Verwalten von Windows Defender Credential Guard

• Gilt für:

  ✅ Windows 10 and later, ✅ Windows Server 2016 and later

Standardaktivierung

Ab Windows 11 Enterprise Version 22H2 und Windows 11 Education Version 22H2 ist für kompatible Systeme Windows Defender Credential Guard standardmäßig aktiviert. Dieses Feature ändert den Standardstatus des Features in Windows, obwohl Systemadministratoren diesen Aktivierungsstatus weiterhin ändern können. Windows Defender Credential Guard kann weiterhin manuell über die unten beschriebenen Methoden aktiviert oder deaktiviert werden.

Bekannte Probleme, die sich aus der Standardaktivierung ergeben, sind unter Windows Defender Credential Guard: Bekannte Probleme dokumentiert.

Anforderungen für die automatische Aktivierung

Windows Defender Credential Guard wird standardmäßig aktiviert, wenn ein PC die folgenden Mindestanforderungen erfüllt:

Komponente	Anforderung
Betriebssystem	Windows 11 Enterprise Version 22H2 oder Windows 11 Education, Version 22H2
Vorhandene anforderungen an Windows Defender Credential Guard	Nur geräte, die die vorhandenen Hardware- und Softwareanforderungen erfüllen, um Windows Defender Credential Guard auszuführen, ist dies standardmäßig aktiviert.
Anforderungen an virtualisierungsbasierte Sicherheit (VBS)	VBS muss aktiviert sein, um Windows Defender Credential Guard ausführen zu können. Ab Windows 11 Enterprise 22H2 und Windows 11 Education 22H2 verfügen Geräte, die die Anforderungen für die Ausführung von Windows Defender Credential Guard sowie die Mindestanforderungen zum Aktivieren von VBS erfüllen, sowohl über Windows Defender Credential Guard als auch über VBS. Standardmäßig aktiviert.

Hinweis

Wenn Windows Defender Credential Guard oder VBS zuvor explizit deaktiviert wurde, überschreibt die Standardaktivierung diese Einstellung nicht.

Hinweis

Geräte mit Windows 11 Pro 22H2 verfügen möglicherweise über Virtualization-Based Security (VBS) und/oder Windows Defender Credential Guard automatisch aktiviert, wenn sie die anderen oben aufgeführten Anforderungen für die Standardaktivierung erfüllen und zuvor Windows Defender Credential Guard ausgeführt haben (z. B. wenn Windows Defender Credential Guard wurde auf einem Enterprise-Gerät ausgeführt, das später auf Pro herabgestuft wurde.

Um zu ermitteln, ob sich das Pro-Gerät in diesem Zustand befindet, überprüfen Sie, ob der Registrierungsschlüssel IsolatedCredentialsRootSecret in Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0vorhanden ist. Wenn Sie VBS und Windows Defender Credential Guard deaktivieren möchten, befolgen Sie in diesem Szenario die Anweisungen zum Deaktivieren von Virtualization-Based Security. Wenn Sie nur Windows Defender Credential Guard deaktivieren möchten, ohne Virtualization-Based Security zu deaktivieren, verwenden Sie die Verfahren zum Deaktivieren von Windows Defender Credential Guard.

Aktivieren von Windows Defender Credential Guard

Windows Defender Credential Guard kann entweder mithilfe von Gruppenrichtlinie oder der Registrierung aktiviert werden. Windows Defender Credential Guard kann geheime Schlüssel auf einem virtuellen Hyper-V-Computer genau wie auf einem physischen Computer schützen. Sie können Windows Defender Credential Guard auf virtuellen Computern auf dieselbe Weise aktivieren wie auf physischen Computern.

Hinweis

Credential Guard und Device Guard werden bei Verwendung von Azure Gen 1-VMs nicht unterstützt. Diese Optionen sind nur für VMs der Generation 2 verfügbar.

Aktivieren von Windows Defender Credential Guard mithilfe der Gruppenrichtlinie

Sie können Gruppenrichtlinien zum Aktivieren von Windows Defender Credential Guard verwenden. Wenn diese Option aktiviert ist, werden bei Bedarf die virtualisierungsbasierten Sicherheitsfeatures für Sie hinzugefügt und aktiviert.

1. Wechseln Sie in der Gruppenrichtlinie Management Console zu Computerkonfiguration>Administrative Vorlagen>System>Device Guard.

