Windows 10 Device Guard


Ein sinnvolles Feature um einen Windows Rechner sicherer zu machen aber leider nur bei Enterprise Versionen verfügbar. Damit kann man mittels Credential Guard seine Passwörter und Tickets absichern.

Aber da ich davon ausgehe, dass in künftigen Versionen noch mehr Features von Device Guard in alle Windowsversionen Einzug halten, hier ein paar Dinge, die wichtig sind.

Wie immer hier die Einleitung zum Thema: https://technet.microsoft.com/en-us/itpro/windows/keep-secure/credential-guard.

Wie kann man per Powershell feststellen, ob Device Guard verfügbar ist bzw. Credential Guard läuft? Am einfachsten mittels WMI:

PS> Get-CimInstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard

AvailableSecurityProperties                  : {0}
CodeIntegrityPolicyEnforcementStatus         : 0
InstanceIdentifier                           : 4ff40742-2649-41b8-bdd1-e80fad1cce80
RequiredSecurityProperties                   : {0}
SecurityServicesConfigured                   : {0}
SecurityServicesRunning                      : {0}
UsermodeCodeIntegrityPolicyEnforcementStatus : 0
Version                                      : 1.0
VirtualizationBasedSecurityStatus            : 0
PSComputerName                               :

Obiges Beispiel ist von einem älteren Rechner (BIOS), welcher Windows 10 Pro v1607 (32-Bit) installiert hat und keine Virtualisierungsfeatures aktiviert hat.

Hier ein etwas neuerer Rechner (UEFI) ebenfalls v1607 Pro (64-Bit) aber mit lokalem aktiviertem Hypervisor:

PS> get-ciminstance -Namespace root/Microsoft/Windows/DeviceGuard -ClassName Win32_DeviceGuard

AvailableSecurityProperties                  : {1, 3}
CodeIntegrityPolicyEnforcementStatus         : 0
InstanceIdentifier                           : 4ff40742-2649-41b8-bdd1-e80fad1cce80
RequiredSecurityProperties                   : {0}
SecurityServicesConfigured                   : {0}
SecurityServicesRunning                      : {0}
UsermodeCodeIntegrityPolicyEnforcementStatus : 0
Version                                      : 1.0
VirtualizationBasedSecurityStatus            : 2
PSComputerName                               :

Für die Ausgangsfrage ist, wie weiß man, dass Device Guard mit Credential Guard eingerichtet ist? Dazu fragt man SecurityServicesConfigured ab, wenn dieser Wert 1 oder höher enthält, dann ist er aktiv. Eine Beschreibung zu SecurityServicesConfigured gibt es unter https://technet.microsoft.com/de-de/itpro/windows/keep-secure/deploy-device-guard-enable-virtualization-based-security.

Wenn man wissen möchte, ob der Dienst auch läuft schaut man bei SecurityServicesRunning nach:

$DevGuard = Get-CimInstance –ClassName Win32_DeviceGuard 
–Namespace root\Microsoft\Windows\DeviceGuard;

If ($DevGuard.SecurityServicesConfigured -contains 1)
{"Credential Guard configured"};
If ($DevGuard.SecurityServicesRunning -contains 1)
{"Credential Guard running"}
https://blogs.technet.microsoft.com/poshchap/2016/09/23/
security-focus-check-credential-guard-status-with-powershell/
Übrigens auf einem Windows 10 Pro v1511 gibt es den Namespace root/
Microsoft/Windows/DeviceGuard gar nicht erst:

PS> Get-CimClass -Namespace root/Microsoft/Windows/DeviceGuard

Get-CimClass : Ungültiger Namespace

In Zeile:1 Zeichen:1

+ Get-CimClass -Namespace root/Microsoft/Windows/DeviceGuard

+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    + CategoryInfo          : MetadataError: (:) [Get-CimClass], CimException

    + FullyQualifiedErrorId : HRESULT 0x8004100e,Microsoft.Management.Infrastructure.CimCmdlets.GetCimClassCommand

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s


%d Bloggern gefällt das: