Configurare Credential Guard

Questo articolo descrive come configurare Credential Guard usando Microsoft Intune, Criteri di gruppo o il Registro di sistema.

Abilitazione predefinita

A partire da Windows 11 versione 22H2, Credential Guard è attivato per impostazione predefinita nei dispositivi che soddisfano i requisiti. L'abilitazione predefinita è senza blocco UEFI, che consente agli amministratori di disabilitare Credential Guard in remoto, se necessario.

Se Credential Guard o VBS sono disabilitati prima che un dispositivo venga aggiornato a Windows 11 versione 22H2 o successiva, l'abilitazione predefinita non sovrascrive le impostazioni esistenti.

Anche se lo stato predefinito di Credential Guard è stato modificato, gli amministratori di sistema possono abilitarlo o disabilitarlo usando uno dei metodi descritti in questo articolo.

Importante

Per informazioni sui problemi noti relativi all'abilitazione predefinita, vedere Credential Guard: problemi noti.

Nota

I dispositivi che eseguono Windows 11 Pro/Pro Edu 22H2 o versioni successive possono avere la sicurezza basata su virtualizzazione (VBS) e/o Credential Guard abilitata automaticamente se soddisfano gli altri requisiti per l'abilitazione predefinita e hanno eseguito in precedenza Credential Guard. Ad esempio, se Credential Guard è stato abilitato in un dispositivo Enterprise che in seguito ha eseguito il downgrade a Pro.

Per determinare se il dispositivo Pro è in questo stato, verificare se esiste la chiave del Registro di sistema seguente: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. In questo scenario, se si vuole disabilitare VBS e Credential Guard, seguire le istruzioni per disabilitare la sicurezza basata su virtualizzazione. Se si vuole disabilitare solo Credential Guard, senza disabilitare VBS, usare le procedure per disabilitare Credential Guard.

Abilitare Credential Guard

Credential Guard deve essere abilitato prima che un dispositivo venga aggiunto a un dominio o prima che un utente di dominio acceda per la prima volta. Se Credential Guard è abilitato dopo l'aggiunta al dominio, i segreti dell'utente e del dispositivo potrebbero essere già compromessi.

Per abilitare Credential Guard, è possibile usare:

  • Microsoft Intune/MDM
  • Criteri di gruppo
  • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.

Configurare Credential Guard con Intune

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Device Guard Credential Guard Selezionare una delle opzioni seguenti:
 - Abilitato con blocco UEFI
 - Abilitato senza blocco

Importante

Se si vuole essere in grado di disattivare Credential Guard in remoto, scegliere l'opzione Abilitato senza blocco.

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

Suggerimento

È anche possibile configurare Credential Guard usando un profilo di protezione dell'account nella sicurezza degli endpoint. Per altre informazioni, vedere Impostazioni dei criteri di protezione degli account per la sicurezza degli endpoint in Microsoft Intune.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione Criteri DeviceGuard.

Impostazione
Nome impostazione: Attivare la sicurezza basata sulla virtualizzazione
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo di dati: int
Valore: 1
Nome impostazione: Configurazione di Credential Guard
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo di dati: int
Valore:
Abilitato con blocco UEFI: 1
Abilitato senza blocco: 2

Dopo aver applicato i criteri, riavviare il dispositivo.

Verificare se Credential Guard è abilitato

Controllare Gestione attività se LsaIso.exe è in esecuzione non è un metodo consigliato per determinare se Credential Guard è in esecuzione. Usare invece uno dei metodi seguenti:

  • System Information
  • PowerShell
  • Visualizzatore eventi

System Information

È possibile usare System Information per determinare se Credential Guard è in esecuzione in un dispositivo.

  1. Selezionare Start, digitare msinfo32.exee quindi selezionare System Information (Informazioni di sistema)
  2. Selezionare Riepilogo sistema
  3. Verificare che Credential Guard sia visualizzato accanto a Servizi di sicurezza basati su virtualizzazione in esecuzione

PowerShell

È possibile usare PowerShell per determinare se Credential Guard è in esecuzione in un dispositivo. Da una sessione di PowerShell con privilegi elevati usare il comando seguente:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Il comando genera l'output seguente:

  • 0: Credential Guard è disabilitato (non in esecuzione)
  • 1: Credential Guard è abilitato (in esecuzione)

Visualizzatore eventi

Eseguire revisioni regolari dei dispositivi con Credential Guard abilitato, usando criteri di controllo di sicurezza o query WMI.
Aprire il Visualizzatore eventi (eventvwr.exe) e passare a Windows Logs\System e filtrare le origini eventi per WinInit:

ID evento

Descrizione

13 (Informazioni)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informazioni)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • La prima variabile: 0x1 o 0x2 indica che Credential Guard è configurato per l'esecuzione. 0x0 significa che non è configurato per l'esecuzione.
  • La seconda variabile: 0 indica che è configurato per l'esecuzione in modalità di protezione. 1 significa che è configurato per l'esecuzione in modalità di test. Questa variabile deve essere sempre 0.

