Gérer Windows Defender Credential Guard

Activation par défaut

À compter de Windows 11 Entreprise, version 22H2 et Windows 11 Éducation, version 22H2, les systèmes compatibles ont Windows Defender Credential Guard activée par défaut. Cette fonctionnalité modifie l’état par défaut de la fonctionnalité dans Windows, bien que les administrateurs système puissent toujours modifier cet état d’activation. Windows Defender Credential Guard peut toujours être activé ou désactivé manuellement via les méthodes décrites ci-dessous.

Les problèmes connus liés à l’activation par défaut sont documentés dans Windows Defender Credential Guard : Problèmes connus.

Configuration requise pour l’activation automatique

Windows Defender Credential Guard est activé par défaut lorsqu’un PC répond aux exigences minimales suivantes :

Composant Condition requise
Système d'exploitation Windows 11 Entreprise, version 22H2 ou Windows 11 Éducation, version 22H2
Configuration requise Windows Defender Credential Guard existante Seuls les appareils qui répondent à la configuration matérielle et logicielle requise pour exécuter Windows Defender Credential Guard sont activés par défaut.
Exigences de sécurité basée sur la virtualisation (VBS) VBS doit être activé pour exécuter Windows Defender Credential Guard. À compter de Windows 11 Entreprise 22H2 et Windows 11 Éducation 22H2, les appareils qui répondent à la configuration requise pour exécuter Windows Defender Credential Guard ainsi qu’aux exigences minimales pour activer VBS auront à la fois Windows Defender Credential Guard et VBS activé par défaut.

Remarque

Si Windows Defender Credential Guard ou VBS a été désactivé explicitement, l’activation par défaut ne remplace pas ce paramètre.

Remarque

Les appareils exécutant Windows 11 Professionnel 22H2 peuvent avoir Virtualization-Based Security (VBS) et/ou Windows Defender Credential Guard automatiquement activés s’ils répondent aux autres exigences d’activation par défaut répertoriées ci-dessus et ont précédemment exécuté Windows Defender Credential Guard (par exemple, si Windows Defender Credential Guard s’exécutait sur un appareil d’entreprise qui a ensuite été rétrogradé à Pro).

Pour déterminer si l’appareil Pro est dans cet état, vérifiez si la clé IsolatedCredentialsRootSecret de Registre est présente dans Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. Dans ce scénario, si vous souhaitez désactiver VBS et Windows Defender Credential Guard, suivez les instructions pour désactiver Virtualization-Based Security. Si vous souhaitez désactiver uniquement Windows Defender Credential Guard sans désactiver Virtualization-Based Security, utilisez les procédures de désactivation de Windows Defender Credential Guard.

Activer Windows Defender Credential Guard

Windows Defender Credential Guard peut être activé à l’aide de stratégie de groupe ou du registre. Credential Guard peut protéger les données confidentielles d’un ordinateur virtuel Hyper-V, comme il le ferait pour un ordinateur physique. Les procédures utilisées pour activer Windows Defender Credential Guard sur des ordinateurs physiques s’appliquent également aux machines virtuelles.

Remarque

Credential Guard et Device Guard ne sont pas pris en charge lors de l’utilisation de machines virtuelles Azure Gen 1. Ces options sont disponibles uniquement avec les machines virtuelles gen 2.

Activer Windows Defender Credential Guard à l'aide de la stratégie de groupe

Vous pouvez utiliser la stratégie de groupe pour activer Credential Guard. Lorsqu’elle est activée, elle ajoute et active les fonctionnalités de sécurité basées sur la virtualisation si nécessaire.

  1. À partir de la console de gestion stratégie de groupe, accédez à Configuration> ordinateurModèles d’administration>Système>Device Guard.

  2. Sélectionnez Activer la sécurité basée sur la virtualisation, puis sélectionnez l’option Activé .

  3. Dans le champ Sélectionner le niveau de sécurité de plateforme, choisissez Démarrage sécurisé ou Démarrage sécurisé et protection DMA.

  4. Dans la zone Configuration de Credential Guard , sélectionnez Activé avec verrouillage UEFI. Si vous voulez être en mesure de désactiver Credential Guard à distance, choisissez Activé sans verrouillage.

  5. Dans la zone Configuration du lancement sécurisé , choisissez Non configuré, Activé ou Désactivé. Pour plus d’informations, consultez System Guard Lancement sécurisé et protection SMM.

    Windows Defender paramètre de stratégie de groupe Credential Guard.

  6. Sélectionnez OK, puis fermez la console de gestion stratégie de groupe.

Pour appliquer le traitement de la stratégie de groupe, vous pouvez exécuter gpupdate /force.

