配置 Credential Guard

您所在的位置：网站首页 › 怎样开启windows defender › 配置 Credential Guard

配置 Credential Guard

2023-11-26 22:49| 来源: 网络整理| 查看: 265

配置 Credential Guard 项目 11/18/2023 适用于: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

本文介绍如何使用Microsoft Intune、组策略或注册表配置 Credential Guard。

默认启用

从 Windows 11 版本 22H2 开始，默认情况下，Credential Guard 在满足要求的设备上处于打开状态。默认启用没有 UEFI 锁定，它允许管理员在需要时远程禁用 Credential Guard。

如果在设备更新为 Windows 11 版本 22H2 或更高版本之前禁用 Credential Guard 或 VBS，则默认启用不会覆盖现有设置。

当 Credential Guard 的默认状态已更改时，系统管理员可以使用本文所述的方法之一启用或禁用它。

重要提示

有关与默认启用相关的已知问题的信息，请参阅 Credential Guard：已知问题。

注意

运行 Windows 11 专业版/Pro Edu 22H2 或更高版本的设备可以自动启用基于虚拟化的安全 (VBS) 和/或 Credential Guard（如果它们满足默认启用的其他要求，并且以前运行过 Credential Guard）。例如，如果在后来降级为 Pro 的企业设备上启用了 Credential Guard。

若要确定 Pro 设备是否处于此状态，检查是否存在以下注册表项：Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。在此方案中，如果要禁用 VBS 和 Credential Guard，请按照说明禁用基于虚拟化的安全性。如果只想禁用 Credential Guard，而不禁用 VBS，请使用过程禁用 Credential Guard。

启用 Credential Guard

应在设备加入域之前或域用户首次登录之前启用 Credential Guard。如果在加入域后启用了 Credential Guard，则用户和设备机密可能已泄露。

若要启用 Credential Guard，可以使用：

Microsoft Intune/MDM 组策略注册表

以下说明详细介绍了如何配置设备。选择最适合你需求的选项。

Intune/MDM 组策略注册表使用 Intune 配置 Credential Guard

若要使用Microsoft Intune配置设备，请创建设置目录策略并使用以下设置：

类别设置名称值 Device Guard Credential Guard 选择以下选项之一： - 使用 UEFI 锁定启用 - 在未锁定的情况下启用

重要提示

如果希望能够远程关闭 Credential Guard，请选择选项 “启用且不锁定”。

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

提示

还可以使用终结点安全性中的帐户保护配置文件配置 Credential Guard。有关详细信息，请参阅 Microsoft Intune 中终结点安全的帐户保护策略设置。

或者，可以通过 DeviceGuard 策略 CSP 使用自定义策略配置设备。

设置设置名称：启用基于虚拟化的安全性OMA-URI： ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity数据类型：int值： 1 设置名称：Credential Guard 配置OMA-URI： ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags数据类型：int值：使用 UEFI 锁启用： 1 在未锁定的情况下启用： 2

应用策略后，重启设备。

使用组策略配置 Credential Guard

若要使用组策略配置设备，请使用本地组策略编辑器。若要配置多个已加入 Active Directory 的设备，请 (GPO) 创建或编辑组策略对象，并使用以下设置：

组策略路径组策略设置值计算机配置\管理模板\System\Device Guard 启用基于虚拟化的安全性已启用并选择 “Credential Guard 配置 ”下拉列表下列出的选项之一： - 使用 UEFI 锁定启用 - 在未锁定的情况下启用

重要提示

如果希望能够远程关闭 Credential Guard，请选择选项 “启用且不锁定”。

组策略可以链接到域或组织单位，使用安全组进行筛选，或使用 WMI 筛选器进行筛选。

应用策略后，重启设备。

使用注册表设置配置 Credential Guard

若要使用注册表配置设备，请使用以下设置：

设置密钥路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 密钥名称： EnableVirtualizationBasedSecurity类型： REG_DWORD值： 1 启用基于虚拟化的安全性) ( 密钥路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 密钥名称： RequirePlatformSecurityFeatures类型： REG_DWORD值： 1 使用安全启动) ( 3 (使用安全启动和 DMA 保护) 密钥路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 密钥名称： LsaCfgFlags类型： REG_DWORD值： 1 (启用具有 UEFI 锁的 Credential Guard) 2 在没有锁定) 的情况下启用 Credential Guard 的 (