2. Wählen Sie Virtualisierungsbasierte Sicherheit aktivieren und dann die Option Aktiviert aus.

3. Wählen Sie im Feld Plattform-Sicherheitsstufe auswählen die Option Sicherer Start oder Sicherer Start und DMA-Schutz aus.

4. Wählen Sie im Feld Credential Guard-Konfiguration die Option Mit UEFI-Sperre aktiviert aus. Wenn Sie die Möglichkeit zur Remotedeaktivierung von Windows Defender Credential Guard haben möchten, wählen Sie Ohne Sperre aktiviert aus.

5. Wählen Sie im Feld Konfiguration für den sicheren Startdie Option Nicht konfiguriert, Aktiviert oder Deaktiviert aus. Weitere Informationen finden Sie unter Systemüberwachung Sicherer Start und SMM-Schutz.

   

6. Wählen Sie OK aus, und schließen Sie dann die Gruppenrichtlinie Management Console.

Führen Sie gpupdate /force aus, um die Verarbeitung der Gruppenrichtlinie zu erzwingen.

Aktivieren von Windows Defender Credential Guard mithilfe von Microsoft Intune

1. Wählen Sie im Intune Admin Centerdie Option Geräte aus.

2. Wählen Sie Konfigurationsprofile aus.

3. Wählen Sie Profil> erstellen Windows 10 und höher>Einstellungskatalog>Erstellen aus.

   1. Konfigurationseinstellungen: Wählen Sie in der Einstellungsauswahl Device Guard als Kategorie aus, und fügen Sie die erforderlichen Einstellungen hinzu.

Hinweis

Aktivieren Sie VBS und den sicheren Start, und Sie können dies mit oder ohne UEFI-Sperre tun. Wenn Sie Credential Guard remote deaktivieren müssen, aktivieren Sie es ohne UEFI-Sperre.

Tipp

Sie können Credential Guard auch mithilfe eines Kontoschutzprofils in der Endpunktsicherheit konfigurieren. Weitere Informationen finden Sie unter Kontoschutzrichtlinieneinstellungen für Endpunktsicherheit in Microsoft Intune.

Aktivieren von Windows Defender Credential Guard mithilfe der Registrierung

Wenn Sie keine Gruppenrichtlinien verwenden, können Sie Windows Defender Credential Guard mithilfe der Registrierung aktivieren. Windows Defender Credential Guard verwendet virtualisierungsbasierte Sicherheitsfeatures, die auf einigen Betriebssystemen zuerst aktiviert werden müssen.

Hinzufügen der virtualisierungsbasierten Sicherheitsfunktionen

Ab Windows 10 Version 1607 und Windows Server 2016 ist die Aktivierung von Windows-Features für die Verwendung virtualisierungsbasierter Sicherheit nicht erforderlich, und dieser Schritt kann übersprungen werden.

Wenn Sie Windows 10 Version 1507 (RTM) oder Windows 10 Version 1511 verwenden, müssen Windows-Features aktiviert werden, um virtualisierungsbasierte Sicherheit zu verwenden. Verwenden Sie zum Aktivieren das Systemsteuerung oder das Tool für die Imagewartung und -verwaltung für die Bereitstellung (Deployment Image Servicing and Management, DISM).

Hinweis

Wenn Sie Windows Defender Credential Guard über Gruppenrichtlinien aktivieren, sind die Schritte zum Aktivieren von Windows-Features über die Systemsteuerung oder DISM nicht nötig. Die Gruppenrichtlinien installieren Windows-Funktionen für Sie.

Hinzufügen der virtualisierungsbasierten Sicherheitsfunktionen mit „Programme und Funktionen”

1. Öffnen Sie in der Systemsteuerung „Programme und Funktionen”.

2. Wählen Sie Windows-Feature aktivieren oder deaktivieren aus.

3. Wechseln Sie zu Hyper-V>Hyper-V-Plattform, und aktivieren Sie dann das Kontrollkästchen Hyper-V-Hypervisor .

4. Aktivieren Sie auf oberster Ebene der Featureauswahl das Kontrollkästchen Isolierter Benutzermodus.

5. Wählen Sie OK aus.

Hinzufügen der virtualisierungsbasierten Sicherheitsfunktionen zu einem Offlineimage mit DISM

1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.

