Zusammenfassung mit KI erstellen

Die Verwaltung eines Netzwerks aus Laptops und Desktops bringt eigene IT-Probleme mit sich. Einige Geräte verfügen möglicherweise über die richtigen Sicherheitseinstellungen, während bei anderen wichtige Schutzmaßnahmen wie Credential Guard fehlen oder veraltete Patch Management-Stände (in Form von Firmware-Updates) vorliegen, die das korrekte Funktionieren dieser Schutzmaßnahmen verhindern. Diese Inkonsistenzen erzeugen Sicherheitslücken, verlangsamen die tägliche Verwaltung und machen es schwieriger, Systeme durchgehend zu sichern. In diesem Leitfaden führen wir Sie durch die Überprüfung des Status von Credential Guard auf Ihren Geräten, verifizieren essenzielle Hardware-Einstellungen wie TPM 2.0 und UEFI und stellen sicher, dass Ihre Systeme einheitlich konfiguriert sind, um Fehler zu vermeiden.
Credential Guard Anforderungen und Abhängigkeiten
Credential Guard nutzt virtualisierungsbasierte Sicherheit (VBS), um Geheimnisse so zu isolieren, dass nur privilegierte Systemsoftware auf sie zugreifen kann. Dieser Schutz ist entscheidend, um Lateral-Movement-Angriffe zu stoppen, die auf im Systemlaufzeit-Speicher abgelegte Anmeldedaten abzielen. Damit der Dienst zuverlässig funktioniert, muss die zugrunde liegende Hardware spezifische Sicherheitsfunktionen unterstützen; fehlen diese, wird Credential Guard nicht gestartet, selbst wenn Ihre Richtlinien ihn als aktiviert anzeigen. Die wesentlichen Voraussetzungen umfassen:
- 64-Bit-CPU-Architektur: Das System muss auf einem 64-Bit-Prozessor mit Virtualisierungserweiterungen wie Intel VT-x oder AMD-V laufen.
- SLAT-Unterstützung: Second Level Address Translation ist erforderlich, um den Speicher effizient zwischen der Hardware und dem Hypervisor zu verwalten.
- UEFI und Secure Boot: Die Firmware muss UEFI-basiert sein und Secure Boot muss aktiv sein, um sicherzustellen, dass der Bootvorgang unmanipuliert bleibt.
- TPM 2.0: Ein Trusted Platform Module Version 2.0 bietet einen hardwaregestützten Vertrauensanker (Root of Trust) für die Virtualisierungsebene.
- Hyper-V und VBS: Windows muss in der Lage sein, Hyper-V auszuführen, um die virtualisierungsbasierte Sicherheit zu aktivieren und die lokale Sicherheitsinstanz (LSA) zu isolieren.
Standardmäßige Aktivierung auf modernen Windows-Systemen
Microsoft ist bei neueren Windows-Versionen zu einer „Secure by Default“-Haltung übergegangen. Ob die Funktion jedoch direkt nach dem Auspacken aktiv ist, hängt stark von der Hardwarequelle und der Windows-Edition ab.
- Secured-Core-PCs: Credential Guard ist in der Regel standardmäßig auf Enterprise-Laptops von OEMs wie Dell oder HP aktiviert, die die Secured-Core-Standards erfüllen.
- Windows 11 Enterprise: Moderne Enterprise-Installationen auf kompatibler Hardware haben diese Funktion oft voraktiviert, um den Sicherheits-Baselines zu entsprechen.
- Standard Pro-Editionen: Neuinstallationen auf Standard-Windows-Pro-Hardware lassen die Funktion normalerweise standardmäßig deaktiviert, selbst wenn die Hardware dazu in der Lage wäre.
Zusätzlich können Bereitstellungstools für Unternehmen wie Microsoft Intune oder Autopilot Credential Guard automatisch während des Setups aktivieren und so sicherstellen, dass er auf verwalteten Geräten von Anfang an aktiv ist.
»Verpassen Sie nicht die besten Optionen für Hardware-Monitoring-Software
Sicherheitsvorteile von Credential Guard
Das Hauptziel von Credential Guard ist es zu verhindern, dass Angreifer wiederverwendbare Anmeldedaten aus dem Speicher extrahieren. Dies bietet zwar hohen Schutz, kann aber gelegentlich bei älterer Software oder spezifischen Workflows zu Problemen führen.
- Blockiert den Diebstahl von Anmeldedaten: Es stoppt effektiv Pass-the-Hash- und Pass-the-Ticket-Angriffe. Durch die Isolierung von Kerberos- und NTLM-Geheimnissen wird sichergestellt, dass ein Angreifer, selbst wenn er einen Speicherabzug (Memory Dump) stiehlt, keine verwertbaren Hashes findet, die zur Identitätsnachahmung von Benutzern benötigt werden.
- Hardware-basierte OS-Isolierung: Es verschiebt sensible Daten in einen virtualisierten „Container“, der vollständig vom Hauptkernel von Windows getrennt ist. Selbst wenn ein Angreifer volle Administrator- oder SYSTEM-Rechte erlangt, ist er physisch daran gehindert, den isolierten Speicher zu erreichen.
- Eindämmung von Lateral Movement: Durch den Schutz von hochprivilegierten Anmeldedaten auf Workstations und Jump-Servern wird verhindert, dass eine einzelne kompromittierte Maschine zum Gateway für den gesamten Domänencontroller wird.
Was vor der Überprüfung von Credential Guard in Windows zu tun ist
Bevor Sie den Status von Credential Guard prüfen, müssen Sie zuerst den Systemkontext validieren. Konfigurations-Flags allein können irreführend sein; zum Beispiel könnte eine Gruppenrichtlinie auf „Aktiviert“ gesetzt sein, aber wenn die zugrunde liegende Plattform dies zur Laufzeit nicht erzwingen kann, bleibt Ihr System ungeschützt. Sie müssen sicherstellen, dass Hardware und Firmware korrekt aufeinander abgestimmt sind, um die Isolierungsebene zu unterstützen.
Folgen Sie diesen Schritten:
1. Firmware-Modus prüfen: Drücken Sie Windows-Taste + R, fügen Sie msinfo32 ein und drücken Sie Enter.

