Windows 10 Enterprise-Sicherheit: Credential Guard und Device Guard

Zusammenfassung: „Übersicht über zwei neue Windows 10 Enterprise-fähige Sicherheitsfunktionen: Credential Guard und Device Guard.“

Was ist Device Guard und Credential Guard?

Device Guard und Credential Guard bieten virtualisierungsbasierte Sicherheit (VBS). Mit Local Security Authority(LSA)-Funktionen unter Einsatz von Hypervisor Code Integrity(HVCI)-Treibern und einem konformen BIOS mit dem Windows 10 Enterprise/Education Edition-Betriebssystem. Device Guard und Credential Guard sind nur für Computer verfügbar, die durch eine Microsoft-Volumenlizenzvereinbarung (VLA) abgedeckt sind.

Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Schlüssel (Anmeldeinformationen) zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Unbefugter Zugriff auf diese Schlüssel kann zum Diebstahl von Anmeldeinformationen führen. Credential Guard verhindert diese Angriffe durch den Schutz von NT LAN Manager(NTLM)-Protokoll-Kennworthashes und die Ausstellung von Tickets durch Kerberos Ticket. Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Schlüssel zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Credential Guard ist nicht von Device Guard abhängig.

Device Guard ist eine Kombination aus Sicherheitsfunktionen für Hardware und Software von Unternehmen. Wenn sie zusammen konfiguriert werden, sperren sie ein Gerät so, dass es nur vertrauenswürdige Anwendungen ausführen kann. Wenn es sich nicht um eine vertrauenswürdige Anwendung handelt, kann diese nicht ausgeführt werden. Sie können die Funktion so konfigurieren, dass ein Gerät gesperrt wird. Damit das Gerät nur vertrauenswürdige Anwendungen ausführen kann, die in Ihren Codeintegritätspolicys definiert sind. Device Guard ist von virtualisierungsbasierter Sicherheit (VBS) abhängig.

Seitenanfang

Funktionsweise

Virtualisierungsbasierte Sicherheitsfunktionen von Windows 10 Enterprise/Education nutzen eine Reihe von Sicherheitselementen wie UEFI, Secure Boot, Trusted Platform Module (TPM) 2.0. Dell hat ausgewählte Precision-, Latitude- und OptiPlex-Computer verifiziert, die über aktualisierte BIOS- und HVCI-konforme Treiber verfügen müssen.

UEFI-Firmware-Version 2.3.1 oder höher: UEFI ist gesperrt, sodass die Einstellungen in UEFI nicht geändert werden können und die Device Guard-Sicherheit nicht gefährdet werden kann. (Startreihenfolge, Starteinträge, Secure Boot, Virtualisierungserweiterungen, IOMMU, Microsoft UEFI CA.)

Seitenanfang

Credential Guard.

• Hardwaresicherheit: Credential Guard erhöht die Sicherheit abgeleiteter Domainanmeldeinformationen, indem die Sicherheitsfunktionen der Plattform wie Secure Boot und Virtualisierung genutzt werden.
• Besserer Schutz vor anhaltenden Advanced Threats: Das Sichern abgeleiteter Domainanmeldeinformationen mithilfe der virtualisierungsbasierten Sicherheit blockiert die Techniken und Tools für den Diebstahl von Anmeldeinformationen, die bei vielen gezielten Angriffen verwendet werden.
  • Virtualisierungsbasierte Sicherheit schützt Ihre Schlüssel vor Malware, die im Betriebssystem mit Administratorrechten ausgeführt wird.
• Verwaltbarkeit: Sie können Credential Guard mithilfe von Gruppenpolicys, WMI, über eine Eingabeaufforderung und Windows PowerShell verwalten.

Schützen abgeleiteter Domainanmeldeinformationen mit Credential Guard 

Seitenanfang

Device Guard.

• Die Verwendung herkömmlicher Methoden wie Virenschutzlösungen stellt nur eine unzureichende Lösung bei der Abwehr neuer Angriffe dar. (Signaturbasierte Erkennung zur Bekämpfung von Malware.) Insbesondere mit Tausenden von neuen schädlichen Dateien, die täglich erstellt werden.
• Device Guard auf Windows 10 Enterprise verlässt den Modus, in dem Anwendungen vertrauenswürdig sind, es sei denn, sie werden durch eine Virenschutz- oder andere Sicherheitslösung blockiert. Device Guard wechselt in einen Modus, in dem das Betriebssystem nur autorisierten Anwendungen vertraut, die von Ihrem Unternehmen festgelegt wurden. Sie legen diese vertrauenswürdigen Anwendungen fest, indem Sie Codeintegritätspolicys erstellen.