2. Fügen Sie den Hyper-V-Hypervisor mit dem folgenden Befehl hinzu:

   dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
   

3. Fügen Sie das Feature für den isolierten Benutzermodus mit dem folgenden Befehl hinzu:

   dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
   

   Hinweis

   In Windows 10 Version 1607 und höher wurde das Feature Isolierter Benutzermodus in das Kernbetriebssystem integriert. Das Ausführen des Befehls in Schritt 3 oben ist daher nicht mehr erforderlich.

Tipp

Sie können diese Features auch einem Onlineimage hinzufügen, indem Sie entweder DISM oder Configuration Manager nutzen.

Aktivieren von virtualisierungsbasierter Sicherheit und Windows Defender Credential Guard

1. Öffnen Sie den Registrierungs-Editor.

2. Aktivieren Sie die virtualisierungsbasierte Sicherheit:

   1. Wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.

   2. Fügen Sie einen neuen DWORD-Wert mit dem Namen EnableVirtualizationBasedSecurity hinzu. Legen Sie den Wert dieser Registrierungseinstellung auf 1 fest, um die virtualisierungsbasierte Sicherheit zu aktivieren, und legen Sie den Wert auf 0 fest, um sie zu deaktivieren.

   3. Fügen Sie einen neuen DWORD-Wert mit dem Namen RequirePlatformSecurityFeatures hinzu. Legen Sie den Wert dieser Registrierungseinstellung auf 1 fest, um nur Sicherer Start zu verwenden, oder legen Sie ihn auf 3 fest, um Sicherer Start und DMA-Schutz zu verwenden.

3. Aktivieren Sie Windows Defender Credential Guard:

   1. Wechseln Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

   2. Fügen Sie einen neuen DWORD-Wert mit dem Namen LsaCfgFlags hinzu. Legen Sie den Wert dieser Registrierungseinstellung auf 1 fest, um Windows Defender Credential Guard mit UEFI-Sperre zu aktivieren. Legen Sie ihn auf 2 fest, um Windows Defender Credential Guard ohne Sperre zu aktivieren, und legen Sie ihn zum Deaktivieren auf 0 fest.

4. Schließen Sie den Registrierungs-Editor.

Hinweis

Sie können Windows Defender Credential Guard auch aktivieren, indem Sie die Registrierungseinträge in der Einstellung FirstLogonCommands für die unbeaufsichtigte Installation festlegen.

Überprüfen der Leistung von Windows Defender Credential Guard

Wird Windows Defender Credential Guard ausgeführt?

Über Systeminformationen können Sie sicherstellen, dass Windows Defender Credential Guard auf einem PC ausgeführt wird.

1. Wählen Sie Start aus, geben Siemsinfo32.exeein, und wählen Sie dann Systeminformationen aus.

2. Wählen Sie Systemzusammenfassung aus.

3. Vergewissern Sie sich, dass Credential Guard neben Virtualisierungsbasierte Sicherheitsdienste ausgeführt angezeigt wird.

   

Hinweis

Auf Clientcomputern mit Windows 10 1703 wird Lsalso.exe ausgeführt, wenn die virtualisierungsbasierte Sicherheit für andere Features aktiviert ist.

• Aktivieren Sie deshalb Windows Defender Credential Guard, bevor ein Gerät einer Domäne beitritt. Wenn Windows Defender Credential Guard auf einem Gerät aktiviert wird, nachdem es einer Domäne beigetreten ist, können die geheimen Schlüssel der Benutzer und Geräte bereits beeinträchtigt worden sein. Anders ausgedrückt: Die Aktivierung von Credential Guard trägt nicht dazu bei, ein Gerät oder eine Identität zu schützen, das bereits kompromittiert wurde. Daher wird empfohlen, Credential Guard so früh wie möglich zu aktivieren.

• Sie sollten regelmäßige Überprüfungen der PCs durchführen, für die Windows Defender Credential Guard aktiviert ist. Sie können Sicherheitsüberwachungsrichtlinien oder WMI-Abfragen verwenden. Suchen Sie nach den folgenden WinInit-Ereignis-IDs:

  • Ereignis-ID 13 Windows Defender Credential Guard (LsaIso.exe) wurde gestartet und schützt LSA-Anmeldeinformationen.

