Windows Defender Credential Guard

Credential Guard ist eine Sicherheitsfunktion in Windows, die den LSASS-Prozess (Local Security Authority Subsystem Service) gegen Credential-Dumping absichert. Anstatt NTLM-Hashes und Kerberos-Tickets im regulären Betriebssystemspeicher abzulegen, isoliert Credential Guard diese Geheimnisse in einem durch Virtualization-Based Security (VBS) geschützten Bereich. Selbst ein Angreifer mit lokalen Administratorrechten kann die isolierten Credentials nicht auslesen — das wichtigste Werkzeug gegen Pass-the-Hash-Angriffe auf Endpunktebene.

Funktionsweise: VBS und LSAIso

Credential Guard nutzt den Windows-Hypervisor, um einen isolierten Speicherbereich (Virtual Secure Mode) zu erstellen, der vom regulären Betriebssystem getrennt ist. In diesem Bereich läuft der Prozess LSAIso.exe (LSA Isolated), der die eigentliche Kryptografie für die Authentifizierung übernimmt. Der normale lsass.exe-Prozess kommuniziert über definierte Schnittstellen mit LSAIso.exe, hat aber keinen direkten Zugriff auf die Schlüssel und Hashes. Tools wie Mimikatz, die den LSASS-Speicher auslesen, finden dort nur noch Verweise auf die isolierte Umgebung — nicht die eigentlichen Credentials.

Voraussetzungen

Credential Guard erfordert UEFI Secure Boot, Hardware-Virtualisierungsunterstützung (der Windows-Hypervisor muss aktiv sein, nicht zwingend die vollständige Hyper-V-Rolle) sowie eine Windows Enterprise- oder Education-Edition. Ein TPM 2.0 wird empfohlen, ist aber keine zwingende Voraussetzung. Seit Windows 11 22H2 ist Credential Guard auf Geräten mit Enterprise- oder Education-Edition standardmäßig aktiviert, sofern die Hardwarevoraussetzungen erfüllt sind. Bei älteren Versionen muss die Funktion über Gruppenrichtlinien oder Registry manuell aktiviert werden.

Die Aktivierung lässt sich über msinfo32 unter „Virtualisierungsbasierte Sicherheit" prüfen. Dort zeigt Windows an, ob VBS aktiv ist und welche Dienste — darunter Credential Guard — im isolierten Modus laufen.

Was Credential Guard nicht abdeckt

Credential Guard schützt den LSASS-Speicher, aber nicht alle Angriffsvektoren auf Zugangsdaten. Keylogger erfassen Passwörter bei der Eingabe, bevor sie in LSASS gelangen. Credentials von Service Accounts, die in Skripten oder Scheduled Tasks hinterlegt sind, liegen außerhalb des Schutzbereichs. Anwendungen, die auf NTLMv1 oder ältere Kerberos-DES-Verschlüsselung angewiesen sind, funktionieren mit aktiviertem Credential Guard nicht mehr — was in Legacy-Umgebungen zu Kompatibilitätsproblemen führen kann.

Credential Guard im Zusammenspiel mit anderen Maßnahmen

Credential Guard entfaltet seine volle Wirkung als Teil einer Defense-in-Depth-Strategie. Das Tiering-Modell stellt sicher, dass privilegierte Credentials gar nicht erst auf Endgeräten landen. LAPS verhindert die laterale Bewegung über identische lokale Admin-Passwörter. Privileged Access Workstations (PAWs) härten die Geräte, von denen aus Tier-0-Systeme wie Active Directory verwaltet werden. Credential Guard ergänzt diese Maßnahmen, indem es die Credentials auf dem Endpunkt selbst vor Extraktion schützt — selbst wenn ein Angreifer lokale Administratorrechte erlangt hat.

Relevanz für KMUs

Credential Guard gehört zu den wirkungsvollsten Härtungsmaßnahmen mit geringem Implementierungsaufwand. Die Aktivierung erfordert lediglich die passende Windows-Edition und kompatible Hardware — beides ist auf modernen Geschäftsgeräten in der Regel gegeben. In der Praxis fehlt Credential Guard dennoch in vielen mittelständischen Umgebungen, weil die Funktion vor Windows 11 22H2 nicht automatisch aktiv war und bei der Ersteinrichtung selten explizit konfiguriert wird. Wer Windows Enterprise einsetzt, sollte den Status über msinfo32 oder die Gruppenrichtlinienverwaltung prüfen und die Funktion bei Bedarf aktivieren.