![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Laut Microsoft soll der Defender Credential Guard verhindern, dass Angreifer Anmeldeinformationen aus LSASS stehlen. Der Credential Guard wurde mit Windows 10 von Microsoft eingef\u00fchrt und steht dort in verschiedenen SKUs zur Verf\u00fcgung. Aber wie gut ist eigentlich der Schutz vor dem Stehlen von Anmeldeinformationen (Pass-the-Hash-Angriffen) durch den Credential Guard?<\/p>\n
<\/p>\n
Zuerst m\u00f6chte ich zwei Begriffe kurz erl\u00e4utern, um Leserinnen und Leser, die nicht so tief in der Materie sind, einen Anker zu liefern, um was es eigentlich geht. <\/p>\n
Pass-the-Hash<\/a> ist eine Technik, die es einem Angreifer erm\u00f6glicht, sich bei einem Remote Server oder Dienst zu authentifizieren, indem er den zugrundeliegenden NTLM- oder LanMan-Hash des Kennworts eines Benutzers verwendet, anstatt das zugeh\u00f6rige Klartextkennwort zu verwenden. Anstatt das Klartextkennwort zu stehlen, wird lediglich der Hash ben\u00f6tigt, um diesen Wert zur Authentifizierung zu verwenden.<\/p>\n Nachdem ein Angreifer g\u00fcltige Hash-Werte f\u00fcr den Benutzernamen und das Benutzerkennwort (z.B. mit Mimikatz<\/a>) ermittelt hat, kann er diese Informationen verwenden, um sich bei einem entfernten Server oder Dienst mit LM- oder NTLM-Authentifizierung zu authentifizieren. Dies erspart es dem Angreifer, die Hash-Werte mit einem Brute-Force-Angriff zu knacken, um das Klartextkennwort zu erhalten. Dieser deutschsprachige Beitrag<\/a> enth\u00e4lt noch einige Hinweise zu diesem Thema.<\/p>\n Nachdem sie ein System kompromittiert haben, versuchen Angreifer oft, gespeicherte Anmeldedaten zu extrahieren, um sich \u00fcber \u00fcber Pass-the-Hash weiter im Netzwerk zu bewegen. Ein Hauptziel solcher Angriffe zum Stehlen von Anmeldeinformationen ist der LSASS-Prozess unter Windows, der NTLM- und Kerberos-Anmeldeinformationen speichert. Hier versucht Microsoft in Windows mit dem Credential Guard gegenzuhalten.<\/p>\n Der Defender Credential Guard<\/a> ist eine virtualisierungsbasierte Isolationstechnologie f\u00fcr LSASS, die verhindern soll, dass Angreifer Anmeldeinformationen stehlen, die zum \u00dcbergeben der Hash-Angriffe verwendet werden k\u00f6nnten. Microsoft beschreibt die Funktionsweise in diesem Beitrag<\/a>. Credential Guard wurde mit Windows 10 Version 1607 eingef\u00fchrt. Ab Windows 10 Version 20H1 ist Credential Guard nur noch in der Enterprise und Pro Edition des Betriebssystems verf\u00fcgbar (dieser Microsoft Beitrag<\/a> nennt sogar nur Enterprise). Zudem steht die Funktion in Windows Server 2016 und 2019 zur Verf\u00fcgung und kann u.a. mittels Gruppenrichtlinien aktiviert werden<\/a>.<\/p>\n Im Rahmen des Artikels HiveNightmare: Neue Details zur Windows-Schwachstelle CVE-2021-36934<\/a> hat mich Marc Heitbrink auf seinen Artikel Credential Guard – Schutz vor Pass-the-Hash<\/a> aus 2019, der auf Seite gruppenrichtlinien.de, aufmerksam gemacht. Im Artikel geht er der Frage nach, wie gut der Credential Guard vor Pass-the-Hash-Angriffen sch\u00fctzt. <\/p>\n Im Artikel zeigt Mark, wie man die Funktion aktiviert und was es bringt. Die Kernaussage: Sofern verf\u00fcgbar, sollte der Credential Guard eingeschaltet werden, weil er schon einen gewissen Schutz bietet. Auch kann man die Zugriffe auf die Anmeldeinformationsverwaltung \u00fcber Gruppenrichtlinien begrenzen. <\/p>\n Aber es gibt ein gro\u00dfes Problem, denn der Schutz vor Pass-the-Hash-Angriffen per Credential Guard wirkt nur f\u00fcr die Windows Anmeldekennungen. Andere Anmeldeinformationen (VPN, RDP etc.) k\u00f6nnen weiterhin in Plaintext vorliegen. Mark beschreibt das Horror-Szenario:<\/p>\n Ein Admininstrator-Konto wird benutzt, um sich an einem unsicheren Client anzumelden. Dazu speichert der Administrator seine MSTSC RDP Credentials auf diesem System oder seinen Login-Daten f\u00fcr andere Funktionen. Beispiel w\u00e4re, dass der Chefentwickler diese f\u00fcr seinen Webdienst so speichert und gleichzeitig aus Faulheit dasselbe Kennwort wie in der Dom\u00e4ne verwendet hat.<\/p>\n<\/blockquote>\n Also: Lest euch den Artikel von Mark Heitbrink durch und macht euch in einer Folgenabsch\u00e4tzung klar, gegen was der Credential Guard sch\u00fctzt und wo die Funktion euch mit nacktem Hintern zur\u00fcck l\u00e4sst. <\/p>\n","protected":false},"excerpt":{"rendered":" Laut Microsoft soll der Defender Credential Guard verhindern, dass Angreifer Anmeldeinformationen aus LSASS stehlen. Der Credential Guard wurde mit Windows 10 von Microsoft eingef\u00fchrt und steht dort in verschiedenen SKUs zur Verf\u00fcgung. Aber wie gut ist eigentlich der Schutz vor … Weiterlesen Was ist der Defender Credential Guard?<\/h2>\n
Sch\u00fctzt der Credential Guard vor Pass-the-Hash?<\/h2>\n
\n