  • Ereignis-ID 14 Windows Defender Credential Guard-Konfiguration (LsaIso.exe): [0x0 | 0x1 | 0x2], 0

    • Die erste Variable: 0x1 oder 0x2 bedeutet, dass Windows Defender Credential Guard für die Ausführung konfiguriert ist. 0x0 bedeutet, dass es nicht für die Ausführung konfiguriert ist.

    • Die zweite Variable: 0 bedeutet, dass sie für die Ausführung im Schutzmodus konfiguriert ist. 1 bedeutet, dass es für die Ausführung im Testmodus konfiguriert ist. Diese Variable sollte immer 0 sein.

  • Die Ereignis-ID 15 Windows Defender Credential Guard (LsaIso.exe) ist konfiguriert, aber der sichere Kernel wird nicht ausgeführt. Der Vorgang wird ohne Windows Defender Credential Guard fortgesetzt.

  • Ereignis-ID 16 Windows Defender Credential Guard (LsaIso.exe) konnte nicht gestartet werden: [Fehlercode]

  • Ereignis-ID 17 Fehler beim Lesen Windows Defender UEFI-Konfiguration von Credential Guard (LsaIso.exe): [Fehlercode]

• Sie können auch überprüfen, ob TPM für den Schlüsselschutz verwendet wird, indem Sie die Ereignis-ID 51 im Microsoft > Windows > Kernel-Boot-Ereignisprotokoll für Anwendungen und Dienste > überprüfen. Der vollständige Ereignistext lautet wie folgt: VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. Wenn Sie mit einem TPM ausführen, ist der Wert der TPM-PCR-Maske etwas anderes als 0.

• Sie können Windows PowerShell verwenden, um zu bestimmen, ob Credential Guard auf einem Clientcomputer ausgeführt wird. Öffnen Sie auf dem betreffenden Computer ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

  (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
  

  Dieser Befehl generiert die folgende Ausgabe:

  • 0: Windows Defender Credential Guard deaktiviert ist (wird nicht ausgeführt)

  • 1: Windows Defender Credential Guard aktiviert ist (wird ausgeführt)

    Hinweis

    Das Überprüfen der Aufgabenliste oder des Task-Managers, um festzustellen, ob LSAISO.exe ausgeführt wird, ist keine empfohlene Methode, um festzustellen, ob Windows Defender Credential Guard ausgeführt wird.

Deaktivieren Sie Windows Defender Credential Guard

Windows Defender Credential Guard kann über mehrere unten erläuterte Methoden deaktiviert werden, je nachdem, wie das Feature aktiviert wurde. Für Geräte, auf denen Windows Defender Credential Guard im Update 22H2 automatisch aktiviert wurde und vor dem Update nicht aktiviert wurde, reicht es aus, über Gruppenrichtlinie zu deaktivieren.

Wenn Windows Defender Credential Guard mit UEFI-Sperre aktiviert wurde, muss das unter Deaktivieren von Windows Defender Credential Guard mit UEFI-Sperre beschriebene Verfahren befolgt werden. Die Standardaktivierungsänderung für berechtigte 22H2-Geräte verwendet keine UEFI-Sperre.

Wenn Windows Defender Credential Guard über Gruppenrichtlinie ohne UEFI-Sperre aktiviert wurde, sollte Windows Defender Credential Guard über Gruppenrichtlinie deaktiviert werden.

Andernfalls kann Windows Defender Credential Guard durch Ändern von Registrierungsschlüsseln deaktiviert werden.

Windows Defender Credential Guard, das auf einem virtuellen Computer ausgeführt wird, kann vom Host deaktiviert werden.

Informationen zum Deaktivieren von Virtualization-Based Security (VBS) finden Sie unter Deaktivieren Virtualization-Based Security.

Deaktivieren von Windows Defender Credential Guard mithilfe von Gruppenrichtlinie

Wenn Windows Defender Credential Guard über Gruppenrichtlinie und ohne UEFI-Sperre aktiviert wurde, deaktiviert das Deaktivieren derselben Gruppenrichtlinie Einstellung Windows Defender Credential Guard.

1. Deaktivieren Sie die einstellung Gruppenrichtlinie, die Windows Defender Credential Guard steuert. Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>System>Device Guard>Virtualisierungsbasierte Sicherheit aktivieren. Legen Sie im Abschnitt "Credential Guard-Konfiguration" den Dropdownwert auf "Deaktiviert" fest:

   

2. Starten Sie den Computer neu.

Deaktivieren von Windows Defender Credential Guard mithilfe von Registrierungsschlüsseln

Wenn Windows Defender Credential Guard ohne UEFI-Sperre und ohne Gruppenrichtlinie aktiviert wurde, reicht es aus, die Registrierungsschlüssel wie unten beschrieben zu bearbeiten, um Windows Defender Credential Guard zu deaktivieren.

