PCs auf Eignung für Device Guard und Credential Guard prüfen

    Device Guard und Credential GuardWindows 10 und Server 2016 enthalten neue Sicherheits­funktionen, die isolierte Umgebungen auf Basis des Hypervisors nutzen (Virtualization Based Security). Es handelt sich dabei um Application Guard, Device Guard und Credential Guard. Für die beiden letzten bietet Microsoft ein Tool, um die System­voraus­setzungen zu prüfen.

    Credential Guard isoliert NTLM Password Hashes, Kerberos Ticket Granting Tickets und Anmelde­informationen, die von Anwendungen als Domain Credentials gespeichert wurden. Der Hypervisor verhindert den Zugriff darauf auch für Malware, die im Kontext eines privilegierten Kontos läuft. Device Guard wiederum unterbindet die Ausführung von nicht vertrauens­würdigem Code.

    Hohe Systemvoraussetzungen

    Beide Features stellen erhebliche Anforderungen an die Hardware, beginnend mit den Virtualisierungs­erweiterungen Intel VT und AMD-V. Außerdem setzen sie Secure Boot und somit einen UEFI-Rechner voraus. Und schließlich benötigen sie am Client Windows 10 Enterprise bzw. Education in einer 64-Bit-Ausführung.

    Weitere Komponenten sind für Anwender optional, für OEMs hingegen verpflichtend, wenn sie ihre Systeme als kompatibel mit diesen beiden Features bewerben wollen. Dazu zählen ein TPM oder NX Protection.

    Script für deutsches Windows anpassen

    Nachdem die manuelle Prüfung all dieser Anforderungen ziemlich aufwändig wäre, stellt Microsoft für diesen Zweck ein PowerShell-basiertes Tool zur Verfügung. Dieses erfüllt seine Aufgabe in zwei Schritten, zwischen denen es einen Neustart des Rechners erfordert.

    Das Readiness Tool zeigt, ob alle Bedingungen für Device bzw. Credential Guard erfüllt sind.

    Der Aufruf erfolgt in der Form

    .\DG_Readiness.ps1 -Capable

    Das Tool untersucht dabei über WMI auch die OS-Architektur, also ob es sich um ein 32- oder 64-Bit-Betriebs­system handelt. Auf einem deutschen Windows schlägt dies jedoch fehl, weil WMI hier "Bit" mit einem Großbuch­staben ausgibt, die Abfrage aber nur "bit" erwartet. Will man hier eine Fehler­meldung vermeiden, dann muss man das Script ab Zeile 701 anpassen.

    Anpassen des Scripts für ein deutsches Windows

    Device / Credential Guard aktivieren

    Erfüllt ein Rechner alle Voraussetzungen, dann enthält der Report nur Einträge in grüner oder gelber Schrift. In diesem Fall kann man das Tool auch gleich verwenden, um Device Guard und Credential Guard zu aktivieren. Über die optionalen Features in der Systemsteuerung oder der App Einstellungen ist dies nicht möglich. Der Befehl dafür lautet

    .\DG_Readiness.ps1 -Enable -CG

    für Credential Guard und

    .\DG_Readiness.ps1 -Enable -DG

    für Device Guard. Nach der Installation kann man schließlich noch prüfen, ob die Sicherheits­funktionen tatsächlich laufen. Dazu ruft man das Script mit dem Parameter Ready auf.

    Verfügbarkeit

    Das Device Guard and Credential Guard Hardware Readiness Tool kann von Microsofts Website heruntergeladen werden. Es benötigt mindestens Windows 10 1703. Unter Umständen muss man die Execution Policy auf Unrestricted stellen, wenn PowerShell das Script nicht ausführen möchte. 

    1 Kommentar

    Bild von Christian Schroeder
    Christian Schroeder sagt:
    29. November 2017 - 9:02

    Hi,

    für eine Enterprise Umgebung sollte noch erwähnt werden das Credential Guard nur Kerberos Constrained Delegation unterstützt. Bevor man dieses Feature flächenmäßig aktiviert, sollte man prüfen ob Kerberos Unconstrained Delegation verwendet wird, ansonsten werden manche Zugriffe auf Applikationen und Dienst nicht mehr funktionieren.