Dieser Browser wird nicht mehr unterstützt.
Führen Sie ein Upgrade auf Microsoft Edge durch, um die neuesten Features, Sicherheitsupdates und den technischen Support zu nutzen.
In diesem Artikel wird beschrieben, wie Sie Credential Guard mithilfe von Microsoft Intune, Gruppenrichtlinie oder der Registrierung konfigurieren.
Ab Windows 11, 22H2 und Windows Server 2025 ist Credential Guard standardmäßig auf Geräten aktiviert, die die Anforderungen erfüllen.
Systemadministratoren können Credential Guard mithilfe einer der in diesem Artikel beschriebenen Methoden explizit aktivieren oder deaktivieren . Explizit konfigurierte Werte überschreiben den Standardaktivierungsstatus nach einem Neustart.
Wenn Credential Guard auf einem Gerät vor dem Update auf eine neuere Version von Windows explizit deaktiviert wurde, bei der Credential Guard standardmäßig aktiviert ist, bleibt es auch nach dem Update deaktiviert.
Wichtig
Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung finden Sie unter Credential Guard: bekannte Probleme.
Credential Guard sollte aktiviert werden, bevor ein Gerät in eine Domäne eingebunden wird oder sich ein Domänenbenutzer zum ersten Mal anmeldet. Wenn Credential Guard nach dem Domänenbeitritt aktiviert ist, sind die Benutzer- und Gerätegeheimnisse möglicherweise bereits kompromittiert.
Zum Aktivieren von Credential Guard können Sie Folgendes verwenden:
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Device Guard | Credential Guard | Wählen Sie eine der Optionen aus: - Aktiviert mit UEFI-Sperre - Ohne Sperre aktiviert |
Wichtig
Wenn Sie Credential Guard remote deaktivieren möchten, wählen Sie die Option Ohne Sperre aktiviert aus.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Tipp
Sie können Credential Guard auch mithilfe eines Kontoschutzprofils in der Endpunktsicherheit konfigurieren. Weitere Informationen finden Sie unter Kontoschutzrichtlinieneinstellungen für die Endpunktsicherheit in Microsoft Intune.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.
| Einstellung |
|---|
|
Einstellungsname: Virtualisierungsbasierte Sicherheit aktivieren OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityDatentyp: int Wert: 1 |
|
Einstellungsname: Credential Guard-Konfiguration OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsDatentyp: int Wert: Aktiviert mit UEFI-Sperre: 1Ohne Sperre aktiviert: 2 |
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Das Überprüfen des Task-Managers, ob LsaIso.exe ausgeführt wird, ist keine empfohlene Methode, um zu bestimmen, ob Credential Guard ausgeführt wird. Verwenden Sie stattdessen eine der folgenden Methoden:
Mithilfe der Systeminformationen können Sie ermitteln, ob Credential Guard auf einem Gerät ausgeführt wird.
Intune/CSP
GPO
Registrierungmsinfo32.exe, und wählen Sie dann Systeminformationen aus.Sie können PowerShell verwenden, um zu bestimmen, ob Credential Guard auf einem Gerät ausgeführt wird. Verwenden Sie in einer PowerShell-Sitzung mit erhöhten Rechten den folgenden Befehl:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
Der Befehl generiert die folgende Ausgabe:
Führen Sie regelmäßige Überprüfungen der Geräte durch, auf denen Credential Guard aktiviert ist, mithilfe von Sicherheitsüberwachungsrichtlinien oder WMI-Abfragen.
Öffnen Sie die Ereignisanzeige (eventvwr.exe), wechseln Sie zu Windows Logs\System , und filtern Sie die Ereignisquellen für WinInit:
Ereignis-ID
Beschreibung
13 (Informationen)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (Informationen)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
15 (Warnung)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (Warnung)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
Das folgende Ereignis gibt an, ob TPM für den Schlüsselschutz verwendet wird. Pfad: Applications and Services logs > Microsoft > Windows > Kernel-Boot
Ereignis-ID
Beschreibung
51 (Informationen)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Wenn Sie mit einem TPM ausführen, ist der Wert der TPM-PCR-Maske etwas anderes als 0.
