修复Windows Defender证书保护问题

通过Jerrad Dahlager 小时

在这篇文章中,我将向您展示如何修复Windows Defender Credential Guard问题。如果你正在处理你电脑上的Windows Defender的凭据保护问题,这篇文章列出了解决方案。

Windows Defender Credential Guard是微软于年首次推出的Windows 10企业版而且Windows Server 2016.这是一个有用的功能,仅适用于Windows操作系统。

Windows Defender Credential Guard隔离秘密,以便只有特权系统软件可以访问用户凭据。华体会体育系列这样做将保护NTLM密码散列和Kerberos Ticket Granting Ticket和凭据,这些凭据由具有域凭据的应用程序存储。

PatchMyPC HorizontalAD
修补我的电脑赞助广告

用户由LSA (Local Security Authority)进行验证。一旦Credential Guard激活,Windows将在一个隔离的LSA中存储凭据,仅包含签名和认证的安全可信二进制文件以保证凭据的安全。

这里有一篇来自微软的好文章如何管理Windows Defender证书保护

启用此功能时,MS-CHAPv2身份验证会中断

如果启用Windows Defender凭据保护,则不能再使用NTLM经典的单点登录身份验证。

然后,您将被迫输入您的凭据来使用这些协议,并且您将无法保存它们以供将来使用。

基于MS-CHAPv2的Wi-Fi和VPN端点受到与NTLMv1类似的攻击。微软建议组织从基于MS-CHAPv2的连接(如PEAP-MSCHAPv2和EAP-MSCHAPv2)转向基于证书的身份验证(如PEAP-TLS或EAP-TLS)。

使用Windows Defender Credential Guard时的建议(Windows) - Windows安全|微软文档

修复Windows Defender证书保护问题

让我们来看看您在使用Windows Defender Credential Guard时遇到的一些常见问题以及每个问题的解决方案。

您可能遇到的Windows事件错误:

问题1:有线802.1X认证失败

原因文本:网络身份验证失败\n提供的凭证可能不正确。

问题2:错误码:0x2B3

网络接口这里的网络接口名称已经开始重置。在硬件重置时,网络连接将会有短暂的中断。原因:网络驱动程序要求重置。此网络接口自上次初始化以来已重置5次。

可以用来帮助实时查看此错误的工具:

使用这些工具,您可以获得问题的网络跟踪和包捕获并查看故障。您仍然可以看到我的测试中的错误,即使您“抑制重复失败的客户端在思科ISE。

修复Windows Defender证书保护问题
修复Windows Defender证书保护问题

下面是使用Windows Defender Credential Guard时的一些注意事项。如果您考虑使用Windows Defender Credential Guard,我强烈建议您阅读下面的微软文章。

使用Windows Defender Credential Guard时的建议(Windows) - Windows安全|微软文档

Kerberos注意事项

如果启用Windows Defender Credential Guard,就不能再使用Kerberos无约束委托或DES加密。攻击者可以使用Unconstrained delegation从隔离的LSA进程中提取Kerberos密钥。建议改用受约束的或基于资源的Kerberos委托。

第三方安全支持提供商注意事项

微软提到,一些第三方安全支持提供商可能与Windows Defender Credential Guard不兼容,因为它不允许第三方安全支持提供商从LSA中要求密码哈希值。

此外,不支持自定义ssp和ap中未记录的api。因此,如果您确实使用ssp的自定义实现,建议在实现Windows Defender Credential Guard之前进行彻底的测试,以确保它们能够协同工作。

Windows Defender证书保护限制

下面的链接将解释使用Windows Defender Credential Guard存储Windows凭证的某些方式是如何不受保护的。在完全实现这一点之前,了解这一点非常重要,以确保Windows Defender Credential Guard满足您的环境需求。

Windows Defender Credential Guard保护限制(Windows) - Windows安全|微软文档

#4保存的Windows凭据保护

微软表示,从Windows 10开始,存储在凭据管理器中的版本1511域凭据受到Windows Defender凭据保护。

但是,通用凭证,即用户名和密码,您使用登录网站将不受保护,因为应用程序需要您的明文密码。

如果应用程序不需要密码的副本,它可以将域凭据保存为受保护的Windows凭据。

微软声明了以下关于Windows Defender凭据管理器的凭据保护的考虑因素:

  • 保存的Windows凭据远程桌面客户端无法发送到远程主机。尝试使用保存的Windows凭据失败,显示错误消息"登录失败”。
  • 提取Windows凭证的应用程序失败。
  • 当从启用了Windows Defender凭据保护的PC备份凭据时,无法恢复Windows凭据。如果你需要备份你的凭证,你必须在启用Windows Defender凭证保护之前这样做。否则,您将无法恢复这些凭据。

Windows Defender Credential Guard通过保护NTLM密码散列、Kerberos Ticket Granting Ticket和应用程序存储为域凭据的凭据,提供了许多好处。此外,您将获得更好的硬件安全性、基于虚拟化的安全性和针对高级持久威胁的保护。

《阿凡达》的照片

Jerrad Dahlager于2015年毕业于达科塔州立大学。他获得了网络和系统管理学士学位。他是一位非常成功的IT专业人士,在MECM、Intune、Azure、Office 365和许多其他微软技术方面拥有强大的背景。Dahlager目前是Xtivia的Azure工程师,也是路易斯维尔大学NSA网络安全路径联盟的兼职讲师。他已经在IT领域工作了7年多。

留下回复

你的电邮地址将不会公布。必填字段已标记