重启设备以应用更改。

提示

可以通过在 FirstLogonCommands 无人参与设置中设置注册表项来启用 Credential Guard。

验证 Credential Guard 是否已启用

检查任务管理器是否 LsaIso.exe 正在运行不是确定 Credential Guard 是否正在运行的建议方法。请改用以下方法之一：

系统信息 PowerShell 事件查看器系统信息

可以使用系统信息来确定 Credential Guard 是否在设备上运行。

选择“开始”，键入 msinfo32.exe，然后选择“系统信息” 选择 “系统摘要” 确认 Credential Guard 显示在正在运行的基于虚拟化的安全服务旁边 PowerShell

可以使用 PowerShell 来确定 Credential Guard 是否在设备上运行。在提升的 PowerShell 会话中，使用以下命令：

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

命令生成以下输出：

0：凭据防护已禁用 (未运行) 1：在运行) (启用 Credential Guard 事件查看器

使用安全审核策略或 WMI 查询定期评审启用了 Credential Guard 的设备。打开事件查看器 (eventvwr.exe) ，转到Windows Logs\System并筛选 WinInit 的事件源：

事件 ID

Description

13 (信息)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (信息)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0** 第一个变量： 0x1 或 0x2 表示 Credential Guard 配置为运行。 0x0 表示它未配置为运行。第二个变量：0 表示它配置为在保护模式下运行。 1 表示它配置为在测试模式下运行。此变量应始终为 0。

15 (警告)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running; continuing without Credential Guard.

16 (警告)

Credential Guard (LsaIso.exe) failed to launch: [error code]

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

以下事件指示 TPM 是否用于密钥保护。路径： Applications and Services logs > Microsoft > Windows > Kernel-Boot

事件 ID

Description

51 (信息)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

如果使用 TPM 运行，则 TPM PCR 掩码值不是 0。

禁用 Credential Guard

可通过不同的选项禁用 Credential Guard。选择的选项取决于 Credential Guard 的配置方式：

主机可以禁用在虚拟机中运行的 Credential Guard 如果使用 UEFI 锁定启用 Credential Guard，请按照使用 UEFI 锁定禁用 Credential Guard 中所述的过程操作如果在未启用 UEFI Lock 的情况下启用了 Credential Guard，或者作为 Windows 11 版本 22H2 更新中的自动启用的一部分，请使用以下选项之一来禁用它： Microsoft Intune/MDM 组策略注册表

以下说明详细介绍了如何配置设备。选择最适合你需求的选项。

Intune/MDM 组策略注册表使用 Intune 禁用 Credential Guard

如果通过 Intune 启用 Credential Guard 且没有 UEFI 锁定，则禁用同一策略设置将禁用 Credential Guard。

若要使用Microsoft Intune配置设备，请创建设置目录策略并使用以下设置：

类别设置名称值 Device Guard Credential Guard 禁用

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以通过 DeviceGuard 策略 CSP 使用自定义策略配置设备。

设置设置名称：Credential Guard 配置OMA-URI： ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags数据类型：int值： 0

应用策略后，重启设备。

使用组策略禁用 Credential Guard

如果通过组策略启用了 Credential Guard 且没有 UEFI 锁定，则禁用同一组策略设置将禁用 Credential Guard。

若要使用组策略配置设备，请使用本地组策略编辑器。若要配置多个已加入 Active Directory 的设备，请 (GPO) 创建或编辑组策略对象，并使用以下设置：