Es gibt verschiedene Optionen zum Deaktivieren von Credential Guard. Welche Option Sie auswählen, hängt davon ab, wie Credential Guard konfiguriert ist:
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Wenn Credential Guard über Intune und ohne UEFI-Sperre aktiviert ist, deaktiviert das Deaktivieren derselben Richtlinieneinstellung Credential Guard.
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Device Guard | Credential Guard | Arbeitsunfähig |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.
| Einstellung |
|---|
|
Einstellungsname: Credential Guard-Konfiguration OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsDatentyp: int Wert: 0 |
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Informationen zum Deaktivieren der virtualisierungsbasierten Sicherheit (VBS) finden Sie unter Deaktivieren der virtualisierungsbasierten Sicherheit.
Wenn Credential Guard mit UEFI-Sperre aktiviert ist, führen Sie dieses Verfahren aus, da die Einstellungen in EFI-Variablen (Firmware) beibehalten werden.
Hinweis
In diesem Szenario ist eine physische Anwesenheit auf dem Computer erforderlich, um eine Funktionstaste zu drücken, um die Änderung zu akzeptieren.
Führen Sie die Schritte unter Deaktivieren von Credential Guard aus.
Löschen Sie die EFI-Variablen von Credential Guard mithilfe von bcdedit. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
Starten Sie das Gerät neu. Vor dem Start des Betriebssystems wird eine Eingabeaufforderung angezeigt, die benachrichtigt, dass UEFI geändert wurde, und fordert eine Bestätigung auf. Die Eingabeaufforderung muss bestätigt werden, damit die Änderungen beibehalten werden.
Auf dem Host können Sie Credential Guard für einen virtuellen Computer mit dem folgenden Befehl deaktivieren:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Wenn Sie virtualisierungsbasierte Sicherheit (VBS) deaktivieren, deaktivieren Sie automatisch Credential Guard und andere Features, die auf VBS basieren.
Wichtig
Andere Sicherheitsfeatures neben Credential Guard basieren auf VBS. Das Deaktivieren von VBS kann unbeabsichtigte Nebenwirkungen haben.
Verwenden Sie eine der folgenden Optionen, um VBS zu deaktivieren:
Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Wenn VBS über Intune und ohne UEFI-Sperre aktiviert ist, deaktiviert das Deaktivieren derselben Richtlinieneinstellung VBS.
Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Device Guard | Aktivieren der virtualisierungsbasierten Sicherheit | Arbeitsunfähig |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.
| Einstellung |
|---|
|
Einstellungsname: Virtualisierungsbasierte Sicherheit aktivieren OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityDatentyp: int Wert: 0 |
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Wenn Credential Guard mit UEFI Lock aktiviert ist, müssen die in der Firmware gespeicherten EFI-Variablen mit dem Befehl bcdedit.exegelöscht werden. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Training
Zertifizierung
Microsoft 365 Certified: Endpoint Administrator Associate - Certifications
Planen Sie eine Endpunktbereitstellungsstrategie und führen diese mithilfe von wesentlichen Elemente moderner Verwaltung, Co-Management-Ansätzen und Microsoft Intune-Integration aus.
Dokumentation
Übersicht über Credential Guard
Erfahren Sie mehr über Credential Guard und wie geheimnisse isoliert werden, sodass nur privilegierte Systemsoftware darauf zugreifen kann.
Aktiviert Credential Guard, ein Sicherheitsfeature, das virtualisierungsbasierte Sicherheit zum Isolieren von Geheimnissen verwendet, sodass nur privilegierte Systemsoftware darauf zugreifen kann, wenn sie auf einem Datenträger oder im Arbeitsspeicher gespeichert sind. Weitere Informationen finden Sie unter Credential Guard.
Funktionsweise von Credential Guard
Erfahren Sie, wie Credential Guard virtualisierung verwendet, um Geheimnisse zu schützen, sodass nur privilegierte Systemsoftware darauf zugreifen kann.