2. Suchen Sie in den Systeminformationen nach BIOS-Modus.
- Wenn dort UEFI steht: Alles bestens.
- Wenn dort Vorgängerversion (Legacy) steht: Credential Guard funktioniert erst, wenn das System konvertiert wurde.

3. Suchen Sie im selben Fenster nach: Sicherer Startzustand (Secure Boot State).
- Wenn dort Ein steht: Alles bestens.
- Wenn dort Aus steht: Es muss im BIOS aktiviert werden.
- Wenn dort Nicht unterstützt steht: Der Laptop unterstützt es nicht.

4. Virtualisierungsunterstützung prüfen: Drücken Sie Strg + Umschalt + Esc, um den Task-Manager zu öffnen.
5. Gehen Sie zum Tab Leistung und klicken Sie auf CPU.

6. Suchen Sie unten nach Virtualisierung.
- Wenn dort Aktiviert steht: Alles bestens.
- Wenn dort Deaktiviert steht: Sie müssen sie im BIOS einschalten.

So rufen Sie BIOS/UEFI auf, um erforderliche Funktionen zu aktivieren
Wenn Ihr System die Voraussetzungen nicht erfüllt, müssen Sie die BIOS/UEFI-Einstellungen anpassen, um den UEFI-Modus, Secure Boot oder die Virtualisierung zu aktivieren.
WARNUNG: Das Ändern von BIOS/UEFI-Einstellungen kann Auswirkungen darauf haben, wie Ihr Computer startet und läuft. Falsche Änderungen können den Start von Windows verhindern, Hardwarefunktionen deaktivieren oder Systeminstabilität verursachen. Passen Sie nur die hier beschriebenen Einstellungen an.
BIOS/UEFI aufrufen
1. Fahren Sie Ihren PC vollständig herunter.
2. Schalten Sie ihn ein und beginnen Sie sofort damit, die BIOS-Taste wiederholt zu drücken. Gängige Tasten sind:
- 3. F2 (Dell, ASUS, Acer)
- 4. Entf (Del) (die meisten selbst gebauten PCs)
- 5. Esc (HP)
- 6. F10 (einige HP und Lenovo)
Wenn Sie die richtige Taste zum richtigen Zeitpunkt gedrückt haben, erscheint der BIOS-Bildschirm. Er ist meist schwarz oder dunkelgrau mit Menüs für Boot, Security, Virtualization usw. Unten sehen Sie ein Beispiel für das Aussehen des Bildschirms.

Beachten Sie: Wenn stattdessen Windows geladen wird, starten Sie neu und versuchen Sie es erneut, indem Sie die Taste früher drücken.
Secure Boot aktivieren
1. Suchen Sie nach einem Tab oder Menü namens Security, Boot oder Authentication (abhängig vom Hersteller) und finden Sie Secure Boot.
- Wenn dort Enabled/On steht: Keine Änderungen nötig.
- Wenn dort Disabled/Off steht: Wählen Sie es aus und ändern Sie es auf Enabled.