Vier Möglichkeiten zur Verwaltung von Device Guard

• Gruppenpolicy: Windows 10 bietet eine administrative Vorlage zum Konfigurieren und Bereitstellen der konfigurierbaren Codeintegritätspolicys für Ihr Unternehmen. Mit dieser Vorlage können Sie auch angeben, welche hardwarebasierten Sicherheitsfunktionen Sie aktivieren und bereitstellen möchten. Sie können diese Einstellungen zusammen mit Ihren vorhandenen Gruppenpolicyobjekten (GPOs) verwalten, wodurch die Implementierung von Device Guard-Funktionen vereinfacht wird.
• Microsoft System Center Configuration Manager: Sie können System Center Configuration Manager verwenden, um die Bereitstellung und Verwaltung von Katalogdateien zu vereinfachen. Einschließlich Codeintegritätspolicys und hardwarebasierten Sicherheitsfunktionen bietet diese Funktion auch Versionskontrolle.
• Windows PowerShell
• Microsoft Intune

Seitenanfang

Häufig gestellte Fragen (FAQs)

Was ist die Windows 10 Enterprise-SKU?
Die Windows 10 Enterprise-SKU ist eine andere Windows-Betriebssystemversion, die nur für Microsoft-Volumenlizenzkunden verfügbar ist. Diejenigen, die Computer mit der Windows 10 Professional-Lizenz erwerben und dann ein Upgrade auf Windows 10 Enterprise durchführen, um inkrementelle Funktionen zu erhalten. Windows 10 Enterprise umfasst zwei Sicherheitsfunktionen, die für Professional- oder Home-SKUs nicht verfügbar sind: Credential Guard und Device Guard. Details zum Funktionsvergleich zwischen Windows-Betriebssystem-SKUs.

Was ist Device Guard und Credential Guard?
Device Guard und Credential Guard sind die neuen Sicherheitsfunktionen, die derzeit nur unter Windows 10 Enterprise verfügbar sind. Device Guard ist eine Kombination aus Sicherheitsfunktionen für Hardware und Software von Unternehmen. Wenn sie zusammen konfiguriert werden, sperren sie ein Gerät so, dass es nur vertrauenswürdige Anwendungen ausführen kann. Wenn es sich nicht um eine vertrauenswürdige Anwendung handelt, kann diese nicht ausgeführt werden. Credential Guard verwendet virtualisierungsbasierte Sicherheit, um Schlüssel (Anmeldeinformationen) zu isolieren, sodass nur privilegierte Systemsoftware darauf zugreifen kann. Unbefugter Zugriff auf diese Schlüssel kann zum Diebstahl von Anmeldeinformationen führen. Credential Guard verhindert diese Angriffe durch den Schutz von NTLM-Kennwort-Hashes und die Ausstellung von Tickets durch Kerberos Ticket.

Was ist virtualisierungsbasierte Sicherheit (VBS)?
Es handelt sich dabei um Schutz, der den Hypervisor verwendet, um den Kernel und andere Teile des Betriebssystems zu schützen. Mit der VBS-Standardcodeintegritätspolicy im Kernelmodus oder der Codeintegritätspolicy, die Sie konfigurieren und bereitstellen, wird diese robuster.

Wie kann ich überprüfen, ob der virtualisierungsbasierte Schutz der Codeintegrität aktiviert ist?
Der einfachste Mechanismus besteht darin, die Anwendung „Systeminformationen“ (msinfo32) auszuführen. Suchen Sie nach der Zeile: „Device Guard Security Services Running.“ Folgende Meldung sollte angezeigt werden: „Hypervisor enforced Code Integrity.“ Es gibt auch eine WMI-Schnittstelle (Windows Management Instrumentation) zur Überprüfung mithilfe von Verwaltungstools.

Wenn ein Computer nicht Win10 Enterprise-bereit ist, kann dieser Computer trotzdem Win10 Enterprise ausführen?
Ja, sofern ein Computer mit Win10 Pro erworben wird. Volumenlizenzkunden können diesen Computer immer auf Win10 Enterprise aktualisieren. Alle inkrementellen Funktionen von Enterprise funktionieren einwandfrei, MIT AUSNAHME von Device Guard und Credential Guard. Dies liegt daran, dass diese beiden Sicherheitsfunktionen BIOS-, Treiber- und Prozessorfunktionen erfordern, um die Microsoft-Anforderungen zu erfüllen.

Was sind die Anforderungen zum Aktivieren von Device Guard und Credential Guard auf meinen Dell Computern?
Kunden, die ein Upgrade ihrer Computer durchführen möchten, um Device Guard und Credential Guard zu aktivieren, müssen folgende drei Kriterien erfüllen:

1. Latitude-/OptiPlex-/Precision-/Venue-Geräte müssen Win10 Enterprise-fähig sein. Stellen Sie sicher, dass das BIOS und die Treiber auf die Version aktualisiert werden, die Enterprise Ready-fähig ist. Detaillierte Informationen zur BIOS-/HVCI-Treiberbereitschaft je Plattform finden Sie in der Plattformliste.
2. Bei der Konfiguration müssen DG-/CG-fähige Prozessoren verwendet werden. DG-/CG-fähige Prozessoren unterstützen Intel VT-x- und Intel VT-d-Funktionen. Diese Funktionen sind obligatorische Anforderungen für die Unterstützung von Device Guard und Credential Guard auf Windows 10. So überprüfen Sie, ob Ihr Prozessor Intel VT-x und Intel VT-d unterstützt. Klicken Sie auf folgenden Link: Intel® Produktspezifikationen
3. KundInnen müssen über eine Microsoft-Volumenlizenz verfügen. Win10 Enterprise ist keine OEM-SKU. KundInnen können Win10 Enterprise-Bits nur direkt von Microsoft erhalten.

