Konfigurieren von Credential Guard
In diesem Artikel wird beschrieben, wie Sie Credential Guard mithilfe von Microsoft Intune, einer Gruppenrichtlinie oder der Registrierung konfigurieren.
Standardaktivierung
Wichtig
Windows Server 2025 befindet sich in der Vorschauphase. Diese Informationen beziehen sich auf ein Vorabversionsprodukt, das vor der Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Ab Windows 11, 22H2 und Windows Server 2025 (Vorschau) ist Credential Guard standardmäßig auf Geräten aktiviert, die die Anforderungen erfüllen.
Systemadministratoren können Credential Guard mithilfe einer der in diesem Artikel beschriebenen Methoden explizit aktivieren oder deaktivieren . Explizit konfigurierte Werte überschreiben den Standardaktivierungsstatus nach einem Neustart.
Wenn Credential Guard auf einem Gerät vor dem Update auf eine neuere Version von Windows explizit deaktiviert wurde, bei der Credential Guard standardmäßig aktiviert ist, bleibt es auch nach dem Update deaktiviert.
Wichtig
Informationen zu bekannten Problemen im Zusammenhang mit der Standardaktivierung finden Sie unter Credential Guard: bekannte Probleme.
Aktivieren von Credential Guard
Credential Guard sollte aktiviert werden, bevor ein Gerät in eine Domäne eingebunden wird oder sich ein Domänenbenutzer zum ersten Mal anmeldet. Wenn Credential Guard nach dem Domänenbeitritt aktiviert ist, sind die Benutzer- und Gerätegeheimnisse möglicherweise bereits kompromittiert.
Zum Aktivieren von Credential Guard können Sie Folgendes verwenden:
- Microsoft Intune/MDM
- Gruppenrichtlinie
- Registrierung
Die folgenden Anweisungen enthalten Einzelheiten zur Konfiguration Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Intune/CSP
GPO
RegistrierungKonfigurieren von Credential Guard mit Intune
Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Device Guard | Credential Guard | Wählen Sie eine der Optionen aus: - Aktiviert mit UEFI-Sperre - Ohne Sperre aktiviert |
Wichtig
Wenn Sie Credential Guard remote deaktivieren möchten, wählen Sie die Option Ohne Sperre aktiviert aus.
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Tipp
Sie können Credential Guard auch mithilfe eines Kontoschutzprofils in der Endpunktsicherheit konfigurieren. Weitere Informationen finden Sie unter Kontoschutzrichtlinieneinstellungen für Endpunktsicherheit in Microsoft Intune.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.
| Einstellung |
|---|
| Einstellungsname: Virtualisierungsbasierte Sicherheit aktivieren OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityDatentyp: int Wert: 1 |
| Einstellungsname: Credential Guard-Konfiguration OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsDatentyp: int Wert: Aktiviert mit UEFI-Sperre: 1Ohne Sperre aktiviert: 2 |
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Überprüfen, ob Credential Guard aktiviert ist
Das Überprüfen des Task-Managers, ob LsaIso.exe ausgeführt wird, ist keine empfohlene Methode, um zu bestimmen, ob Credential Guard ausgeführt wird. Verwenden Sie stattdessen eine der folgenden Methoden:
- Systeminformationen
- PowerShell
- Ereignisanzeige
Systeminformationen
Mithilfe der Systeminformationen können Sie ermitteln, ob Credential Guard auf einem Gerät ausgeführt wird.
- Wählen Sie Start aus, geben Sie ein
msinfo32.exe, und wählen Sie dann Systeminformationen aus. - Systemzusammenfassung auswählen
- Vergewissern Sie sich, dass Credential Guard neben Ausgeführte virtualisierungsbasierte Sicherheitsdienste angezeigt wird.
PowerShell
Sie können PowerShell verwenden, um zu bestimmen, ob Credential Guard auf einem Gerät ausgeführt wird. Verwenden Sie in einer PowerShell-Sitzung mit erhöhten Rechten den folgenden Befehl:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
Der Befehl generiert die folgende Ausgabe:
- 0: Credential Guard ist deaktiviert (wird nicht ausgeführt)
- 1: Credential Guard ist aktiviert (wird ausgeführt)
Ereignisanzeige
Führen Sie regelmäßige Überprüfungen der Geräte durch, auf denen Credential Guard aktiviert ist, mithilfe von Sicherheitsüberwachungsrichtlinien oder WMI-Abfragen.
Öffnen Sie die Ereignisanzeige (eventvwr.exe), wechseln Sie zu Windows Logs\System , und filtern Sie die Ereignisquellen für WinInit:
Ereignis-ID
Beschreibung
13 (Informationen)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (Informationen)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- Die erste Variable: 0x1 oder 0x2 bedeutet, dass Credential Guard für die Ausführung konfiguriert ist. 0x0 bedeutet, dass es nicht für die Ausführung konfiguriert ist.
- Die zweite Variable: 0 bedeutet, dass sie für die Ausführung im Schutzmodus konfiguriert ist. 1 bedeutet, dass es für die Ausführung im Testmodus konfiguriert ist. Diese Variable sollte immer 0 sein.