2. Speichern Sie die Änderungen (meist F10) und beenden Sie das Menü.
Virtualisierung aktivieren
1. Suchen Sie nach einem Menü namens Advanced, CPU Configuration oder System Configuration.
2. Finden Sie Intel VT-x, Intel Virtualization Technology oder AMD-V (Name hängt von der CPU ab).
- Wenn dort Enabled/On steht: Keine Änderungen nötig.
- Wenn dort Disabled/Off steht: Wählen Sie es aus und ändern Sie es auf Enabled.

3. Speichern Sie die Änderungen und beenden Sie das Menü.
»Finden Sie heraus, wie Sie das BIOS auf Ihrem PC aktualisieren
So verifizieren Sie den Credential Guard Laufzeit-Status
Sobald die Voraussetzungen erfüllt sind, helfen die folgenden Methoden zu bestätigen, ob Credential Guard aktiv auf dem System läuft und nicht nur per Richtlinie oder Einstellung konfiguriert wurde.
Methode 1: Systeminformationen
Diese Methode ist für lokale Administratoren oder Benutzer, die eine schnelle, visuelle Bestätigung benötigen, ob der Schutz auf einer einzelnen Maschine aktiv läuft. Am besten geeignet für einen kurzen Check, wenn Sie direkt am Gerät sitzen.
Folgen Sie diesen Schritten:
1. Drücken Sie Windows + R auf Ihrer Tastatur, geben Sie msinfo32 ein und drücken Sie Enter.

2. Die Systemzusammenfassung öffnet sich. Scrollen Sie im rechten Bereich ganz nach unten und suchen Sie die Zeile Virtualisierungsbasierte Sicherheit. Dort muss „Wird ausgeführt“ stehen.

Beachten Sie: Wenn VBS läuft und Credential Guard unter „Ausgeführte Sicherheitsdienste“ erscheint, ist der Schutz aktiv. Microsoft bestätigt, dass diese msinfo32-Felder die Erzwingung zur Laufzeit widerspiegeln, nicht nur die Konfiguration.
Methode 2: PowerShell
PowerShell ist für IT-Experten und Systemadministratoren gedacht, die mehrere Maschinen auditieren müssen oder eine definitive Antwort vom Systemkernel benötigen. Es ist zuverlässiger als GUI-Tools, da es den Laufzeit-Status direkt abfragt.
Folgen Sie diesen Schritten:
1. Suchen Sie „PowerShell“ in Ihrer Suchleiste und klicken Sie auf „Als Administrator ausführen“.

2. Fügen Sie den folgenden Befehl ein und drücken Sie Enter: (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Ergebnis interpretieren:
- Wenn die Ausgabe eine 1 enthält, ist Credential Guard aktiv in Betrieb.
- Wenn die Ausgabe 0 oder leer ist, ist Credential Guard deaktiviert oder konnte nicht gestartet werden.
3. Um die vollständige Konfiguration und Laufzeit-Details zu sehen, führen Sie aus:
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Dies zeigt alle Device Guard- und Credential Guard-Eigenschaften des Systems an..

Wussten Sie schon? Für IT-Teams, die mehrere Endpunkte verwalten, kann das manuelle Ausführen von PowerShell auf jedem Gerät zeitaufwendig und ineffizient sein. Die Remote Monitoring und Management-Plattform von Atera ermöglicht es Ihnen, PowerShell-Skripte remote über alle Systeme von einer einzigen Konsole aus auszuführen. Die Ergebnisse werden zentral gesammelt und geben Ihnen einen klaren Überblick darüber, welche Geräte aktiven Schutz haben und welche Aufmerksamkeit benötigen.
Methode 3: Gruppenrichtlinien
Gruppenrichtlinien sind der beste Weg, um die beabsichtigte Konfiguration für domänengebundene Systeme zu bestimmen. Sie ermöglichen es Administratoren zu sehen, ob Credential Guard durch die Unternehmensrichtlinie erzwungen wird, obwohl dies nicht immer garantiert, dass die Hardware ihn auch tatsächlich ausführt. Folgen Sie diesen Schritten:
1. Drücken Sie Windows + R, geben Sie gpedit.msc (für lokal) oder gpmc.msc (für Domäne) ein und drücken Sie Enter.
2. Navigieren Sie zu: Computerkonfiguration > Administrative Vorlagen > System > Device Guard.
3. Doppelklicken Sie auf die Richtlinie namens Virtualisierungsbasierte Sicherheit aktivieren.
4. Prüfen Sie den Status: Wenn Aktiviert, schauen Sie auf das Dropdown-Menü Credential Guard-Konfiguration:
- 5. Mit UEFI-Sperre aktiviert: Dies bedeutet, dass die Funktion erzwungen wird und nicht von einem Angreifer remote deaktiviert werden kann.
- 6. Ohne Sperre aktiviert: Die Funktion ist aktiv, kann aber über Fernverwaltungstools ausgeschaltet werden.
7. Um zu sehen, welche Richtlinien einen spezifischen Computer erreichen, führen Sie gpresult /h gpresult.html in einer Admin-Eingabeaufforderung aus und öffnen Sie die resultierende Datei.
Methode 4: Ereignisanzeige (Event Viewer)
Die Ereignisanzeige dient der tiefgehenden Fehlersuche. Sie zeigt Ihnen den exakten Moment, in dem Credential Guard während des Bootvorgangs zu starten versuchte, und sagt Ihnen spezifisch, warum er fehlgeschlagen ist, falls er nicht korrekt initialisiert wurde.
Folgen Sie diesen Schritten:
1. Suchen Sie „Ereignisanzeige“ in Ihrer Suchleiste und öffnen Sie diese.

