Konfigurieren von Credential Guard

In diesem Artikel wird beschrieben, wie Sie Credential Guard mithilfe von Microsoft Intune, Gruppenrichtlinie oder der Registrierung konfigurieren.

Standardaktivierung

Ab Windows 11 Version 22H2 ist Credential Guard auf Geräten, die die Anforderungen erfüllen, standardmäßig aktiviert. Die Standardaktivierung ist ohne UEFI-Sperre, sodass Administratoren Credential Guard bei Bedarf remote deaktivieren können.

Wenn Credential Guard oder VBS deaktiviert sind, bevor ein Gerät auf Windows 11 Version 22H2 oder höher aktualisiert wird, überschreibt die Standardaktivierung die vorhandenen Einstellungen nicht.

Während sich der Standardstatus von Credential Guard geändert hat, können Systemadministratoren ihn mithilfe einer der in diesem Artikel beschriebenen Methoden aktivieren oder deaktivieren .

Wichtig

Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung finden Sie unter Credential Guard: bekannte Probleme.

Hinweis

Auf Geräten, auf denen Windows 11 Pro/Pro Edu 22H2 oder höher ausgeführt wird, können Virtualisierungsbasierte Sicherheit (VBS) und/oder Credential Guard automatisch aktiviert werden, wenn sie die anderen Anforderungen für die Standardaktivierung erfüllen und zuvor Credential Guard ausgeführt haben. Beispiel: Credential Guard wurde auf einem Enterprise-Gerät aktiviert, das später auf Pro herabgestuft wurde.

Um zu ermitteln, ob sich das Pro-Gerät in diesem Zustand befindet, überprüfen Sie, ob der folgende Registrierungsschlüssel vorhanden ist: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Wenn Sie VBS und Credential Guard deaktivieren möchten, befolgen Sie in diesem Szenario die Anweisungen zum Deaktivieren der virtualisierungsbasierten Sicherheit. Wenn Sie nur Credential Guard deaktivieren möchten, ohne VBS zu deaktivieren, verwenden Sie die Verfahren zum Deaktivieren von Credential Guard.

Aktivieren von Credential Guard

Credential Guard sollte aktiviert werden, bevor ein Gerät in eine Domäne eingebunden wird oder sich ein Domänenbenutzer zum ersten Mal anmeldet. Wenn Credential Guard nach dem Domänenbeitritt aktiviert ist, sind die Benutzer- und Gerätegeheimnisse möglicherweise bereits kompromittiert.

Zum Aktivieren von Credential Guard können Sie Folgendes verwenden:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie
  • Registrierung

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Konfigurieren von Credential Guard mit Intune

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Device Guard Credential Guard Wählen Sie eine der Optionen aus:
 - Aktiviert mit UEFI-Sperre
 - Ohne Sperre aktiviert

Wichtig

Wenn Sie Credential Guard remote deaktivieren möchten, wählen Sie die Option Ohne Sperre aktiviert aus.

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Tipp

Sie können Credential Guard auch mithilfe eines Kontoschutzprofils in der Endpunktsicherheit konfigurieren. Weitere Informationen finden Sie unter Kontoschutzrichtlinieneinstellungen für die Endpunktsicherheit in Microsoft Intune.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.

Einstellung
Einstellungsname: Virtualisierungsbasierte Sicherheit aktivieren
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Datentyp: int
Wert: 1
Einstellungsname: Credential Guard-Konfiguration
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Datentyp: int
Wert:
Aktiviert mit UEFI-Sperre: 1
Ohne Sperre aktiviert: 2

Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.

Überprüfen, ob Credential Guard aktiviert ist

Das Überprüfen des Task-Managers, ob LsaIso.exe ausgeführt wird, ist keine empfohlene Methode, um zu bestimmen, ob Credential Guard ausgeführt wird. Verwenden Sie stattdessen eine der folgenden Methoden:

  • Systeminformationen
  • PowerShell
  • Ereignisanzeige

Systeminformationen

Mithilfe der Systeminformationen können Sie ermitteln, ob Credential Guard auf einem Gerät ausgeführt wird.

  1. Wählen Sie Start aus, geben Sie einmsinfo32.exe, und wählen Sie dann Systeminformationen aus.
  2. Systemzusammenfassung auswählen
  3. Vergewissern Sie sich, dass Credential Guard neben Ausgeführte virtualisierungsbasierte Sicherheitsdienste angezeigt wird.

PowerShell

Sie können PowerShell verwenden, um zu bestimmen, ob Credential Guard auf einem Gerät ausgeführt wird. Verwenden Sie in einer PowerShell-Sitzung mit erhöhten Rechten den folgenden Befehl:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Der Befehl generiert die folgende Ausgabe:

  • 0: Credential Guard ist deaktiviert (wird nicht ausgeführt)
  • 1: Credential Guard ist aktiviert (wird ausgeführt)

Ereignisanzeige

Führen Sie regelmäßige Überprüfungen der Geräte durch, auf denen Credential Guard aktiviert ist, mithilfe von Sicherheitsüberwachungsrichtlinien oder WMI-Abfragen.
Öffnen Sie die Ereignisanzeige (eventvwr.exe), wechseln Sie zu Windows Logs\System , und filtern Sie die Ereignisquellen für WinInit:

Ereignis-ID

Beschreibung

13 (Informationen)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informationen)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • Die erste Variable: 0x1 oder 0x2 bedeutet, dass Credential Guard für die Ausführung konfiguriert ist. 0x0 bedeutet, dass es nicht für die Ausführung konfiguriert ist.
  • Die zweite Variable: 0 bedeutet, dass sie für die Ausführung im Schutzmodus konfiguriert ist. 1 bedeutet, dass es für die Ausführung im Testmodus konfiguriert ist. Diese Variable sollte immer 0 sein.

15 (Warnung)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Warnung)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

Das folgende Ereignis gibt an, ob TPM für den Schlüsselschutz verwendet wird. Pfad: Applications and Services logs > Microsoft > Windows > Kernel-Boot

Ereignis-ID

Beschreibung

51 (Informationen)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Wenn Sie mit einem TPM ausführen, ist der Wert der TPM-PCR-Maske etwas anderes als 0.

Deaktivieren von Credential Guard

Es gibt verschiedene Optionen zum Deaktivieren von Credential Guard. Welche Option Sie auswählen, hängt davon ab, wie Credential Guard konfiguriert ist:

  • Credential Guard, das auf einem virtuellen Computer ausgeführt wird, kann vom Host deaktiviert werden.
  • Wenn Credential Guard mit UEFI-Sperre aktiviert ist, führen Sie die unter Deaktivieren von Credential Guard mit UEFI-Sperre beschriebenen Verfahren aus.
  • Wenn Credential Guard ohne UEFI-Sperre oder als Teil der automatischen Aktivierung im Windows 11 Version 22H2-Update aktiviert ist, verwenden Sie eine der folgenden Optionen, um es zu deaktivieren:
    • Microsoft Intune/MDM
    • Gruppenrichtlinie
    • Registrierung

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Deaktivieren von Credential Guard mit Intune

Wenn Credential Guard über Intune und ohne UEFI-Sperre aktiviert ist, deaktiviert das Deaktivieren derselben Richtlinieneinstellung Credential Guard.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Device Guard Credential Guard Deaktiviert

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.

Einstellung
Einstellungsname: Credential Guard-Konfiguration
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Datentyp: int
Wert: 0

Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.

Informationen zum Deaktivieren der virtualisierungsbasierten Sicherheit (VBS) finden Sie unter Deaktivieren der virtualisierungsbasierten Sicherheit.

Deaktivieren von Credential Guard mit UEFI-Sperre

Wenn Credential Guard mit UEFI-Sperre aktiviert ist, führen Sie dieses Verfahren aus, da die Einstellungen in EFI-Variablen (Firmware) beibehalten werden.

Hinweis

In diesem Szenario ist eine physische Anwesenheit auf dem Computer erforderlich, um eine Funktionstaste zu drücken, um die Änderung zu akzeptieren.

  1. Führen Sie die Schritte unter Deaktivieren von Credential Guard aus.

  2. Löschen Sie die EFI-Variablen von Credential Guard mithilfe von bcdedit. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. Starten Sie das Gerät neu. Vor dem Start des Betriebssystems wird eine Eingabeaufforderung angezeigt, die benachrichtigt, dass UEFI geändert wurde, und fordert eine Bestätigung auf. Die Eingabeaufforderung muss bestätigt werden, damit die Änderungen beibehalten werden.

Deaktivieren von Credential Guard für einen virtuellen Computer

Auf dem Host können Sie Credential Guard für einen virtuellen Computer mit dem folgenden Befehl deaktivieren:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Deaktivieren der virtualisierungsbasierten Sicherheit

Wenn Sie virtualisierungsbasierte Sicherheit (VBS) deaktivieren, deaktivieren Sie automatisch Credential Guard und andere Features, die auf VBS basieren.

Wichtig

Andere Sicherheitsfeatures neben Credential Guard basieren auf VBS. Das Deaktivieren von VBS kann unbeabsichtigte Nebenwirkungen haben.

Verwenden Sie eine der folgenden Optionen, um VBS zu deaktivieren:

  • Microsoft Intune/MDM
  • Gruppenrichtlinie
  • Registrierung

Die folgenden Anweisungen enthalten Details zum Konfigurieren Ihrer Geräte. Wählen Sie die Option aus, die Ihren Anforderungen am besten entspricht.

Deaktivieren von VBS mit Intune

Wenn VBS über Intune und ohne UEFI-Sperre aktiviert ist, deaktiviert das Deaktivieren derselben Richtlinieneinstellung VBS.

Um Geräte mit Microsoft Intune zu konfigurieren, erstellen Sie eine Einstellungskatalogrichtlinie, und verwenden Sie die folgenden Einstellungen:

Kategorie Einstellungsname Wert
Device Guard Aktivieren der virtualisierungsbasierten Sicherheit Deaktiviert

Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.

Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.

Einstellung
Einstellungsname: Virtualisierungsbasierte Sicherheit aktivieren
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Datentyp: int
Wert: 0

Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.

Wenn Credential Guard mit UEFI Lock aktiviert ist, müssen die in der Firmware gespeicherten EFI-Variablen mit dem Befehl bcdedit.exegelöscht werden. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Nächste Schritte