15 (Warnung)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (Warnung)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
Das folgende Ereignis gibt an, ob TPM für den Schlüsselschutz verwendet wird. Pfad: Applications and Services logs > Microsoft > Windows > Kernel-Boot
Ereignis-ID
Beschreibung
51 (Informationen)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Wenn Sie mit einem TPM ausführen, ist der Wert der TPM-PCR-Maske etwas anderes als 0.
Deaktivieren von Credential Guard
Es gibt verschiedene Optionen zum Deaktivieren von Credential Guard. Welche Option Sie auswählen, hängt davon ab, wie Credential Guard konfiguriert ist:
- Credential Guard, das auf einem virtuellen Computer ausgeführt wird, kann vom Host deaktiviert werden.
- Wenn Credential Guard mit UEFI-Sperre aktiviert ist, führen Sie die unter Deaktivieren von Credential Guard mit UEFI-Sperre beschriebenen Verfahren aus.
- Wenn Credential Guard ohne UEFI-Sperre oder als Teil des Standardmäßigen Aktivierungsupdates aktiviert ist, verwenden Sie eine der folgenden Optionen, um es zu deaktivieren:
- Microsoft Intune/MDM
- Gruppenrichtlinie
- Registrierung
Die folgenden Anweisungen enthalten Einzelheiten zur Konfiguration Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Deaktivieren von Credential Guard mit Intune
Wenn Credential Guard über Intune und ohne UEFI-Sperre aktiviert ist, deaktiviert das Deaktivieren derselben Richtlinieneinstellung Credential Guard.
Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Device Guard | Credential Guard | Arbeitsunfähig |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.
| Einstellung |
|---|
| Einstellungsname: Credential Guard-Konfiguration OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsDatentyp: int Wert: 0 |
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Informationen zum Deaktivieren der virtualisierungsbasierten Sicherheit (VBS) finden Sie unter Deaktivieren der virtualisierungsbasierten Sicherheit.
Deaktivieren von Credential Guard mit UEFI-Sperre
Wenn Credential Guard mit UEFI-Sperre aktiviert ist, führen Sie dieses Verfahren aus, da die Einstellungen in EFI-Variablen (Firmware) beibehalten werden.
Hinweis
In diesem Szenario ist eine physische Anwesenheit auf dem Computer erforderlich, um eine Funktionstaste zu drücken, um die Änderung zu akzeptieren.
Führen Sie die Schritte unter Deaktivieren von Credential Guard aus.
Löschen Sie die EFI-Variablen von Credential Guard mithilfe von bcdedit. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /dStarten Sie das Gerät neu. Vor dem Start des Betriebssystems wird eine Eingabeaufforderung angezeigt, die benachrichtigt, dass UEFI geändert wurde, und fordert eine Bestätigung auf. Die Eingabeaufforderung muss bestätigt werden, damit die Änderungen beibehalten werden.
Deaktivieren von Credential Guard für einen virtuellen Computer
Auf dem Host können Sie Credential Guard für einen virtuellen Computer mit dem folgenden Befehl deaktivieren:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Deaktivieren der virtualisierungsbasierten Sicherheit
Wenn Sie virtualisierungsbasierte Sicherheit (VBS) deaktivieren, deaktivieren Sie automatisch Credential Guard und andere Features, die auf VBS basieren.
Wichtig
Andere Sicherheitsfeatures neben Credential Guard basieren auf VBS. Das Deaktivieren von VBS kann unbeabsichtigte Nebenwirkungen haben.
Verwenden Sie eine der folgenden Optionen, um VBS zu deaktivieren:
- Microsoft Intune/MDM
- Gruppenrichtlinie
- Registrierung
Die folgenden Anweisungen enthalten Einzelheiten zur Konfiguration Ihrer Geräte. Wählen Sie die Option, die Ihren Bedürfnissen am besten entspricht.
Deaktivieren von VBS mit Intune
Wenn VBS über Intune und ohne UEFI-Sperre aktiviert ist, deaktiviert das Deaktivieren derselben Richtlinieneinstellung VBS.
Erstellen Sie zum Konfigurieren von Geräten mit Microsoft Intune eine Einstellungskatalogrichtlinie , und verwenden Sie die folgenden Einstellungen:
| Kategorie | Einstellungsname | Wert |
|---|---|---|
| Device Guard | Aktivieren der virtualisierungsbasierten Sicherheit | Arbeitsunfähig |
Weisen Sie die Richtlinie einer Gruppe zu, die als Mitglieder die Geräte oder Benutzer enthält, die Sie konfigurieren möchten.
Alternativ können Sie Geräte mithilfe einer benutzerdefinierten Richtlinie mit dem DeviceGuard-Richtlinien-CSP konfigurieren.
| Einstellung |
|---|
| Einstellungsname: Virtualisierungsbasierte Sicherheit aktivieren OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityDatentyp: int Wert: 0 |
Nachdem die Richtlinie angewendet wurde, starten Sie das Gerät neu.
Wenn Credential Guard mit UEFI Lock aktiviert ist, müssen die in der Firmware gespeicherten EFI-Variablen mit dem Befehl bcdedit.exegelöscht werden. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle aus:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Nächste Schritte
- Lesen Sie die Ratschläge und den Beispielcode, um Ihre Umgebung mit Credential Guard sicherer und robuster zu gestalten, im Artikel Zusätzliche Risikominderungen .
- Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für