2. Navigieren Sie durch die Ordner: Anwendungs- und Dienstprotokolle > Microsoft > Windows.

3. Suchen Sie nach DeviceGuard > Operational.

4. Analysieren Sie die Ereignis-IDs:
- Ereignis-ID 101: VBS wurde erfolgreich gestartet. Dies ist ein gutes Zeichen dafür, dass die Umgebung für Credential Guard bereit ist.
- Ereignis-ID 102 oder 103: VBS konnte nicht gestartet werden. In den Ereignisdetails wird normalerweise der Schuldige genannt, wie „Secure Boot ist nicht aktiviert“ oder „TPM nicht gefunden“.
- WinInit Ereignis-ID 13: Suchen Sie im System-Protokoll nach dieser ID, die explizit bestätigt, dass Credential Guard (Lsalso.exe) erfolgreich aktiviert wurde.

Verwalten von Credential Guard mit Atera
Die Remote Monitoring und Management-Plattform von Atera macht es einfacher zu sehen, wo Credential Guard aktiviert ist und wo nicht – alles über ein zentrales Dashboard. Anstatt Geräte einzeln zu prüfen, erhalten Sie eine klare Sicht auf die gesamte Umgebung und können Lücken schnell erkennen.
Mit Agentic AI in Form von Ateras KI-Copilot können Sie einfache Skripte erstellen und bereitstellen, um zu bestätigen, ob die richtigen Sicherheitseinstellungen vorhanden sind. Dieses Tool hilft dabei, Konfigurationen über Geräte hinweg konsistent zu halten, das Risiko von identitätsbasierten Angriffen zu reduzieren und die tägliche Verwaltung unkomplizierter zu gestalten.
»Wollen Sie es ausprobieren?Testen Sie Atera kostenlos.
Häufig gestellte Fragen
Weitere Artikel
So aktivieren oder deaktivieren Sie den Windows 10 Zwischenablageverlauf
Der Zwischenablageverlauf kann verwaltet, gelöscht oder deaktiviert werden, um Ihre Daten sicher und organisiert zu halten. Verwenden Sie die Windows-Einstellungen für eine einfache, manuelle Bereinigung. PowerShell ermöglicht es Administratoren, den gesamten Zwischenablagedienst auf mehreren Geräten zurückzusetzen.
Jetzt lesenSo erstellen Sie einen Windows-Symlink
Symbolische Links (Symlinks) sind unverzichtbare NTFS-Tools, die es IT-Experten ermöglichen, Datei- und Ordnerpfade umzuleiten, ohne Anwendungsabhängigkeiten zu unterbrechen. Durch das Verständnis der Unterschiede zwischen Symlinks, Junctions und Hardlinks können Sie den Speicher optimieren und komplexe Software-Deployments vereinfachen.
Jetzt lesenWas ist Network Level Authentication?
Network Level Authentication (NLA) wird verwendet um Remote Destop Services wie Windows RDP und Remote Desktop Connection (RDP Client) zu authentifizieren.
Jetzt lesenServerausfälle verhindern und überwinden – Tipps für den Notfall
Begriffe wie 24/7, Always On, around the clock und viele andere sind in unserer heutigen Zeit gängige Begleiter. Oftmals wird gar nicht mehr darüber nachgedacht, was hinter den Kulissen alles passiert, damit alle selbstverständlichen Annehmlichkeiten des heutigen Lebens kontinuierlich verfügbar sind
Jetzt lesenStärken Sie Ihr IT-Team mit KI-gestützter IT
Nutzen Sie die Leistung der KI, um Ihre IT-Effizienz zu 10-fachen. Befreien Sie Ihr Unternehmen von den Einschränkungen der gestrigen IT-Tools.








