Viele Unternehmen erleben derzeit unerwartete Authentifizierungsprobleme in ihren WLAN- oder VPN-Netzen: Nach dem Entra Hybrid Join funktioniert die Anmeldung über 802.1x RADIUS mit MSCHAPv2 nicht mehr wie gewohnt. Besonders betroffen sind Windows‑11‑Geräte mit aktiviertem Windows Defender Credential Guard

Das Problem

In klassischen 802.1x-Setups wird oft PEAP mit MSCHAPv2 verwendet, um sich gegenüber dem RADIUS-Server zu authentifizieren. Doch bei hybrid-joined Windows‑11 Geräten funktioniert das plötzlich nicht mehr:

  • SSO schlägt fehl
  • Benutzer werden erneut zur Eingabe ihrer Anmeldedaten aufgefordert
  • RADIUS lehnt Verbindungen ab
  • Besonders bei maschinen- oder benutzerbasierten WLAN-Policies kommt es zu Verbindungsproblemen

Grund dafür ist Windows Defender Credential Guard, das gespeicherte NTLM-Hashes vor Zugriff schützt – was allerdings für MSCHAPv2 erforderlich ist.

Warum Credential Guard MSCHAPv2 blockiert

Credential Guard ist eine Sicherheitsfunktion, die sensible Anmeldeinformationen isoliert, um sie vor Diebstahl (z. B. durch Pass-the-Hash-Angriffe) zu schützen. Protokolle wie MSCHAPv2 oder NTLMv1 sind dabei problematisch, weil sie auf diese Hashes zugreifen müssen.

Lösung: Wechsel auf EAP‑TLS

Microsoft empfiehlt eindeutig, PEAP-MS‑CHAPv2 durch EAP‑TLS (Zertifikatsauthentifizierung) zu ersetzen. Das funktioniert problemlos mit Credential Guard und bietet zugleich ein deutlich höheres Sicherheitsniveau.

Vorteile von EAP‑TLS:

  • Kompatibel mit Credential Guard
  • Starke Sicherheit durch asymmetrische Authentifizierung
  • Kein Passwort-Hash-Zugriff nötig
  • Nahtloser SSO-Zugriff möglich

Temporärer Workaround (nicht empfohlen)

Credential Guard kann deaktiviert werden, um MSCHAPv2-SSO wieder zu ermöglichen – aber das reduziert den Schutz gegen Credential-Theft erheblich. https://learn.microsoft.com/de-de/windows/security/identity-protection/credential-guard/configure?tabs=gpo