15 (Avviso)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Avviso)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

L'evento seguente indica se il TPM viene usato per la protezione delle chiavi. Percorso: Applications and Services logs > Microsoft > Windows > Kernel-Boot

ID evento

Descrizione

51 (informazioni)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Se si esegue con un TPM, il valore della maschera PCR TPM è diverso da 0.

Disabilitare Credential Guard

Esistono diverse opzioni per disabilitare Credential Guard. L'opzione scelta dipende dalla configurazione di Credential Guard:

  • Credential Guard in esecuzione in una macchina virtuale può essere disabilitato dall'host
  • Se Credential Guard è abilitato con blocco UEFI, seguire la procedura descritta in disabilitare Credential Guard con blocco UEFI
  • Se Credential Guard è abilitato senza blocco UEFI o come parte dell'abilitazione automatica nell'aggiornamento Windows 11 versione 22H2, usare una delle opzioni seguenti per disabilitarlo:
    • Microsoft Intune/MDM
    • Criteri di gruppo
    • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.

Disabilitare Credential Guard con Intune

Se Credential Guard è abilitato tramite Intune e senza blocco UEFI, la disabilitazione della stessa impostazione dei criteri disabilita Credential Guard.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Device Guard Credential Guard Disabilitato

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione Criteri DeviceGuard.

Impostazione
Nome impostazione: Configurazione di Credential Guard
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo di dati: int
Valore: 0

Dopo aver applicato i criteri, riavviare il dispositivo.

Per informazioni sulla disabilitazione della sicurezza basata su virtualizzazione, vedere disabilitare la sicurezza basata su virtualizzazione.

Disabilitare Credential Guard con il blocco UEFI

Se Credential Guard è abilitato con il blocco UEFI, seguire questa procedura perché le impostazioni sono persistenti nelle variabili EFI (firmware).

Nota

Questo scenario richiede la presenza fisica nel computer per premere un tasto funzione per accettare la modifica.

  1. Seguire la procedura descritta in Disabilitare Credential Guard

  2. Elimina le variabili EFI di Credential Guard usando bcdedit. Da un prompt dei comandi con privilegi elevati digita questi comandi:

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. Riavvia il dispositivo. Prima dell'avvio del sistema operativo, viene visualizzato un messaggio che informa che UEFI è stato modificato e richiede conferma. La richiesta deve essere confermata per rendere persistenti le modifiche.

Disabilitare Credential Guard per una macchina virtuale

Dall'host è possibile disabilitare Credential Guard per una macchina virtuale con il comando seguente:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Disabilitare la sicurezza basata su virtualizzazione

Se si disabilita La sicurezza basata su virtualizzazione (VBS), si disabiliterà automaticamente Credential Guard e altre funzionalità che si basano su VBS.

Importante

Altre funzionalità di sicurezza accanto a Credential Guard si basano su VBS. La disabilitazione di VBS può avere effetti collaterali imprevisti.

Usare una delle opzioni seguenti per disabilitare VBS:

  • Microsoft Intune/MDM
  • Criteri di gruppo
  • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Selezionare l'opzione più adatta alle proprie esigenze.

Disabilitare VBS con Intune

Se VBS è abilitato tramite Intune e senza blocco UEFI, la disabilitazione della stessa impostazione dei criteri disabilita VBS.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Device Guard Abilitare la sicurezza basata sulla virtualizzazione Disabilitato

Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.

In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione Criteri DeviceGuard.

Impostazione
Nome impostazione: Attivare la sicurezza basata sulla virtualizzazione
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo di dati: int
Valore: 0

Dopo aver applicato i criteri, riavviare il dispositivo.

Se Credential Guard è abilitato con blocco UEFI, le variabili EFI archiviate nel firmware devono essere cancellate usando il comando bcdedit.exe. Da un prompt dei comandi con privilegi elevati eseguire i comandi seguenti:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Passaggi successivi