Laut Microsoft soll der Defender Credential Guard verhindern, dass Angreifer Anmeldeinformationen aus LSASS stehlen. Der Credential Guard wurde mit Windows 10 von Microsoft eingeführt und steht dort in verschiedenen SKUs zur Verfügung. Aber wie gut ist eigentlich der Schutz vor dem Stehlen von Anmeldeinformationen (Pass-the-Hash-Angriffen) durch den Credential Guard?
Anzeige
Einige Begriffserklärungen
Zuerst möchte ich zwei Begriffe kurz erläutern, um Leserinnen und Leser, die nicht so tief in der Materie sind, einen Anker zu liefern, um was es eigentlich geht.
Was ist Pass-the-Hash?
Pass-the-Hash ist eine Technik, die es einem Angreifer ermöglicht, sich bei einem Remote Server oder Dienst zu authentifizieren, indem er den zugrundeliegenden NTLM- oder LanMan-Hash des Kennworts eines Benutzers verwendet, anstatt das zugehörige Klartextkennwort zu verwenden. Anstatt das Klartextkennwort zu stehlen, wird lediglich der Hash benötigt, um diesen Wert zur Authentifizierung zu verwenden.
Nachdem ein Angreifer gültige Hash-Werte für den Benutzernamen und das Benutzerkennwort (z.B. mit Mimikatz) ermittelt hat, kann er diese Informationen verwenden, um sich bei einem entfernten Server oder Dienst mit LM- oder NTLM-Authentifizierung zu authentifizieren. Dies erspart es dem Angreifer, die Hash-Werte mit einem Brute-Force-Angriff zu knacken, um das Klartextkennwort zu erhalten. Dieser deutschsprachige Beitrag enthält noch einige Hinweise zu diesem Thema.
Was ist der Defender Credential Guard?
Nachdem sie ein System kompromittiert haben, versuchen Angreifer oft, gespeicherte Anmeldedaten zu extrahieren, um sich über über Pass-the-Hash weiter im Netzwerk zu bewegen. Ein Hauptziel solcher Angriffe zum Stehlen von Anmeldeinformationen ist der LSASS-Prozess unter Windows, der NTLM- und Kerberos-Anmeldeinformationen speichert. Hier versucht Microsoft in Windows mit dem Credential Guard gegenzuhalten.
Anzeige
Der Defender Credential Guard ist eine virtualisierungsbasierte Isolationstechnologie für LSASS, die verhindern soll, dass Angreifer Anmeldeinformationen stehlen, die zum Übergeben der Hash-Angriffe verwendet werden könnten. Microsoft beschreibt die Funktionsweise in diesem Beitrag. Credential Guard wurde mit Windows 10 Version 1607 eingeführt. Ab Windows 10 Version 20H1 ist Credential Guard nur noch in der Enterprise und Pro Edition des Betriebssystems verfügbar (dieser Microsoft Beitrag nennt sogar nur Enterprise). Zudem steht die Funktion in Windows Server 2016 und 2019 zur Verfügung und kann u.a. mittels Gruppenrichtlinien aktiviert werden.
Schützt der Credential Guard vor Pass-the-Hash?
Im Rahmen des Artikels HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934 hat mich Marc Heitbrink auf seinen Artikel Credential Guard – Schutz vor Pass-the-Hash aus 2019, der auf Seite gruppenrichtlinien.de, aufmerksam gemacht. Im Artikel geht er der Frage nach, wie gut der Credential Guard vor Pass-the-Hash-Angriffen schützt.
Im Artikel zeigt Mark, wie man die Funktion aktiviert und was es bringt. Die Kernaussage: Sofern verfügbar, sollte der Credential Guard eingeschaltet werden, weil er schon einen gewissen Schutz bietet. Auch kann man die Zugriffe auf die Anmeldeinformationsverwaltung über Gruppenrichtlinien begrenzen.
Aber es gibt ein großes Problem, denn der Schutz vor Pass-the-Hash-Angriffen per Credential Guard wirkt nur für die Windows Anmeldekennungen. Andere Anmeldeinformationen (VPN, RDP etc.) können weiterhin in Plaintext vorliegen. Mark beschreibt das Horror-Szenario:
Ein Admininstrator-Konto wird benutzt, um sich an einem unsicheren Client anzumelden. Dazu speichert der Administrator seine MSTSC RDP Credentials auf diesem System oder seinen Login-Daten für andere Funktionen. Beispiel wäre, dass der Chefentwickler diese für seinen Webdienst so speichert und gleichzeitig aus Faulheit dasselbe Kennwort wie in der Domäne verwendet hat.
Also: Lest euch den Artikel von Mark Heitbrink durch und macht euch in einer Folgenabschätzung klar, gegen was der Credential Guard schützt und wo die Funktion euch mit nacktem Hintern zurück lässt.
Anzeige
Danke! Hier hilft nur die Order-Mufti (bzw. soweit möglich Gruppenrichtlinie), keine Passwörter in Browsern und RDP-Client zu speichern. Passwörter gehören in KeePass odern eine ähnliche Lösung.
Laut diesem Github-Thread ist Credential Guard seit mindestens W10 1909 nicht in der Pro version nutzbar:
Der Benutzer tecxx hat dort auf W10 Enterprise / Pro 2004 und Pro 1909 getestet und einzig bei der Enterprise-Version zeigt mimikatz dass die Verschlüsselung aktiv ist.
Im Volume-Licensing-Guide steht Credential Guard ebenfalls unter den Funktionen die Enterprise über Pro bietet (Seite 5)