Sicherheit: Wie Sie Credential Guard mit Windows 11 Pro nutzen – oder abschalten

Inhaltsverzeichnis

Hin und wieder hat Microsoft eine spezielle Art, ein Feature zu erklären: Man gebe es einfach einer Reihe von Usern, baue keinen komfortablen Weg ein, um es bei Bedarf abzuschalten, und verstecke am besten auch noch die Dokumentation dazu. So in etwa verhält es sich beim "Windows Defender Credential Guard", der seit einiger Zeit auch auf Windows 11 in der Pro-Edition laufen kann.

Beim Credential Guard handelt es sich um eine praktische Anwendung dessen, was Microsoft meist als "virtualisierungsbasierte Sicherheit" (Virtualization Based Security, VBS) oder auch als "hypervisorgeschützte Codeintegrität" bezeichnet (Hypervisor-Protected Code Integrity, HVCI). Er hat die Aufgabe, Windows-Anmeldedaten vor unberechtigtem Zugriff zu schützen, die im RAM des lokalen Authentifizierungsdienst-Prozesses lsass.exe liegen (LSASS steht für Local Security Authority Subsystem Service). Kurz gesagt: Ist der Credential Guard aktiv, läuft in einer abgeschotteten virtuellen Maschine (VM) ein zusätzlicher Prozess lsaiso.exe, in dessen RAM Kerberos-, NTLM- und Single-Sign-on-Anmeldedaten liegen. Dieser Prozess kommuniziert nur mit dem regulären lsass.exe des Hosts und bleibt für den Rest des Systems unerreichbar.

Mehr zu Windows

• c't-Notfall-Windows 2024: Das eigene Notfallsystem bauen
• c't-Notfall-Windows 2024: Weitere Funktionen freilegen
• Probleme lösen mit dem Notfall-Windows 2024
• Viren suchen: So geht's mit dem Notfall-Windows 2024
• Absurde Systemanforderungen von Windows 11: Folgen beim Hardwarekauf
• Windows 11: Die absurden Folgen beim Kauf eines gebrauchten PCs
• Windows Defender Credential Guard mit Windows 11 Pro nutzen – oder abschalten
• Windows 11 Version 23H2: Was das Funktionsupdate bringt
• Whitelisting: Windows mit SRPs und AppLocker absichern – eine Einführung
• Windows absichern per Whitelisting: Wie Sie Restric’tor einrichten und verwenden

Mittels dieser Abschottung blockiert der Credential Guard gängige und bei Kriminellen beliebte Lateral-Movement-Techniken zum Unterwandern von Firmennetzwerken: Dabei würde ein Angreifer zunächst einen oder mehrere Mitarbeiter-PCs kapern, darauf ein Angriffs-Toolkit à la Mimikatz platzieren und sich so lange auf die Lauer legen, bis sich ein Admin, etwa zu Wartungszwecken, leichtsinnigerweise mit den Anmeldedaten eines Domänen-Administratorkontos darauf einloggt. Ist es so weit, landet der Kennwort-Hash im RAM des lsass.exe-Prozesses und kann dort ausgelesen werden – ein sogenannter Pass-the-Hash-Angriff.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Im Test: Smartes Heizkörperthermostat und Offset-Sensor mit Thread und Matter

Tados neues X-System funkt auf Wunsch ohne Herstellerbridge mit anderen Thread-Zentralen im Smart Home und speichert Heizpläne auch lokal.

---

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

Behörden müssen Dienste digitalisieren. Dafür suchen sie nach IT-Fachkräften. Wir zeigen, für wen sich die Karriere eignet – und wie viel Geld man verdient.

---

Ausprobiert: Fritzbox als NAS-Ersatz verwenden​

AVM bietet mit FritzNAS die Option, die Fritzbox zum Netzwerkspeicher zu machen. Wir prüfen, wie sich die Kombi im Vergleich zu herkömmlichen NAS schlägt.​

---

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

---

IT-Gehälter 2024: Das verdienen Security-Experten in Deutschland​

IT-Security-Experten sichern Firmen vor Angriffen, entsprechend hoch ist ihre Verantwortung. Dafür zahlen Firmen hohe Gehälter.

• Freiberufler: Was 2024 wichtig ist

---

Gehälter 2024: Das verdienen Admins in Deutschland​

Firmen suchen händeringend nach IT-Admins. Sie sind der Grundstein für eine gute technische Infrastruktur. Wir zeigen, was Administratoren verdienen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Im Test: Smartes Heizkörperthermostat und Offset-Sensor mit Thread und Matter

Tados neues X-System funkt auf Wunsch ohne Herstellerbridge mit anderen Thread-Zentralen im Smart Home und speichert Heizpläne auch lokal.

---

Informatiker im Öffentlichen Dienst: Aufgaben, Gehälter und Verbeamtung

Behörden müssen Dienste digitalisieren. Dafür suchen sie nach IT-Fachkräften. Wir zeigen, für wen sich die Karriere eignet – und wie viel Geld man verdient.

---

Ausprobiert: Fritzbox als NAS-Ersatz verwenden​

AVM bietet mit FritzNAS die Option, die Fritzbox zum Netzwerkspeicher zu machen. Wir prüfen, wie sich die Kombi im Vergleich zu herkömmlichen NAS schlägt.​

---

Trend-Beruf: Mit diesen Fähigkeiten wird man KI-Experte

KI-Experte ist aktuell ein gefragter Beruf, mit dem sich viel Geld verdienen lässt. Aber welche Skills sind relevant und welche Fortbildungen lohnen sich?

---

IT-Gehälter 2024: Das verdienen Security-Experten in Deutschland​

IT-Security-Experten sichern Firmen vor Angriffen, entsprechend hoch ist ihre Verantwortung. Dafür zahlen Firmen hohe Gehälter.

• Freiberufler: Was 2024 wichtig ist

---

Gehälter 2024: Das verdienen Admins in Deutschland​

Firmen suchen händeringend nach IT-Admins. Sie sind der Grundstein für eine gute technische Infrastruktur. Wir zeigen, was Administratoren verdienen.