Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Credential Guard für Windows-Instances
Das AWS Nitro-System unterstützt Credential Guard für Amazon Elastic Compute Cloud (Amazon EC2) Windows-Instances. Credential Guard ist ein virtualisierungsbasiertes Windows-Sicherheitsfeature (VBS), die die Erstellung isolierter Umgebungen ermöglicht, um Sicherheitsressourcen wie Windows-Benutzeranmeldeinformationen und die Durchsetzung der Codeintegrität über den Windows-Kernelschutz hinaus zu schützen. Wenn Sie EC2-Windows-Instances ausführen, verwendet Credential Guard das AWS Nitro-System, um zu verhindern, dass Windows-Anmeldeinformationen aus dem Speicher des Betriebssystems extrahiert werden.
**Topics**
+ [Voraussetzungen](#credential-guard-prerequisites)
+ [Unterstützte Instance starten](#credential-guard-launch-instance)
+ [Speicherintegrität deaktivieren](#disable-memory-integrity)
+ [Credential Guard anschalten](#turn-on-credential-guard)
+ [Überprüfen, ob Credential Guard ausgeführt wird](#verify-credential-guard)
## Voraussetzungen
Ihre Windows-Instance muss die folgenden Voraussetzungen erfüllen, um Credential Guard verwenden zu können.
**Amazon-Maschinenbilder (AMIs)**
Das AMI muss vorkonfiguriert sein, um NitroTPM und UEFI Secure Boot zu aktivieren. Weitere Informationen zur Unterstützung finden AMIs Sie unter[Anforderungen für die Verwendung von NitroTPM mit Amazon-EC2-Instances](enable-nitrotpm-prerequisites.md).
**Speicherintegrität**
*Speicherintegrität*, auch bekannt als *Hypervisor-Protected Code Integrity (HVCI)* oder *Hypervisor Enforced Code Integrity*, wird nicht unterstützt. Bevor Sie Credential Guard aktivieren, müssen Sie sicherstellen, dass dieses Feature deaktiviert ist. Weitere Informationen finden Sie unter [Speicherintegrität deaktivieren](#disable-memory-integrity).
**Instance-Typen**
Die folgenden Instance-Typen unterstützen Credential Guard in allen Größen, sofern nicht anders notiert: `C5`, `C5d`, `C5n`, `C6i`, `C6id`, `C6in`, `C7i`, `C7i-flex`, `M5`, `M5d`, `M5dn`, `M5n`, `M5zn`, `M6i`, `M6id`, `M6idn`, `M6in`, `M7i`, `M7i-flex`, `R5`, `R5b`, `R5d`, `R5dn`, `R5n`, `R6i`, `R6id`, `R6idn`, `R6in` `R7i`, `R7iz`, `T3`.
+ NitroTPM hat zwar einige erforderliche Instance-Typen gemeinsam, aber der Instance-Typ muss einer der oben genannten sein, um Credential Guard zu unterstützen.
+ Credential Guard wird für Folgendes nicht unterstützt:
+ Bare-Metal-Instances.
+ Die folgenden Instance-Typen unterstützen EFAs: `C7i.48xlarge`, `M7i.48xlarge` und `R7i.48xlarge`.
Weitere Informationen zu den unterstützten Instance-Typen finden Sie unter [Leitfaden für Amazon-EC2-Instance-Typen](https://docs.aws.amazon.com/ec2/latest/instancetypes/instance-types.html).
## Unterstützte Instance starten
Sie können die Amazon EC2 EC2-Konsole oder AWS Command Line Interface (AWS CLI) verwenden, um eine Instance zu starten, die Credential Guard unterstützt. Sie benötigen zum Starten Ihrer Instance eine kompatible AMI-ID, die für jede AWS-Region eindeutig ist.
**Tipp**
Sie können den folgenden Link verwenden, um Instances mit kompatiblen, von Amazon bereitgestellten AMIs in der Amazon-EC2-Konsole zu erkennen und zu starten:
[https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon](https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon)
------
#### [ Console ]
**So starten Sie eine Instance**
Befolgen Sie die Schritte zum [Starten einer Instance](ec2-launch-instance-wizard.md), während Sie einen unterstützten Instance-Typ und ein vorkonfiguriertes Windows-AMI angeben.
------
#### [ AWS CLI ]
**So starten Sie eine Instance**
Verwenden Sie den [https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html)-Befehl, um eine Instance mit einem unterstützten Instance-Typ und einem vorkonfigurierten Windows-AMI zu starten.
```
aws ec2 run-instances \
--image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \
--instance-type c6i.large \
--region us-east-1 \
--subnet-id subnet-0abcdef1234567890
--key-name key-name
```
------
#### [ PowerShell ]
**So starten Sie eine Instance**
Verwenden Sie den [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html)-Befehl, um eine Instance mit einem unterstützten Instance-Typ und einem vorkonfigurierten Windows-AMI zu starten.
```
New-EC2Instance `
-ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base `
-InstanceType c6i.large `
-Region us-east-1 `
-SubnetId subnet-0abcdef1234567890 `
-KeyName key-name
```
------
## Speicherintegrität deaktivieren
Sie können den Editor für lokale Gruppenrichtlinien verwenden, um die Speicherintegrität in unterstützten Szenarios zu deaktivieren. Die folgenden Richtlinien können für jede Konfigurationseinstellung unter **Virtualisierungsbasierter Schutz der Code-Integrität** angewendet werden:
+ **Ohne Sperre aktiviert** – Ändern Sie die Einstellung auf **Deaktiviert**, um die Speicherintegrität zu deaktivieren.
+ **Mit UEFI-Sperre aktiviert** – Die Speicherintegrität wurde mit UEFI-Sperre aktiviert. Die Speicherintegrität kann nicht deaktiviert werden, nachdem sie mit der UEFI-Sperre aktiviert wurde. Wir empfehlen, eine neue Instance mit deaktivierter Speicherintegrität zu erstellen und die nicht unterstützte Instance zu beenden, wenn sie nicht verwendet wird.
**So deaktivieren Sie die Speicherintegrität mit dem Editor für lokale Gruppenrichtlinien**
1. Stellen Sie über das Remote Desktop Protocol (RDP) als Benutzerkonto mit Administratorrechten eine Verbindung zu Ihrer Instance her. Weitere Informationen finden Sie unter [Verbindung zu Ihrer Windows-Instance mithilfe eines RDP-Clients herstellen](connect-rdp.md).
1. Öffnen Sie das Startmenü und suchen Sie nach **cmd**, um eine Eingabeaufforderung zu starten.
1. Führen Sie den folgenden Befehl aus, um den Editor für lokale Gruppenrichtlinien zu öffnen: `gpedit.msc`
1. Wählen Sie im Editor für lokale Gruppenrichtlinien **Computerkonfiguration**, **Administrative Vorlagen**, **System**, **Geräteschutz** aus.
1. Wählen Sie **Virtualisierungsbasierte Sicherheit aktivieren** und dann **Richtlinieneinstellung bearbeiten** aus.
1. Öffnen Sie das Dropdownmenü mit den Einstellungen für **Virtualisierungsbasierter Schutz der Codeintegrität**, wählen Sie **Deaktiviert** und anschließend **Anwenden**.
1. Starten Sie die Instance neu, um die Änderungen zu übernehmen.
## Credential Guard anschalten
Nachdem Sie eine Windows-Instance mit einem unterstützten Instance-Typ und einem kompatiblen AMI gestartet und bestätigt haben, dass die Speicherintegrität deaktiviert ist, können Sie Credential Guard aktivieren.
**Wichtig**
Sie benötigen Administratorrechte, um die folgenden Schritte zum Aktivieren von Credential Guard auszuführen.
**Aktivieren von Credential Guard**
1. Stellen Sie über das Remote Desktop Protocol (RDP) als Benutzerkonto mit Administratorrechten eine Verbindung zu Ihrer Instance her. Weitere Informationen finden Sie unter [Verbindung zu Ihrer Windows-Instance mithilfe eines RDP-Clients herstellen](connect-rdp.md).
1. Öffnen Sie das Startmenü und suchen Sie nach **cmd**, um eine Eingabeaufforderung zu starten.
1. Führen Sie den folgenden Befehl aus, um den Editor für lokale Gruppenrichtlinien zu öffnen: `gpedit.msc`
1. Wählen Sie im Editor für lokale Gruppenrichtlinien **Computerkonfiguration**, **Administrative Vorlagen**, **System**, **Geräteschutz** aus.
1. Wählen Sie **Virtualisierungsbasierte Sicherheit aktivieren** und dann **Richtlinieneinstellung bearbeiten** aus.
1. Wählen Sie **Aktiviert** im Menü **Virtualisierungsbasierte Sicherheit aktivieren** aus.
1. Wählen Sie unter **Plattformsicherheitsstufe auswählen** die Optionen **Sicherer Start und DMA-Schutz** aus.
1. Wählen Sie für **Credential-Guard-Konfiguration** die Option **Aktiviert mit UEFI-Sperre** aus.
**Anmerkung**
Die verbleibenden Richtlinieneinstellungen sind nicht erforderlich, um Credential Guard zu aktivieren, und können auf **Nicht konfiguriert** belassen werden.
Das folgende Image zeigt die wie zuvor beschrieben konfigurierten VBS-Einstellungen:
![\[\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/vbs-credential-guard-gpo-enabled.png)
1. Starten Sie die Instance neu, um die Einstellungen zu übernehmen.
## Überprüfen, ob Credential Guard ausgeführt wird
Sie können das Microsoft-Tool Systeminformationen (`Msinfo32.exe`) verwenden, um zu bestätigen, dass Credential Guard ausgeführt wird.
**Wichtig**
Sie müssen die Instance zuerst neu starten, um die Anwendung der Richtlinieneinstellungen abzuschließen, die zum Aktivieren von Credential Guard erforderlich sind.
**So überprüfen Sie, ob Credential Guard ausgeführt wird**
1. Stellen Sie über das Remote Desktop Protocol (RDP) eine Verbindung zu Ihrer Instance her. Weitere Informationen finden Sie unter [Verbindung zu Ihrer Windows-Instance mithilfe eines RDP-Clients herstellen](connect-rdp.md).
1. Öffnen Sie innerhalb der RDP-Sitzung zu Ihrer Instance das Startmenü und suchen Sie nach **cmd**, um eine Eingabeaufforderung zu starten.
1. Öffnen Sie die Systeminformationen, indem Sie den folgenden Befehl ausführen: `msinfo32.exe`
1. Das Microsoft-Tool Systeminformationen listet die Details zur VBS-Konfiguration auf. Bestätigen Sie neben virtualisierungsbasierte Sicherheitsservices, dass **Credential Guard** als **Wird ausgeführt** angezeigt wird.
Das folgende Image zeigt, dass VBS wie zuvor beschrieben ausgeführt wird:
![\[\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/vbs-credential-guard-msinfo32-enabled.png)