Bugcheck8's Blog

一、Credential Guard是什么？

我们第一章1.1安全组件中有提到一个名词LSAIso.exe。它用于储存用户的令牌散列，运行在VTL 1下的Trustlet。在了解它之前，我们需要介绍几个名词：
(1)密码

用户凭据

(2)NT单项函数（NTOWF）

NTLM协议用户身份用的MD4散列

(3)票证授予票证（TGT)

你可以将它理解为NTLM，也是一种验证方式。这是Windows使用的最新的远程身份验证机制（Kerberos），此协议是Windows Active Directory 默认使用身份验证机制，且在Windows Server2016上强制使用。在用户成功登录后，TGT和密钥会提供给计算机（类似于NTLM验证）。

二、Credential Guard的作用(待更新)

(1)保护密码
(2)保护NTOWF/TGT密钥
(3)保护通信
(4)UEFI锁定
(5)身份验证策略和Armored Kerberos