Windows Defender Credential Guard mit Windows 11 Pro nutzen – oder abschalten

Hin und wieder hat Microsoft eine spezielle Art, ein Feature zu erklären: Man gebe es einfach einer Reihe von Usern, baue keinen komfortablen Weg ein, um es bei Bedarf abzuschalten, und verstecke am besten auch noch die Dokumentation dazu. So in etwa verhält es sich beim „Windows Defender Credential Guard“, der seit einiger Zeit auch auf Windows 11 in der Pro-Edition laufen kann.

Beim Credential Guard handelt es sich um eine praktische Anwendung dessen, was Microsoft meist als „virtualisierungsbasierte Sicherheit“ (Virtualization Based Security, VBS) oder auch als „hypervisorgeschützte Codeintegrität“ bezeichnet (Hypervisor-Protected Code Integrity, HVCI). Er hat die Aufgabe, Windows-Anmeldedaten vor unberechtigtem Zugriff zu schützen, die im RAM des lokalen Authentifizierungsdienst-Prozesses lsass.exe liegen (LSASS steht für Local Security Authority Subsystem Service). Kurz gesagt: Ist der Credential Guard aktiv, läuft in einer abgeschotteten virtuellen Maschine (VM) ein zusätzlicher Prozess lsaiso.exe, in dessen RAM Kerberos-, NTLM- und Single-Sign-on-Anmeldedaten liegen. Dieser Prozess kommuniziert nur mit dem regulären lsass.exe des Hosts und bleibt für den Rest des Systems unerreichbar.