leowolfert - Fotolia
Windows Defender Credential Guard sichert Anmeldedaten ab
Mit Hilfe von Windows Defender Credential Guard lassen sich unter Windows 10 und Windows Server 2016 Domänen-Anmeldeinformationen zusätzlich absichern und vor Angriffen schützen.
IT-Sicherheit konzentrierte sich in der Vergangenheit meist auf Abwehrmaßnahmen am Perimeter. Windows Defender Credential Guard schließt Lücken im Rechenzentrum, um Angriffe aus dem Netzwerk zu verhindern. Ist es einem Angreifer erst einmal gelungen, ins Netzwerk zu gelangen und in den Besitz von Anmeldeinformationen zu kommen, kann man meist wenig tun, um sein weiteres Handeln im Netzwerk zu unterbinden.
Windows Defender Credential Guard ist eine Funktion in Windows Server 2016 und Windows 10, die kritische Informationen des Betriebssystems isoliert. Damit will man neuen Bedrohungen begegnen, ganz ähnlich wie bei der Mikrosegmentierung in Sachen Netzwerkvirtualisierung.
Der Anmeldevorgang ist auch für IT-Administratoren meist nur Routine. In der Regel wird aus Sicherheitsgründen in bestimmten Zeitabständen das Passwort geändert. Weitere Schutzmaßnahmen, um die Domänenzugangsdaten vor Hackern zu schützen, kommen meist nicht zum Einsatz.
Nun sind nicht alle Konten gleichermaßen kritisch, eines der bedeutsamsten ist aber zweifelsohne das Administrator-Konto der Domäne. Dieses Konto beinhaltet umfassende Rechte und der Zugang sollte entsprechend begrenzt sein. Und genau darin besteht das Problem.
So sollten sich nur wenige Personen mit einem entsprechenden Administrationskonto anmelden. Viele Administratoren loggen sich mit aber Konten ein, die über entsprechende Adminrechte verfügen. Bekommt ein Hacker Zugriff auf ein solches Konto, ist es sinnlos, Namen und Passwort des Administrator-Kontos zu ändern. Der Schaden ist dann bereits entstanden. Natürlich würden Administratoren in einer idealen Welt verschiedene Konten fürs Arbeiten und fürs Administrieren verwenden. Aber in der Praxis ist dies eben häufig nicht der Fall. Und so werden die sensiblen Zugangsdaten auch auf möglicherweise gefährdeten Desktops oder Notebooks verwendet.
Windows Defender Credential Guard isoliert Anmeldedaten
Domänencontroller speichern sensible Anmeldeinformationen, die für Angreifer sehr attraktiv sind. In der Vergangenheit hat der Security Account Manager (SAM) den Schutz dieser Daten ordentlich gemeistert, aber die Methoden der Angreifer und die entsprechende Malware haben sich weiterentwickelt.
In Windows Server 2016 und Windows 10 schützt Windows Defender Credential Guard Anmeldeinformationen mit einer auf Virtualisierung basierenden Sicherheitsfunktion (Virtual Secure Mode). Die Funktion verwendet einen Hypervisor, um eine virtuelle Maschine zu erstellen, die ihren Prozess und Speicher vom Betriebssystem isoliert. Nur privilegierte Systemsoftware erhält Zugriff auf die Informationen. Da die VM von Windows Defender Credential Guard nicht den gleichen Speicher wie das Betriebssystem belegt, ist die Funktion ein wichtiger Baustein zum Schutz vor Windows-basierten Speicherangriffen. Die ähnlich klingende Funktion Windows Defender Remote Credential Guard schützt hingegen Anmeldeinformationen, die bei einer Remote-Desktop-Verbindung verwendet werden.
Systemanforderungen von Windows Defender Credential Guard
Eine der Vorteile von Windows Defender Credential Guard für Windows Server 2016 ist, dass es auf dem Hypervisor ohne zusätzliche Add-Ons läuft. Die Empfehlungen für den Einsatz von Windows Defender Credential Guard beinhalten: UEFI, Second-Level Address Translation (SLAT), Trusted Platfom Module (TPM), eine 64-Bit-Plattform und die entsprechenden Virtualisierungs-Erweiterungen. Dies sollten die meisten aktuellen Server ohnehin unterstützten.
Es existieren unterschiedliche Ansätze, eine weitere Schutzschicht für Serverbetriebssysteme einzuziehen. Bei Windows-Server-2016-Installationen sollten Administratoren Windows Defender Credential Guard durchaus in Betracht ziehen. Windows Defender Credential Guard lässt sich per Gruppenrichtlinie oder über die Registry aktivieren. Alternativ kann das „Windows Defender Credential Guard“-Hardware-Readiness-Tool genutzt werden. Detaillierte Informationen zur Aktivierung der Funktion stellt Microsoft hier zur Verfügung.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
