什么是Windows 10中的Credential Guard

Windows 10引入了几项新的安全功能。已添加的一项新安全功能称为Credential Guard，可帮助保护派生的域凭据。

Windows 10中的Credential Guard

Credential Guard是Windows 10中可用的主要安全功能之一。它允许防止黑客入侵的域凭据，从而防止黑客接管企业网络。除了Device Guard和Secure Boot之类的功能外，Windows 10比以前的任何Windows操作系统都更安全。

Windows 10中的凭据保护功能

正如其名称所示，Windows 10中的此功能可保护凭据在网络中的用户域中和用户域之间。虽然以前的Microsoft操作系统用于在本地RAM中存储用户帐户的标识和密码，但Credential Guard会创建一个 虚拟容器 并将所有域秘密存储在操作系统无法直接访问的虚拟容器中。您不需要外部虚拟化。该功能利用Hyper-V，您可以在控制面板的程序和功能小程序中对其进行配置。

当黑客早些入侵Windows操作系统时，他们可以访问用于加密用户凭证的散列，因为它将存储在本地RAM中，没有太多的保护。使用凭证管理器，凭证存储在虚拟容器中，即使黑客入侵系统，也无法访问散列。这样，他们就无法穿透网络上的计算机。

简而言之，Windows 10 中的Credential Guard功能可提高域凭证和相关哈希值 的安全性，因此黑客几乎不可能访问秘密并将其应用于其他计算机。因此任何攻击的可能性只在入口处停止。我不会说Credential Guard是牢不可破的，但它肯定会提高安全等级，以便您的计算机和网络安全无虞。对于Windows以前版本中的Credential Guard，Windows 10中的一个不允许使用多种协议可能会让黑客到达存储哈希凭证的虚拟容器。但是，该功能并非适用于所有计算机。

阅读

：远程凭据保护可保护远程桌面凭据。凭证保护系统要求

存在一些限制 - 特别是在使用预算便携式计算机时。即使本书运行的是Windows 10 Enterprise，也不支持

可信平台模块（TPM） 的Ultrabooks无法运行Credential Guard。 Credential Guard仅在Windows 10企业版中运行。如果您正在使用Pro或教育，您将无法使用此功能。

您的计算机应

支持安全引导和64位虚拟化 。这使得所有32位计算机都不在此功能范围内。 这并不意味着您必须同时升级所有计算机。在创建子域并将不兼容的计算机放入子域后，您可以使用符合要求的任何计算机。当您使用Credential Guard配置上层域，并且不兼容的计算机位于较低的子域中时，安全性仍然足以抵制凭证黑客攻击尝试。

凭证保护的限制

尽管凭证存在一些硬件要求在Windows 10企业版中保护，并非所有内容都应该受到该功能的保护。您不应该期望从Credential Guard获得以下内容：

本地和Microsoft帐户的保护

1. 由第三方软件管理的凭据保护
2. 对密钥记录器的保护
3. Credential Guard将提供针对直接黑客攻击的保护尝试和恶意软件寻求证书信息。如果证书信息在您实施Credential Guard之前已经被盗用，它不会阻止黑客在同一域中的其他计算机上使用哈希键。

有关Windows 10的Credential Guard功能的其他信息和脚本，请访问TechNet。

明天我们将看到如何使用组策略打开Credential Guard