Activer Windows Defender Credential Guard à l’aide de Microsoft Intune

  1. Dans le centre d’administration Intune, sélectionnez Appareils.

  2. Sélectionnez Profils de configuration.

  3. Sélectionnez Créer un profil>Windows 10 et versions ultérieures> Catalogue >de paramètresCréer.

    1. Paramètres de configuration : dans le sélecteur de paramètres, sélectionnez Device Guard comme catégorie et ajoutez les paramètres nécessaires.

Remarque

Activez VBS et démarrage sécurisé, et vous pouvez le faire avec ou sans verrouillage UEFI. Si vous devez désactiver Credential Guard à distance, activez-la sans verrouillage UEFI.

Astuce

Vous pouvez également configurer Credential Guard à l’aide d’un profil de protection de compte dans la sécurité du point de terminaison. Pour plus d’informations, consultez Paramètres de stratégie de protection de compte pour la sécurité des points de terminaison dans Microsoft Intune.

Activer Windows Defender Credential Guard à l’aide du Registre

Si vous n’utilisez pas de stratégie de groupe, vous pouvez activer Credential Guard à l’aide du Registre. Windows Defender Credential Guard utilise des fonctionnalités de sécurité basées sur la virtualisation qui doivent être activées en premier sur certains systèmes d’exploitation.

Ajouter les fonctionnalités de sécurité basée sur la virtualisation

À compter de Windows 10, version 1607 et Windows Server 2016, l’activation des fonctionnalités Windows pour utiliser la sécurité basée sur la virtualisation n’est pas nécessaire et cette étape peut être ignorée.

Si vous utilisez Windows 10, version 1507 (RTM) ou Windows 10, version 1511, les fonctionnalités Windows doivent être activées pour utiliser la sécurité basée sur la virtualisation. Pour l’activer, utilisez le Panneau de configuration ou l’outil de gestion et de maintenance des images de déploiement (DISM).

Remarque

Si vous activez Windows Defender Credential Guard à l’aide de la stratégie de groupe, les étapes pour activer les fonctionnalités de Windows via le Panneau de configuration ou DISM ne sont pas requises. La stratégie de groupe installera les fonctionnalités Windows pour vous.

Ajouter les fonctionnalités de sécurité basée sur la virtualisation à l’aide de Programmes et fonctionnalités
  1. Ouvrez le Panneau de configuration Programmes et fonctionnalités.

  2. Sélectionnez Activer ou désactiver la fonctionnalité Windows.

  3. Accédez à Plateforme Hyper-V>Hyper-V, puis cochez la case Hyperviseur Hyper-V .

  4. Cochez la case Mode utilisateur isolé tout en haut de la sélection de la fonctionnalité.

  5. Sélectionnez OK.

Ajouter les fonctionnalités de sécurité basée sur la virtualisation à une image hors ligne à l’aide de DISM
  1. Ouvrez une invite de commandes avec élévation de privilèges.

  2. Ajoutez l’hyperviseur Hyper-V en exécutant la commande suivante :

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. Ajoutez la fonctionnalité Mode utilisateur isolé en exécutant la commande suivante :

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Remarque

    Dans Windows 10 version 1607 et ultérieures, la fonctionnalité Mode utilisateur isolé a été intégrée au système d’exploitation principal. L’exécution de la commande à l’étape 3 ci-dessus n’est donc plus nécessaire.

Astuce

Vous pouvez également ajouter ces fonctionnalités à une image en ligne à l’aide de DISM ou du Gestionnaire de configuration.

Activer la sécurité basée sur la virtualisation et Credential Guard

  1. Ouvrez l’Éditeur du Registre.

  2. Activez la sécurité basée sur la virtualisation :

    1. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.

    2. Ajoutez une nouvelle valeur DWORD nommée EnableVirtualizationBasedSecurity. Définissez la valeur de ce paramètre de Registre sur 1 pour activer la sécurité basée sur la virtualisation et sur 0 pour le désactiver.

    3. Ajoutez une nouvelle valeur DWORD nommée RequirePlatformSecurityFeatures. Définissez la valeur de ce paramètre de Registre sur 1 pour utiliser Démarrage sécurisé uniquement ou sur 3 pour utiliser Démarrage sécurité et protection DMA.

  3. Activer Windows Defender Credential Guard :

    1. Accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Ajoutez une nouvelle valeur DWORD nommée LsaCfgFlags. Définissez la valeur de ce paramètre de Registre sur 1 pour activer Credential Guard avec verrouillage UEFI, sur 2 pour activer Credential Guard sans verrouillage et sur 0 pour le désactiver.

  4. Fermez l’Éditeur du Registre.

Remarque

Vous pouvez également activer Credential Guard en définissant les entrées de Registre dans le paramètre sans assistance FirstLogonCommands.

Passer en revue les performances de Windows Defender Credential Guard

Windows Defender Credential Guard est-il en cours d’exécution ?