1. Ändern Sie die folgenden Registrierungseinstellungen in 0:

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

     Hinweis

     Durch das Löschen dieser Registrierungseinstellungen wird Windows Defender Credential Guard möglicherweise nicht deaktiviert. Sie müssen auf den Wert 0 festgelegt werden.

2. Starten Sie den Computer neu.

Deaktivieren von Windows Defender Credential Guard mit UEFI-Sperre

Wenn Windows Defender Credential Guard mit aktivierter UEFI-Sperre aktiviert war, muss das folgende Verfahren befolgt werden, da die Einstellungen in EFI-Variablen (Firmware) beibehalten werden. Dieses Szenario erfordert physische Anwesenheit auf dem Computer, um eine Funktionstaste zu drücken, um die Änderung zu akzeptieren.

1. Wenn Gruppenrichtlinie verwendet wurde, um Windows Defender Credential Guard zu aktivieren, deaktivieren Sie die entsprechende Gruppenrichtlinie Einstellung. Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>System>Device Guard>Virtualisierungsbasierte Sicherheit aktivieren. Legen Sie im Abschnitt "Credential Guard-Konfiguration" den Dropdownwert auf "Deaktiviert" fest.

2. Ändern Sie die folgenden Registrierungseinstellungen in 0:

   • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

3. Löschen Sie die EFI-Variablen von Windows Defender Credential Guard mithilfe von bcdedit. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:

   mountvol X: /s
   copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   mountvol X: /d
   

4. Starten Sie den PC neu. Vor dem Start des Betriebssystems wird eine Eingabeaufforderung angezeigt, die benachrichtigt, dass UEFI geändert wurde, und fordert eine Bestätigung auf. Diese Aufforderung muss bestätigt werden, damit die Änderungen beibehalten werden. Dieser Schritt erfordert physischen Zugriff auf den Computer.

Deaktivieren von Windows Defender Credential Guard für einen virtuellen Computer

Vom Host aus können Sie Windows Defender Credential Guard für einen virtuellen Computer deaktivieren:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Deaktivieren der Virtualization-Based-Sicherheit

Im Folgenden finden Sie Anweisungen zum vollständigen Deaktivieren von Virtualization-Based Security (VBS), anstatt nur Windows Defender Credential Guard. Wenn Sie Virtualization-Based Security deaktivieren, werden Windows Defender Credential Guard und andere Features, die auf VBS basieren, automatisch deaktiviert.

Wichtig

Andere Sicherheitsfeatures neben Windows Defender Credential Guard basieren zum Ausführen auf Virtualization-Based Security. Das Deaktivieren von Virtualization-Based Security kann unbeabsichtigte Nebenwirkungen haben.

1. Wenn Gruppenrichtlinie verwendet wurde, um Virtualization-Based Sicherheit zu aktivieren, legen Sie die Gruppenrichtlinie Einstellung, die verwendet wurde, um sie zu aktivieren (Computerkonfiguration>Administrative Vorlagen>System>Device Guard>Virtualisierungsbasierte Sicherheit aktivieren) auf "Deaktiviert" fest.

2. Löschen Sie die folgenden Registrierungseinstellungen:

   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

   • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

     Wichtig

     Wenn Sie diese Registrierungseinstellungen manuell entfernen, stellen Sie sicher, dass Sie alle löschen. Wenn Sie nicht alle entfernen, kann das Gerät zur BitLocker-Wiederherstellung wechseln.

3. Wenn Windows Defender Credential Guard beim Deaktivieren von Virtualization-Based Security ausgeführt wird und beide Features mit UEFI-Sperre aktiviert wurden, müssen die EFI-Variablen (Firmware) mithilfe von bcdedit gelöscht werden. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten die folgenden bcdedit-Befehle aus, nachdem Sie alle Virtualization-Based Security Gruppenrichtlinie- und Registrierungseinstellungen wie oben in Den Schritten 1 und 2 beschrieben deaktiviert haben:

   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
   bcdedit /set vsmlaunchtype off
   

4. Starten Sie den PC neu.