Credential Guard - это технология изоляции на основе виртуализации для LSASS, которая предотвращает кражу злоумышленниками учетных данных, которые могут быть использованы для атак с использованием хэша. Credential Guard был представлен в операционной системе Microsoft Windows 10. Начиная с Windows 10 версии 20H1, Credential Guard доступен только в корпоративной версии операционной системы.
После компрометации системы злоумышленники часто пытаются извлечь любые сохраненные учетные данные для дальнейшего бокового перемещения по сети. Первичной целью является процесс LSASS, в котором хранятся учетные данные NTLM и Kerberos. Credential Guard не позволяет злоумышленникам сбрасывать учетные данные, хранящиеся в LSASS, путем запуска LSASS в виртуализированном контейнере, к которому не может получить доступ даже пользователь с привилегиями SYSTEM. Затем система создает прокси-процесс под названием LSAIso (LSA Isolated) для связи с виртуализированным процессом LSASS.
Существует несколько общих методов кражи учетных данных в системах с Credential Guard: