Credential Guardเป็นเทคโนโลยีการแยกส่วนแบบใช้เวอร์ชวลไลเซชันสำหรับLSASSซึ่งป้องกันผู้โจมตีจากการขโมยข้อมูลประจำตัวที่อาจนำไปใช้ในการโจมตีแบบpass the hash ได้^{[ 1 ] [ 2 ] [ 3 ] [ 4 ]} Credential Guard เปิดตัวพร้อมกับระบบปฏิบัติการWindows 10 ของ Microsoft ^{[ 1 ]}ตั้งแต่ Windows 11 เวอร์ชัน 22H2 เป็นต้นไป Credential Guard จะมีให้ใช้งานเฉพาะในระบบปฏิบัติการรุ่น Enterprise เท่านั้น^{[ 5 ]}

หลังจากเจาะระบบได้แล้ว ผู้โจมตีมักจะพยายามดึงข้อมูลประจำตัวที่จัดเก็บไว้เพื่อใช้ในการเคลื่อนย้ายไปยังส่วนอื่น ๆ ของเครือข่าย เป้าหมายหลักคือ กระบวนการ LSASSซึ่งจัดเก็บข้อมูลประจำตัว NTLM และKerberos Credential Guard ป้องกันผู้โจมตีจากการดัมพ์ข้อมูลประจำตัวที่จัดเก็บไว้ใน LSASS โดยการเรียกใช้ LSASS ในคอนเทนเนอร์เสมือนที่แม้แต่ผู้ใช้ที่มีสิทธิ์ SYSTEM ก็ไม่สามารถเข้าถึงได้^{[ 6 ]}จากนั้นระบบจะสร้างกระบวนการพร็อกซีที่เรียกว่า LSAIso (LSA Isolated) เพื่อสื่อสารกับกระบวนการ LSASS เสมือน^{[ 7 ] [ 3 ] [ 8 ]}

มีเทคนิคทั่วไปหลายอย่างสำหรับการขโมยข้อมูลประจำตัวบนระบบที่มี Credential Guard:

• โปรแกรมดักจับการกดแป้นพิมพ์ที่ทำงานบนระบบจะดักจับรหัสผ่านที่พิมพ์ทั้งหมด^{[ 9 ] [ 3 ]}
• ผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบสามารถติดตั้ง Security Support Provider (SSP) ใหม่ได้ SSP ใหม่จะไม่สามารถเข้าถึงแฮชรหัสผ่านที่จัดเก็บไว้ได้ แต่จะสามารถดักจับรหัสผ่านทั้งหมดได้หลังจากติดตั้ง SSP แล้ว^{[ 9 ] [ 10 ]}
• ดึงข้อมูลประจำตัวที่จัดเก็บไว้จากแหล่งอื่น ดังที่ดำเนินการในการโจมตี "Internal Monologue" (ซึ่งใช้ SSPI เพื่อดึงแฮช NetNTLMv1 ที่สามารถถอดรหัสได้) ^{[ 11 ]}