Credential Guard est une fonctionnalité de Windows qui sécurise les identifiants de connexion que vous utilisez lorsque vous vous connectez à Windows dans des environnements d’entreprise. Ce guide explique ce qu’est Windows Credential Guard, ce qu’il faut faire pour l’utiliser et comment vérifier si Credential Guard est activé ou désactivé.
Présentation
L’objectif principal de Credential Guard est d’empêcher le vol des identifiants utilisés pour se connecter aux domaines Windows et à d’autres services en les isolant du reste du système. Il s’agit notamment des identifiants de domaine, des hachages NT LAN Manager (NTLM) et des tickets Kerberos, ainsi que des jetons générés pour l’authentification à deux facteurs qui en découlent. Il protège également les identifiants Windows mis en cache.
Credential Guard ne sécurise pas d’autres identifiants (comme ceux des applications tierces) : il est uniquement destiné à sécuriser les méthodes d’authentification utilisées par Windows.
Credential Guard n’est pris en charge que sur les éditions Entreprise et Education de Windows 11 et Windows 10. Il n’est pas pris en charge par Windows 11 et Windows 10 Home ou Pro, donc si vous êtes un utilisateur domestique, il est peu probable que vous y ayez accès (ou que vous en ayez besoin). Credential Guard nécessite la prise en charge matérielle de la sécurité basée sur la virtualisation (VBS) et l’activation de Secure Boot.
À partir de Windows 11 version 22H2, si votre système répond aux exigences ci-dessus, Credential Guard sera activé par défaut.
Pourquoi est-il important de vérifier le statut de Credential Guard ?
Credential Guard protège contre les attaques de type “pass-the-hash” et “pass the ticket” qui utilisent des identifiants volés sur des machines Windows pour se faire passer pour des utilisateurs et obtenir un accès supplémentaire aux réseaux Windows de l’entreprise et aux données sensibles qu’ils contiennent.
Dans le domaine de l’informatique d’entreprise, il est essentiel d’utiliser toutes les technologies de sécurité disponibles pour protéger l’infrastructure, les données et les utilisateurs. De plus, l’exploitation de toutes les mesures de sécurité raisonnables est souvent une exigence de conformité avec la RGPD, CCPA, HIPAA et d’autres cadres juridiques émergents en matière de confidentialité des données.
Si Credential Guard est disponible et pris en charge sur les systèmes Windows dont vous êtes responsable, il n’y a aucune raison de le désactiver.
Fonctionnement
Credential Guard utilise une combinaison de sécurité matérielle et de sécurité basée sur la virtualisation (VBS). Les fonctions matérielles, y compris le démarrage sécurisé et les Trusted Platform Module (TPM), empêchent la falsification des mécanismes de protection de la virtualisation. VBS isole les identifiants dans des environnements virtualisés, séparément de Windows, afin qu’elles ne puissent pas être lues par des logiciels malveillants ou des pirates informatiques.
Même si un système sur lequel Credential Guard est activé est compromis (même par un malware s’exécutant avec des privilèges administratifs), seuls les processus autorisés peuvent interagir avec les identifiants Windows protégés.
Comment vérifier si Credential Guard est activé ou désactivé ?
Vous pouvez utiliser l’une des méthodes suivantes pour vérifier l’état de Windows Credential Guard sur un seul PC.
Méthode 1 : Via les informations système
- Faites un clic droit sur le bouton Démarrer et sélectionnez Exécuter
- Saisissez msinfo32 dans la boîte de dialogue Exécuter et cliquez sur OK
- Cliquez sur Résumé système dans le panneau de navigation gauche
- Dans le panneau droit, descendez jusqu’à Services en cours d’exécution pour la sécurité basés sur la virtualisation
- Credential Guard sera listé dans le champ Valeur pour Services en cours d’exécution pour la sécurité basés sur la virtualisation s’il est activé
Si Windows Credential Guard est désactivé ou n’est pas disponible sur votre système, il n’apparaîtra pas.
Méthode 2 : Via l’éditeur de stratégie de groupe
Vous pouvez également utiliser l’éditeur de stratégie de groupe pour vérifier l’état d’application de Windows Credential Guard :
- Faites un clic droit sur le bouton Démarrer et sélectionnez Exécuter
- Saisissez gpedit.msc et cliquez sur OK pour ouvrir l’éditeur de stratégie de groupe
- Ouvrez Configuration de l’ordinateur/Modèles d’administration/Système/Device Guard
- Localisez la stratégie Activer la sécurité basée sur la virtualisation et ouvrez-la
- Si la stratégie est activée, vous pouvez vérifier les options pour voir si elle est appliquée par l’UEFI (ce qui l’empêche d’être désactivée) ou non
Si la stratégie est définie sur Non configurée, Credential Guard n’est pas appliqué par la stratégie de groupe (mais peut toujours être activé par défaut)
Méthode 3 : Via l’observateur d’événements Windows
L’observateur d’événements Windows peut être utilisé pour consulter les informations enregistrées par Credential Guard.
- Recherchez et ouvrez Observateur d’événement à partir du menu Démarrer
- Localisez les journaux de Windows Credential Guard dans Journaux des applications et services > Microsoft > Windows > DeviceGuard
- Ouvrez l’entrée de journal Opérational
Vous pouvez ensuite vérifier que Credential Guard fonctionne en inspectant les entrées du journal. Si aucun journal n’est présent, il se peut que Device Guard ne soit pas pris en charge ou activé sur votre système.
Méthode 4 : Via les commandes PowerShell
La cmdlet PowerShell Get-CimInstance peut être utilisée pour vérifier si Credential Guard est activé ou désactivé en suivant les étapes suivantes :
- Ouvrez PowerShell en tant qu’administrateur
- Exécutez la commande PowerShell suivante
[bool](Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning.Contains(2)
- Si cette commande renvoie True, Credential Guard est actif
Que dois-je faire si Credential Guard n’est pas pris en charge par mon appareil ?
Si un appareil dont vous êtes responsable ne répond pas aux exigences de Credential Guard, vous pouvez vérifier si les fonctions matérielles requises sont désactivées en contrôlant votre BIOS/UEFI. Vous pouvez ensuite activer le démarrage sécurisé, le démarrage UEFI et le TPM s’ils sont présents. Dans certains cas, il est possible d’acheter un module TPM physique qui peut être installé dans des systèmes compatibles s’il n’est pas inclus.
Credential Guard n’est pris en charge que dans les éditions Entreprise et Education de Windows 11 et Windows 10, et la protection qu’il offre est spécifique aux environnements d’entreprise. Si vous n’êtes pas chargé de maintenir un tel environnement, vous n’avez probablement pas besoin de vous préoccuper de l’état de Credential Guard de votre PC.
Comment activer Credential Guard s’il est désactivé ?
Credential Guard sera automatiquement activé sur les systèmes compatibles utilisant la dernière version de Windows 11. Si vous souhaitez l’appliquer, vous pouvez activer la stratégie de groupe indiquée ci-dessus.
Gérer la sécurité des appareils Windows à grande échelle
Bien que la stratégie de groupe puisse être utilisée pour implémenter Credential Guard sur tous les appareils dans un environnement d’entreprise, il est toujours important de vérifier que tous les appareils le prennent en charge et qu’il est actif. Le faire manuellement prendrait du temps et pourrait laisser des failles de sécurité en cas de modification de la configuration matérielle d’un appareil. Cela signifie qu’une surveillance et une gestion automatisées et continues sont indispensables pour garantir la sécurité des informations d’identification Windows dans les domaines Windows, en particulier lorsque les employés utilisent leurs propres appareils.