组策略路径组策略设置值计算机配置\管理模板\System\Device Guard 启用基于虚拟化的安全性禁用

组策略可以链接到域或组织单位，使用安全组进行筛选，或使用 WMI 筛选器进行筛选。

应用策略后，重启设备。

使用注册表设置禁用 Credential Guard

如果在未启用 UEFI Lock 且未组策略的情况下启用 Credential Guard，则编辑注册表项即可禁用它。

设置密钥路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 密钥名称： LsaCfgFlags类型： REG_DWORD值： 0 密钥路径： HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 密钥名称： LsaCfgFlags类型： REG_DWORD值： 0

注意

删除这些注册表设置可能不会禁用 Credential Guard。它们必须设置为值 0。

重启设备以应用更改。

有关禁用基于虚拟化的安全性 (VBS) 的信息，请参阅禁用基于虚拟化的安全性。

使用 UEFI 锁定禁用 Credential Guard

如果使用 UEFI 锁启用 Credential Guard，请遵循此过程，因为设置将保留在 EFI (固件) 变量中。

注意

此方案要求计算机中存在物理状态，才能按功能键接受更改。

按照禁用 Credential Guard 中的步骤操作

使用 bcdedit 删除 Credential Guard EFI 变量。在提升的命令提示符下键入以下命令：

mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d

重启设备。在 OS 启动之前，系统会显示一条提示，通知 UEFI 已修改，并要求确认。必须确认提示，更改才能保留。

为虚拟机禁用 Credential Guard

在主机中，可以使用以下命令为虚拟机禁用 Credential Guard：

Set-VMSecurity -VMName -VirtualizationBasedSecurityOptOut $true 禁用基于虚拟化的安全性

如果禁用基于虚拟化的安全性 (VBS) ，则会自动禁用 Credential Guard 和其他依赖于 VBS 的功能。

重要提示

Credential Guard 以外的其他安全功能依赖于 VBS。禁用 VBS 可能会产生意外的副作用。

使用以下选项之一禁用 VBS：

Microsoft Intune/MDM 组策略注册表

以下说明详细介绍了如何配置设备。选择最适合你需求的选项。

Intune/MDM 组策略注册表使用 Intune 禁用 VBS

如果 VBS 是通过 Intune 启用的，并且没有 UEFI 锁定，则禁用相同的策略设置将禁用 VBS。

若要使用Microsoft Intune配置设备，请创建设置目录策略并使用以下设置：

类别设置名称值 Device Guard 启用基于虚拟化的安全性禁用

将策略分配给一个组，该组包含要配置的设备或用户作为成员。

或者，可以通过 DeviceGuard 策略 CSP 使用自定义策略配置设备。

设置设置名称：启用基于虚拟化的安全性OMA-URI： ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity数据类型：int值： 0

应用策略后，重启设备。

使用组策略禁用 VBS

配置用于将 VBS 启用为 “已禁用”的策略。

若要使用组策略配置设备，请使用本地组策略编辑器。若要配置多个已加入 Active Directory 的设备，请 (GPO) 创建或编辑组策略对象，并使用以下设置：

组策略路径组策略设置值计算机配置\管理模板\System\Device Guard\启用基于虚拟化的安全性启用基于虚拟化的安全性禁用

组策略可以链接到域或组织单位，使用安全组进行筛选，或使用 WMI 筛选器进行筛选。

应用策略后，重启设备

使用注册表设置禁用 VBS

删除以下注册表项：

设置密钥路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 密钥名称： EnableVirtualizationBasedSecurity 密钥路径： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 密钥名称： RequirePlatformSecurityFeatures

重要提示

如果手动删除注册表设置，请确保将其全部删除，否则设备可能会进入 BitLocker 恢复。

重启设备以应用更改。

如果使用 UEFI 锁定启用 Credential Guard，则必须使用命令 bcdedit.exe清除固件中存储的 EFI 变量。在提升的命令提示符下，运行以下命令：

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set vsmlaunchtype off 后续步骤在其他缓解措施一文中查看有关使用 Credential Guard 使环境更安全、更可靠的建议和示例代码查看使用 Credential Guard 时的注意事项和已知问题

【本文地址】

公司简介

联系我们