Vous pouvez utiliser les informations système pour vérifier si Credential Guard est en cours d’exécution sur un PC.

  1. Sélectionnez Démarrer, tapez msinfo32.exe, puis sélectionnez Informations système.

  2. Sélectionnez Résumé du système.

  3. Vérifiez que Credential Guard s’affiche en regard de Services de sécurité basés sur la virtualisation en cours d’exécution.

    L’entrée « Services de sécurité basés sur la virtualisation en cours d’exécution » répertorie Credential Guard dans System Information (msinfo32.exe).

Remarque

En ce qui concerne les machines client qui exécutent Windows 10 1703, LsaIso.exe s'exécute chaque fois que la sécurité basée sur la virtualisation est activée pour d'autres fonctionnalités.

  • Nous recommandons d’activer Windows Defender Credential Guard avant l’association d'un appareil à un domaine. Si Windows Defender Credential Guard est activé après l'association à un domaine, les secrets utilisateur et appareil peuvent déjà être compromis. En d’autres termes, l’activation de Credential Guard n’aide pas à sécuriser un appareil ou une identité qui a déjà été compromis. Par conséquent, nous vous recommandons d’activer Credential Guard le plus tôt possible.

  • Vous devez passer régulièrement en revue les PC sur lesquels Windows Defender Credential Guard est activé. Vous pouvez utiliser des stratégies d’audit de sécurité ou des requêtes WMI. Voici une liste des ID d’événements WinInit à rechercher :

    • ID d’événement 13 Credential Guard (LsaIso.exe) a été démarré et protège les informations d’identification de l’autorité de sécurité locale.

    • Id d’événement 14 Windows Defender Configuration de Credential Guard (LsaIso.exe) : [0x0 | 0x1 | 0x2], 0

      • La première variable : 0x1 ou 0x2 signifie qu’Windows Defender Credential Guard est configuré pour s’exécuter. 0x0 signifie qu’il n’est pas configuré pour s’exécuter.

      • La deuxième variable : 0 signifie qu’elle est configurée pour s’exécuter en mode de protection. 1 signifie qu’il est configuré pour s’exécuter en mode test. Cette variable doit toujours être égale à 0.

    • L’ID d’événement 15 Windows Defender Credential Guard (LsaIso.exe) est configuré, mais le noyau sécurisé n’est pas en cours d’exécution; continue sans Windows Defender Credential Guard.

    • L’ID d’événement 16 Windows Defender Credential Guard (LsaIso.exe) n’a pas pu être lancé : [code d’erreur]

    • ID d’événement 17 Erreur lors de la lecture de la configuration UEFI Windows Defender Credential Guard (LsaIso.exe) : [code d’erreur]

  • Vous pouvez également vérifier que le module TPM est utilisé pour la protection des clés en vérifiant l’ID d’événement 51 dans le journal des événements des journaux des applications > et des services Microsoft > Windows > Kernel-Boot . Le texte complet de l’événement se lit comme suit : VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. Si vous exécutez avec un module TPM, la valeur du masque PCR du module de plateforme sécurisée est autre que 0.

  • Vous pouvez utiliser Windows PowerShell pour déterminer si credential guard est en cours d’exécution sur un ordinateur client. Sur l’ordinateur en question, ouvrez une fenêtre PowerShell avec élévation de privilèges et exécutez la commande suivante :

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    Cette commande génère la sortie suivante :

    • 0 : Windows Defender Credential Guard est désactivé (en cours d’exécution)

    • 1 : Windows Defender Credential Guard est activé (en cours d’exécution)

      Remarque

      La vérification de la liste des tâches ou du Gestionnaire des tâches pour voir si LSAISO.exe est en cours d’exécution n’est pas une méthode recommandée pour déterminer si Windows Defender Credential Guard est en cours d’exécution.

Désactiver Windows Defender Credential Guard

Windows Defender Credential Guard peut être désactivé via plusieurs méthodes expliquées ci-dessous, en fonction de la façon dont la fonctionnalité a été activée. Pour les appareils qui avaient Windows Defender Credential Guard automatiquement activé dans la mise à jour 22H2 et qui ne l’avaient pas activée avant la mise à jour, il suffit de désactiver via stratégie de groupe.

Si Windows Defender Credential Guard a été activé avec le verrouillage UEFI, la procédure décrite dans Désactivation de Windows Defender Credential Guard avec le verrouillage UEFI doit être suivie. Le changement d’activation par défaut dans les appareils 22H2 éligibles n’utilise pas de verrou UEFI.

Si Windows Defender Credential Guard a été activé via stratégie de groupe sans verrouillage UEFI, Windows Defender Credential Guard doit être désactivé via stratégie de groupe.

Sinon, Windows Defender Credential Guard peut être désactivé en modifiant les clés de Registre.

