows Server 2016 及之后版本中的一项安全功能，旨在保护系统中的敏感凭证（例如 NTLM 密码哈希和 Kerberos 票据），防止它们被恶意软件窃取。它通过硬件虚拟化技术实现隔离，确保凭证不被未经授权的进程访问。Credential Guard 主要依赖于 虚拟化基础结构 ，使用 Hyper-V 虚拟化技术来隔离敏感信息，以增强安全性。

Credential Guard 是什么？

Credential Guard 利用 硬件虚拟化 （如 Intel VT-x 或 AMD-V）来保护存储在系统中的凭证数据。它创建了一个高度隔离的虚拟机环境（称为隔离的子系统或“虚拟化隔离”），其中保存了操作系统的凭证数据。这些凭证数据包括：

• NTLM 哈希值
• Kerberos 票据
• LSA（本地安全机构）令牌

这些敏感数据原本存储在内存中，容易受到恶意软件攻击，例如 Pass-the-Hash 或 Pass-the-Ticket 攻击。通过启用 Credential Guard，这些凭证会被存放在隔离的虚拟环境中，使得恶意软件即使可以获取系统权限，也无法访问这些敏感信息。

Credential Guard 是如何工作的？

Credential Guard 通过以下机制来实现安全性：

1. 硬件虚拟化支持 ：Credential Guard 依赖于 CPU 的硬件虚拟化特性（如 Intel VT-x 或 AMD-V）。这使得操作系统可以创建一个受保护的环境，用于隔离敏感的凭证数据。
2. 虚拟化基础保护 ：Windows 通过使用 Hyper-V（虚拟化技术）将凭证信息存储在虚拟化的环境中。这些凭证无法被普通操作系统进程直接访问。
3. LSA 保护 ：本地安全认证子系统（LSA）是处理登录、身份验证和凭证存储的核心组件。Credential Guard 增强了 LSA 的安全性，通过隔离它的内存，防止恶意软件访问或篡改存储的凭证数据。
4. 隔离凭证存储 ：一旦启用 Credential Guard，操作系统会将敏感凭证（如 NTLM 哈希、Kerberos 票据等）存储在虚拟化的硬件区域中。恶意软件或攻击者就无法从常规用户空间访问这些凭证。

为什么需要 Credential Guard？

1. 防止凭证窃取

• Pass-the-Hash 攻击 ：攻击者通过窃取 Windows 登录哈希值，然后利用它来模拟用户登录并访问其他系统或资源。通过 Credential Guard，NTLM 哈希值被隔离，无法被攻击者窃取。
• Pass-the-Ticket 攻击 ：攻击者可以窃取 Kerberos 票据，并用它来冒充合法用户访问网络资源。Credential Guard 保护了这些票据，确保它们不会被滥用。

2. 防止恶意软件攻击

• 如果服务器或客户端感染了恶意软件，尤其是有权限获得内核模式访问的恶意软件，Credential Guard 会阻止它们访问敏感的凭证信息。这大大降低了操作系统被攻破后信息泄露的风险。

3. 增强远程攻击防御

• Credential Guard 对于远程攻击（例如通过 RDP 或 SMB 进行的攻击）具有特别的防御作用。即使攻击者通过远程手段获得了某个系统的控制权限，凭证仍然受到硬件虚拟化的保护。

4. 防止内部攻击

• 企业内部的用户或系统如果被恶意用户侵入，Credential Guard 会帮助防止攻击者窃取管理员凭证，并用它们进一步渗透网络。

如何启用 Credential Guard？

启用 Credential Guard 需要硬件虚拟化支持（例如 Intel VT-x 或 AMD-V）和正确的配置。以下是启用的基本步骤：

1. 硬件支持

• 必须启用 虚拟化技术 （例如 Intel VT-x 或 AMD-V）以及 IOMMU （输入输出内存管理单元）。这些通常在 BIOS/UEFI 设置中启用。

2. 操作系统版本

• Windows Server 2016 及更新版本 ，或 Windows 10 企业版 及更新版本支持 Credential Guard。

3. 配置和启用

• 通过组策略启用 Credential Guard ：
  1. 打开 组策略管理编辑器 （gpedit.msc）。
  2. 导航到 计算机配置 > 管理模板 > 系统 > 设备保护 。
  3. 启用 启用 Credential Guard 策略。
• 使用 脚本启用 ：
  Copy Code

  # 启用 Credential Guard
  Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All -NoRestart
  Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-DeviceGuard -NoRestart
  Restart-Computer
  

• 使用 Windows 安全启动 ： Credential Guard 还依赖于系统启用了 安全启动 ，并且操作系统配置正确的内核模式代码。

4. 确认是否启用

• 可以使用 SystemInfo  命令来检查 Credential Guard 是否已启用：
  Copy Code

  systeminfo | findstr /i "Credential Guard"
  

  如果启用，应该会显示相关信息。

限制与注意事项

1. 性能开销 ：由于使用了硬件虚拟化技术，启用 Credential Guard 可能会有轻微的性能开销，尤其是在 I/O 密集型工作负载下。通常，这个影响是很小的，但在某些高性能应用中可能需要评估。
2. 硬件要求 ：需要支持硬件虚拟化的 CPU 和启用该功能的 BIOS 设置。如果硬件不支持，无法启用 Credential Guard。
3. 兼容性问题 ：某些旧的驱动程序或应用程序可能与 Hyper-V 冲突，导致 Credential Guard 无法正常工作。需要确保系统和软件是最新的，且与虚拟化兼容。
4. 不会防止所有类型的攻击 ：虽然 Credential Guard 可以防止凭证窃取，但它并不能完全防止所有类型的攻击，例如未授权的访问、漏洞利用等。因此，还需要结合其他安全措施，如防火墙、反病毒软件、网络隔离等。

Credential Guard 是 Windows Server 和 Windows 10 中的重要安全功能，通过硬件虚拟化技术将敏感凭证数据隔离在一个受保护的虚拟化环境中，防止恶意软件和攻击者窃取系统中的敏感信息。它对于抵御 Pass-the-Hash 和 Pass-the-Ticket 攻击至关重要，尤其适用于高安全要求的企业环境。启用 Credential Guard 需要硬件支持、正确的配置和一定的性能开销，但它提供了额外的安全保障，有助于防止凭证窃取和恶意软件攻击。

---

Credential Guard 是 Windows 操作系统中的一项安全功能，它通过硬件虚拟化技术来保护存储在系统中的凭证（如 NTLM 哈希、Kerberos 票据等）。它的核心目的是防止恶意软件或攻击者在获得系统访问权限后窃取或滥用敏感凭证，从而避免如 Pass-the-Hash 、 Pass-the-Ticket 等攻击。要了解 Credential Guard 的底层原理，我们需要深入了解其工作方式和涉及的技术。

1. 硬件虚拟化基础

Credential Guard 依赖于 硬件虚拟化技术 ，即 Intel VT-x 或 AMD-V ，以及 输入输出内存管理单元（IOMMU） 。硬件虚拟化使得操作系统能够创建一个受保护的、隔离的环境，其中可以安全地存储敏感数据，并防止它们被系统中其他不受信任的进程访问。

2. LSA（Local Security Authority）隔离

LSA 是处理 Windows 安全性（包括用户身份验证、凭证存储等）的关键组件。在启用 Credential Guard 后，LSA 本身也会被保护起来：

• LSA 进程隔离 ：Credential Guard 利用 Hyper-V 将 LSA 进程和其存储的敏感凭证（如 NTLM 哈希、Kerberos 票据）隔离在一个受保护的虚拟化环境中。这个隔离的环境对操作系统内的其他进程不可见，甚至是以管理员权限运行的进程也无法访问其中的内容。
• 虚拟化环境 ：具体来说，Credential Guard 会将 LSA （包括其所有存储的凭证）移到一个名为 虚拟化安全模式 （VSM, Virtualization-Based Security）的保护模式下。VSM 是一个隔离的、受保护的虚拟机环境，它与操作系统的正常运行环境分开，任何未经授权的进程都无法访问。

3. 虚拟化基础保护

Credential Guard 基于 Hyper-V （Windows 的虚拟化技术）提供的 虚拟化基础保护 （Virtualization-Based Security, VBS）功能。VBS 使得操作系统可以创建一个虚拟化的安全环境，隔离出关键的安全数据。

• 隔离的内存空间 ：在 VBS 中，操作系统为安全凭证创建一个特殊的虚拟机或虚拟内存空间，这个虚拟内存空间被保护得非常严密。即使攻击者能够执行代码并获得管理员权限，也无法访问这个内存区域。
• Hyper-V 和 IOMMU ：Hyper-V 提供虚拟化支持，而 IOMMU（输入输出内存管理单元）则确保不同的内存访问请求不会干扰彼此的隔离区域。IOMMU 在硬件层面上控制访问权限，以防止设备或进程访问它们不被授权访问的内存区域。

4. 虚拟化隔离

• 隔离的凭证存储 ：当启用 Credential Guard 后，操作系统会将如 NTLM 哈希、Kerberos 票据等凭证存储到虚拟化的隔离环境中。这些凭证一旦进入隔离环境，就无法被未经授权的进程访问。这个隔离环境通过虚拟化技术保护，即使系统被攻击，凭证也不会被窃取或滥用。
• 访问控制 ：在虚拟化环境中，只有操作系统本身才能访问存储在其中的凭证数据，任何恶意软件或攻击者即使获得了内核级权限，也无法访问或修改这些数据。

5. LSA 和其他服务的协作

LSA 负责认证和凭证存储，而 Credential Guard 通过 VSM 将 LSA 与其他安全服务隔离。通常，LSA 在 Windows 操作系统内运行，但一旦启用 Credential Guard，LSA 会在 VSM 中运行，并且凭证存储与普通的操作系统进程和内存完全隔离。这使得操作系统的主要内存区域无法访问 LSA 存储的凭证。

6. 内存保护和内核模式保护

Credential Guard 通过虚拟化技术强化了 Windows 内核的安全性。Windows 内核和其他高权限系统进程通常具有访问存储在内存中的凭证的能力，但通过虚拟化隔离，它阻止了这种访问：

• 内核模式保护 ：即使恶意代码在内核模式下运行（例如通过驱动程序或恶意软件），它也无法访问 Credential Guard 保护的虚拟化隔离环境中的凭证数据。
• Memory Guard ：Credential Guard 的内存保护功能防止凭证存储区域被非法访问或窃取。内存保护不仅仅是软件级别的控制，硬件级别的保护机制也参与其中，确保凭证存储不受任何未授权访问的影响。

7. 启用条件和硬件要求

为了启用 Credential Guard，系统必须满足以下硬件要求：

• 支持硬件虚拟化的 CPU ：如 Intel VT-x 或 AMD-V。
• 启用 Hyper-V ：Hyper-V 是实现虚拟化隔离的关键。
• 启用 IOMMU ：确保内存访问控制。

8. 与其他安全技术的协作

Credential Guard 并不是单独工作的，它与 Device Guard 、 Secure Boot 等其他 Windows 安全功能协同工作。具体来说：

• Device Guard ：通过确保系统只运行已签名且可信的软件，配合 Credential Guard 可以进一步提高安全性。
• Secure Boot ：Secure Boot 确保在启动时只有受信任的引导加载程序和操作系统内核被加载，这为 Credential Guard 的运行提供了一个安全的启动环境。

9. 攻击防护能力

Credential Guard 能有效防护以下类型的攻击：

• Pass-the-Hash 攻击 ：通过盗取 NTLM 哈希并用其冒充合法用户，攻击者可以访问其他系统。启用 Credential Guard 后，NTLM 哈希被隔离，攻击者无法窃取。
• Pass-the-Ticket 攻击 ：攻击者盗取 Kerberos 票据后，使用它冒充合法用户。Credential Guard 保护了这些票据，防止其被滥用。
• 恶意软件攻击 ：Credential Guard 可以有效防止恶意软件通过内核级权限获取凭证数据，即使恶意软件已经获得了操作系统的高权限。

Credential Guard 的底层原理依赖于硬件虚拟化技术和虚拟化安全模式（VSM）来隔离和保护系统中的敏感凭证。通过将凭证存储在受保护的虚拟化环境中，它确保即使操作系统被攻击，凭证数据也不会被窃取或滥用。通过与 Hyper-V、IOMMU 等技术的结合，Credential Guard 提供了强大的安全性，尤其在防止凭证窃取方面具有显著的效果。

---