Windows Server 2025 – Credential Guard bald standardmäßig aktiviert

Windows Server 2025 tritt die Nachfolge von Windows Server 2022 an und bringt zahlreiche neue Funktionen mit. Ab dieser Version können Nutzer ihre Mäuse, Tastaturen, Headsets, Audiogeräte und weitere Peripheriegeräte via Bluetooth verbinden. Bei der ersten Anmeldung präsentiert sich die Desktop-Shell in Anlehnung an das Design von Windows 11. Ein neues Highlight ist NVMe, ein Standard für schnelle SSD-Speicher. In Windows Server 2025 sorgt die NVMe-Optimierung für eine gesteigerte Leistung, was zu höheren IOPS-Werten und einer geringeren CPU-Belastung führt. Zudem ist Credential Guard ab dieser Edition standardmäßig auf allen geeigneten Geräten aktiv. Doch was ist der Credential Guard? In diesem Blogbeitrag schauen wir uns das Sicherheitsfeature etwas näher an.

Was ist der Credential Guard?

Microsoft Windows Credential Guard ist eine Sicherheitsfunktion in Microsoft Windows-Betriebssystemen, die darauf abzielt, Anmeldeinformationen wie Login-Daten vom übrigen System zu isolieren. Diese Isolierung hilft, häufige Angriffsmethoden wie Pass the Hash und Pass the Ticket zu unterbinden. Die Funktion wurde erstmals in Windows 10 Enterprise und Windows Server 2016 implementiert.

So ist die Funktionsweise

Credential Guard nutzt hardwaregestützte, virtualisierungsbasierte Sicherheit (VBS) und die Local Security Authority (LSA), um Anmeldedaten in geschützten Containern aufzubewahren. Diese Container sind isolierte Bereiche, die vom restlichen Betriebssystem abgekapselt sind, sodass die darin befindlichen Anmeldedaten nicht zugänglich sind.

Die LSA kommuniziert mittels Remote Procedure Calls (RPC) mit dem isolierten LSA-Prozess, der als Speicherort für Geheimnisse dient und diese schützt. Dieser Prozess validiert jedes Binärprogramm, bevor es innerhalb des geschützten Bereichs ausgeführt wird. Zudem werden notwendige Binärdateien im isolierten LSA-Prozess gehostet und sind mit einem Zertifikat signiert, dem das VBS-System vertraut. Dies garantiert, dass alle Signaturen überprüft werden, bevor eine Datei in der geschützten Umgebung gestartet wird, und schützt Anmeldedaten effektiv vor Diebstahl. Selbst bei einem Eindringen von Malware oder anderen schädlichen Angriffen in ein Unternehmensnetzwerk bleiben durch Credential Guard gesicherte Informationen geschützt.

Die Vorteile im Überblick

Ein wesentlicher Vorteil von Credential Guard ist seine starke Hardwaresicherheit, die durch Secure Boot und Virtualisierungstechniken realisiert wird. Diese Maßnahmen schützen Anmeldedaten und verhindern Diebstahlversuche. Alle kritischen Daten, darunter NTLM-Hashes und von Kerberos abgeleitete Anmeldedaten, werden in einer vom Betriebssystem isolierten, geschützten Umgebung ausgeführt. So ist der Zugriff darauf ausschließlich privilegierter Systemsoftware vorbehalten.

Zusätzlich bietet Credential Guard Schutz vor vielen Arten gezielter Angriffe und sichert Unternehmen gegen fortgeschrittene Techniken und Tools ab.

Credential Guard – kein umfassender Schutz vor Bedrohungen

Trotz der Stärken von Credential Guard sollten Unternehmen und Sicherheitsadministratoren nicht ausschließlich darauf vertrauen, um Anmeldedaten umfassend zu schützen. Credential Guard bietet keinen Schutz für Anmeldedaten, die von externen Softwareanwendungen verwaltet oder außerhalb des Windows-Funktionsschutzes gespeichert sind. Ebenso wenig schützt es Daten, die von lokalen Konten, Microsoft-Konten, durch Keylogger oder von Sicherheitspaketen Dritter erfasst werden. Zudem kann Credential Guard physische Angriffe und den Diebstahl von Anmeldeinformationen sowie den Schutz der Active-Directory-Datenbank auf Windows-Server-Domänencontrollern nicht abwehren.

Angesichts dieser Einschränkungen ist es entscheidend, dass Unternehmen eine mehrschichtige Sicherheitsstrategie verfolgen, in der Credential Guard lediglich eine Komponente darstellt. Diese umfassende Sicherheitsarchitektur sollte verschiedene Abwehrstrategien und robuste Authentifizierungsverfahren einschließen, darunter Windows Hello for Business, FIDO-2-Sicherheitsschlüssel und Smartcards. Nur so lässt sich ein effektiver Schutz gegen fortlaufende Bedrohungen und neue Angriffsmethoden gewährleisten.

Was bei einem umfassenden Sicherheitskonzept nicht vergessen werden darf: Eine aktuelle Antivirensoftware. Diese ist unerlässlich, um das System vor schädlichen Programmen und Malware zu schützen, die Anmeldeinformationen kompromittieren könnten. Ebenso wichtig ist das regelmäßige Einspielen von Sicherheitsupdates für Betriebssysteme und Softwareanwendungen, um bekannte Schwachstellen zu schließen. Nur durch kontinuierliche Überwachung und Anpassung der Sicherheitsmaßnahmen können Unternehmen sicherstellen, dass sie auf neue Bedrohungen vorbereitet sind.

Windows Server 2025 – was sich nun ändert

Bei Windows 11, 22H2 sowie Windows Server 2025 sind VBS (Virtualisierungsbasierte Sicherheit) und Credential Guard standardmäßig auf kompatiblen Geräten aktiviert. Diese Geräte müssen spezifische Hardware-, Firmware- und Softwareanforderungen erfüllen, um den Schutz durch Credential Guard zu gewährleisten. Wenn ein Gerät diese Mindeststandards nicht nur erfüllt, sondern übertrifft, bietet es zusätzlichen Schutz und ist besser gegen spezifische Bedrohungen abgesichert.

Die Standardaktivierung von Credential Guard erfolgt ohne UEFI-Sperre, was es Administratoren ermöglicht, die Funktion bei Bedarf auch aus der Ferne zu deaktivieren. Wenn Credential Guard eingeschaltet ist, wird auch VBS automatisch aktiviert. Credential Guard schützt Anmeldedaten auf virtuellen Hyper-V-Computern genauso wie auf physischen Computern. Es schirmt die Geheimnisse innerhalb des virtuellen Systems ab, bietet jedoch keinen Schutz gegen Angriffe durch privilegierte Systeme, die direkt vom Host ausgehen.