Windows Defender Credential Guard en cours d’exécution sur une machine virtuelle peut être désactivé par l’hôte.

Pour plus d’informations sur la désactivation de Virtualization-Based Security (VBS), consultez Désactivation de Virtualization-Based Security.

Désactivation de Windows Defender Credential Guard à l’aide de stratégie de groupe

Si Windows Defender Credential Guard a été activé via stratégie de groupe et sans verrouillage UEFI, la désactivation du même paramètre de stratégie de groupe désactive Windows Defender Credential Guard.

  1. Désactivez le paramètre stratégie de groupe qui régit Windows Defender Credential Guard. Accédez à Configuration> ordinateurModèles d’administration>Système>Device Guard>Activer la sécurité basée sur la virtualisation. Dans la section « Configuration de Credential Guard », définissez la valeur de la liste déroulante sur « Désactivé » :

    Windows Defender Credential Guard stratégie de groupe défini sur Désactivé.

  2. Redémarrez l’ordinateur.

Désactivation de Windows Defender Credential Guard à l’aide de clés de Registre

Si Windows Defender Credential Guard a été activé sans verrouillage UEFI et sans stratégie de groupe, il suffit de modifier les clés de Registre comme décrit ci-dessous pour désactiver Windows Defender Credential Guard.

  1. Remplacez les paramètres de Registre suivants par 0 :

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

      Remarque

      La suppression de ces paramètres de Registre peut ne pas désactiver Windows Defender Credential Guard. Ils doivent être définis sur la valeur 0.

  2. Redémarrez l’ordinateur.

Désactivation de Windows Defender Credential Guard avec le verrouillage UEFI

Si Windows Defender Credential Guard a été activé avec le verrouillage UEFI activé, la procédure suivante doit être suivie, car les paramètres sont conservés dans les variables EFI (microprogramme). Ce scénario nécessite une présence physique sur l’ordinateur pour appuyer sur une touche de fonction pour accepter la modification.

  1. Si stratégie de groupe a été utilisé pour activer Windows Defender Credential Guard, désactivez le paramètre de stratégie de groupe approprié. Accédez à Configuration> ordinateurModèles d’administration>Système>Device Guard>Activer la sécurité basée sur la virtualisation. Dans la section « Configuration de Credential Guard », définissez la valeur de la liste déroulante sur « Désactivé ».

  2. Remplacez les paramètres de Registre suivants par 0 :

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

  3. Supprimez les variables EFI de Credential Guard à l’aide de BCDEdit. À partir d’une invite de commandes avec élévation de privilèges, tapez les commandes suivantes :

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  4. Redémarrez le PC. Avant le démarrage du système d’exploitation, une invite s’affiche pour informer que UEFI a été modifié et demander confirmation. Cette invite doit être confirmée pour que les modifications soient conservées. Cette étape nécessite un accès physique à la machine.

Désactiver Credential Guard pour un ordinateur virtuel

À partir de l’hôte, vous pouvez désactiver Credential Guard pour un ordinateur virtuel :

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Désactivation de la sécurité Virtualization-Based

Les instructions ci-dessous expliquent comment désactiver entièrement Virtualization-Based Security (VBS), plutôt que simplement Windows Defender Credential Guard. La désactivation de Virtualization-Based Security désactive automatiquement Windows Defender Credential Guard et d’autres fonctionnalités qui s’appuient sur VBS.

Important

D’autres fonctionnalités de sécurité, en plus de Windows Defender Credential Guard, s’appuient sur Virtualization-Based Security pour s’exécuter. La désactivation de Virtualization-Based Security peut avoir des effets secondaires inattendus.

  1. Si stratégie de groupe a été utilisé pour activer Virtualization-Based Sécurité, définissez le paramètre de stratégie de groupe qui a été utilisé pour l’activer (Configuration> ordinateurModèles> d’administrationSystème>Device Guard>Activer la sécurité basée sur la virtualisation) sur « Désactivé ».

  2. Supprimez les paramètres de Registre suivants :

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Important

      Si vous supprimez manuellement ces paramètres du Registre, veillez à les supprimer dans leur intégralité. Si vous ne les supprimez pas tous, l’appareil risque de passer en récupération BitLocker.

  3. Si Windows Defender Credential Guard est en cours d’exécution lors de la désactivation de Virtualization-Based Security et que l’une ou l’autre des fonctionnalités a été activée avec le verrouillage UEFI, les variables EFI (microprogramme) doivent être effacées à l’aide de bcdedit. À partir d’une invite de commandes avec élévation de privilèges, exécutez les commandes bcdedit suivantes après avoir désactivé tous les paramètres Virtualization-Based Security stratégie de groupe et du Registre, comme décrit dans les étapes 1 et 2 ci-dessus :

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    
  4. Redémarrez le PC.