Pass-the-Hash- oder Pass-The-Ticket-Angriffe verhindern Windows Defender Credential Guard und HVCI richtig nutzen

Autor / Redakteur: Thomas Joos / Peter Schmitz

Windows Defender Credential Guard hilft dabei Anmeldedaten in Netzwerken abzusichern. Hypervisor-Protected Code Integrity (HVCI) nutzt wiederum Virtualisierungstechnologien, um den Arbeitsspeicher von Computern zu schützen.

Firma zum Thema

In Windows 10 und Windows Server 2016/2019 lassen sich VMs mit Windows Defender Credential Guard erstellen. Die Daten in dieser VM stehen nur verifizierten Prozessen zur Verfügung.
In Windows 10 und Windows Server 2016/2019 lassen sich VMs mit Windows Defender Credential Guard erstellen. Die Daten in dieser VM stehen nur verifizierten Prozessen zur Verfügung.
(© putilov_denis - stock.adobe.com)

Windows Defender Credential Guard ist ein internes Schutzsystem im Netzwerk, das auf Windows 10 und Windows Server 2016/2019 nutzbar ist. Wenn Angreifer im Netzwerk eingedrungen sind, besteht ohne weitere Schutzmechanismen die Gefahr, dass Anmeldedaten von Benutzern kompromittiert werden. Microsoft hat in Windows 10 und Windows Server 2016/2019 Technologien integriert, die Funktionen aus Hyper-V nutzen, um die Sicherheit von Computern im laufenden Betrieb zu verbessern.

Einstieg in die Virtualisierungsbasierte Sicherheit von Windows 10 und Windows Server 2016/2019

Das soll Windows Defender Credential Guard verhindern. In Windows 10 und Windows Server 2016/2019 ist es möglich mit Virtualisierungstechnologien eine VM mit Windows Defender Credential Guard zu erstellen. Die Daten in dieser VM stehen nur verifizierten Prozessen zur Verfügung. Der Sinn hinter der Technik ist das sichere Abschotten von Anmeldedaten. Es ist nach Aktivierung der Technologie nicht mehr möglich, dass ein Angreifer Anmeldedaten von einem System abgreifen kann. Das System schützt zuverlässig vor Pass-the-Hash- oder Pass-The-Ticket-Angriffen.

Bildergalerie
Bildergalerie mit 7 Bildern

Pass the Hash-Attacken (PtH) sind verbesserte Kennwort-Angriffe im Netzwerk. Davon betroffen sind generell alle Windows-Systeme, auch in Active Directory. PtH-Angriffe zielen nicht auf die Kennwörter ab, sondern auf die Hashes, die in Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Um Windows-Netzwerke vor diesen Angriffen zu schützen, kommen Technologien wie Windows Defender Credential Guard und Hypervisor-Protected Code Integrity zum Einsatz.

Windows Defender Credential Guard aktivieren

Die Aktivierung der Technik kann mit dem „HVCI and Windows Defender Credential Guard hardware readiness tool“ durchgeführt werden. Dabei handelt es sich um ein PowerShell-Skript. Das Tool steht auch im Downloadcenter zur Verfügung. Auf deutschen Systemen liefert das Readiness-Tool teilweise Fehler. In diesem Fall muss das Skript nach falschen Bezeichnungen untersucht werden.

Das Skript prüft, ob der Server kompatibel für den Einsatz von Windows Defender Credential Guard und Hypervisor-Protected Code Integrity (HVCI) ist. Dazu ist ein TPM-Chip notwendig sowie ein aktuelles UEFI. Auf den meisten Servern sollten die beiden Technologien funktionieren. Die mit Windows Defender Credential Guard-geschützten Computer müssen darüber hinaus mit Secure Boot gestartet werden.

Neben Windows-Servern kann Windows Defender Credential Guard auch auf Arbeitsstationen eingesetzt werden. Sinnvoll ist das auf Rechnern an denen Mitarbeiter mit besonders heiklen Daten arbeiten, oder wo die Anmeldedaten über umfangreiche Berechtigungen in Active Directory verfügen.

Windows Defender Credential Guard und Hypervisor-Protected Code Integrity (HVCI) setzen auf Technologien aus Hyper-V. Aus diesem Grund muss Hyper-V auf den geschützten Computern zur Verfügung stehen und die Computer müssen kompatibel mit Hyper-V sein.

Windows Defender Credential Guard aktivieren

Über in Windows 10 Windows Defender Credential Guard zu aktivieren, müssen über die optionalen Features (optionalfeatures.exe) die beiden Features „Hyper-V-Hypervisor“ über „Hyper-V\Hyper-V-Plattform)“ und „Isolated User Mode“ installiert werden. Allerdings ist das bei der Aktivierung der Funktion über Gruppenrichtlinien nicht notwendig. Nach dieser Aktivierung installieren Windows 10-Computer die notwendigen Features automatisch.

In den Gruppenrichtlinien sind diese Funktionen bei „Computerkonfiguration\Administrative Vorlagen\System\Devide Guard zu finden“. Die Option „Virtualisierungsbasierte Sicherheit aktivieren“ steuert den Schutz. In der Richtlinie stehen verschiedene Optionen zur Verfügung. Die erfolgreiche Aktivierung ist in der Systeminformation bei „Systemübersicht“ im unteren Bereich zu sehen. Die Systeminformationen zeigt Windows 10 nach Eingabe von „msinfo32.exe“ an. Im unteren Bereich sind bei „Virtualisierungsbasierte Sicherheit“ die verschiedenen, aktivierten Dienste zu finden.

Bildergalerie
Bildergalerie mit 7 Bildern

Kernisolierung: Hypervisor-Protected Code Integrity

Hypervisor-Protected Code Integrity nutzt Virtualisierungstechnologien aus Hyper-V um den Windows-Kernel zu schützen. Ist die Funktion aktiviert, kann es teilweise zu Fehlermeldungen bei der Aktualisierung von Windows 10 oder bei der Installation von Anwendungen kommen. Vor allem bei der Installation von neuen Windows 10-Versionen kann es bei aktiver Kernisolierung schnell zu Problemen kommen. In diesem Fall ist der einfachste Schritt die Isolierung zu beenden und nach der Installation von Windows wieder zu aktivieren, wenn alle Treiber aktuell sind.

Der Schutz kann in der Windows 10-App „Windows-Sicherheit“ konfiguriert werden. Zu finden ist er über „Gerätesicherheit“ bei „Details zu Kernisolierung“. Hier lässt sich der Schutz aktivieren und deaktivieren. Wenn auf dem System Treiber zum Einsatz kommen, die nicht kompatibel sind, kann der Schutz nicht aktiviert werden. Die inkompatiblen Treiber zeigt die Windows-Sicherheit-App mit dem Link „Inkompatible Treiber überprüfen“ an.

(ID:47634462)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist