Credential Guard в системах Windows работает за счёт изоляции учётных данных пользователей. 12 Система создаёт отдельное защищённое виртуальное окружение, полностью изолированное от основной операционной системы. 2

Некоторые особенности работы Credential Guard:

• Использование виртуализации. 13 Для хранения учётных данных применяется безопасность на основе виртуализации (VBS) и локальный центр безопасности (LSA). 15
• Изоляция контейнеров. 1 Контейнеры и хранящиеся в них учётные данные недоступны для остальной части операционной системы. 1
• Проверка подписей. 15 Перед запуском файла в защищённой среде проверяется его подпись сертификатом, которому доверяет VBS. 5
• Доверенная загрузка системы. 2 Загрузка системы обеспечивается через Secure Boot. 2
• Изоляция процессов. 2 Изоляция достигается благодаря использованию Virtual Trust Levels (VTL). 2 Основная операционная система работает на уровне VTL 0, а защищённое окружение Credential Guard функционирует на уровне VTL 1. 2

Цель работы Credential Guard — предотвращение атак, связанных с кражей учётных данных, таких как Pass-the-Hash и Pass-the-Ticket. 12