Detaillierte Anforderungen:

Weitere Anforderungen für Windows 10 1607

Sie benötigen eine Microsoft-Volumenlizenz für Win10 Enterprise, die Sie direkt über Microsoft erwerben (einschließlich KundInnen, die ein Upgrade von einer Windows 10 Pro-SKU durchführen, die Dell liefert). Dell stellt Windows 10 Enterprise nicht als OEM-SKU bereit.

Wenn Sie Device Guard bereitstellen möchten, finden Sie weitere Informationen unter: Bereitstellungshandbuch für Windows Defender Device Guard Informationen zum Bereitstellen von Credential Guard finden Sie unter: Anforderungen und Richtlinien für die Bereitstellungsplanung für Credential Guard 

Welche BIOS-Einstellungen müssen für Device Guard und Credential Guard festgelegt werden?
Diese Optionen sollten aktiviert sein. Stellen Sie sicher, dass Sie über das neueste BIOS verfügen, das in der Liste der unterstützten BIOS aufgeführt ist.

Wie wird Device Guard und Credential Guard validiert?
Sie können hierfür das Device Guard- und Credential Guard-Validierungstool verwenden.

• Überprüfen Sie, ob der Computer Device Guard oder Credential Guard ausführen kann.
• Deaktivieren und Aktivieren von Device Guard oder Credential Guard

Bevor Sie das Tool ausführen, stellen Sie sicher, dass Sie die korrekte Ausführungspolicy in PowerShell aktiviert haben. (Siehe Abbildung 1 unten)

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

Abbildung 1. - Ausführungspolicy im PowerShell-Beispiel.

Zum Validieren: DG_Readiness.ps1 –Capable -[DG/CG/HVCI] -AutoReboot

Zum Aktivieren: DG_Readiness.ps1 –Enable -[DG/CG] –AutoReboot

Zum Deaktivieren: DG_Readiness.ps1 –Disable -[DG/CG] -AutoReboot

Ist mein Computer mit Device Guard oder Credential Guard vorkonfiguriert?
Nein, Dell stellt sicher, dass die überprüften Computer hinsichtlich BIOS-Firmware- und HVCI-Treiber-Compliance vollständig überprüft werden. Das ist alles, was Sie benötigen, um die Computer für Device oder Credential Guard zu aktivieren. Sie müssen die Funktionen mithilfe des oben aufgeführten Aktivierungsswitch oder dem Schritt-für-Schritt-Verfahren im Bereitstellungshandbuch aktivieren (siehe Abschnitt „Ressourcen“).

Was ist HVCI-Treiberbereitschaft und woher weiß ich, ob ich die richtigen Treiber habe?
HVCI steht für Hypervisor-Codeintegrität. Der HVCI-Service unter Windows 10 bestimmt, ob Code, der im Kernelmodus ausgeführt wird, sicher konzipiert und vertrauenswürdig ist. Er bietet Zero Day und Schutzfunktionen für Sicherheitslücken. Er stellt sicher, dass die gesamte Software im Kernelmodus ausgeführt wird, einschließlich Treibern, und dass Arbeitsspeicher sicher zugewiesen wird und alles wie vorgesehen funktioniert.

Verwenden Sie das DGReadiness-Tool:

Zum Validieren: DG_Readiness.ps1 –Capable –HVCI -AutoReboot

HINWEIS: Dell überprüft die Treiberbereitschaft der von Dell unterstützten Treiber. Wenn Sie andere Treiber von Drittanbietern auf dem Computer installieren, müssen Sie sicherstellen, dass sie HVCI-konform sind. Treiberkompatibilität mit Device Guard unter Windows 10

Welche Dell Computer unterstützen Device Guard und Credential Guard?
Um Device Guard und Credential Guard zu aktivieren, benötigen Dell Computer der Generation SkyLake und KabyLake sowohl kompatible BIOS- als auch HVCI-konforme (Hypervisor Code Integrity) Treiber.

Hier sind alle Computer, auf denen Dell diese Funktion unterstützt. In der folgenden Tabelle sind die Treiberversionen und die BIOS-Versionen für jede Plattform aufgeführt.

Wenn ein Prozessor vPro ist, ist er dann DG-/CG-fähig?
Ja. Darüber hinaus sind auch einige Nicht-vPro-Prozessoren DG-/CG-fähig (VT-x/VT-d). So überprüfen Sie, ob Ihr Prozessor Intel VT-x und Intel VT-d unterstützt. Klicken Sie auf folgenden Link: Intel® Produktspezifikationen

Seitenanfang

Ressourcen

• Windows 11 – Unternehmenssicherheit: Credential Guard und Device Guard
• Device Guard-Bereitstellungshandbuch
• Hardwareanforderungen für Windows Defender Credential Guard
• Hardwareanforderungen für Windows Defender Device Guard

Seitenanfang