Gestire Windows Defender Credential Guard

Abilitazione predefinita

A partire da Windows 11 Enterprise, versione 22H2 e Windows 11 Education versione 22H2, i sistemi compatibili hanno Windows Defender Credential Guard attivato per impostazione predefinita. Questa funzionalità modifica lo stato predefinito della funzionalità in Windows, anche se gli amministratori di sistema possono comunque modificare questo stato di abilitazione. Windows Defender Credential Guard può comunque essere abilitato o disabilitato manualmente tramite i metodi descritti di seguito.

Requisiti per l'abilitazione automatica

Windows Defender Credential Guard verrà abilitato per impostazione predefinita quando un PC soddisfa i requisiti minimi seguenti:

Componente Requisito
Sistema operativo Windows 11 Enterprise, versione 22H2 o Windows 11 Education, versione 22H2
Requisiti di Credential Guard Windows Defender esistenti Solo i dispositivi che soddisfano i requisiti hardware e software esistenti per l'esecuzione Windows Defender Credential Guard saranno abilitati per impostazione predefinita.
Requisiti di sicurezza basata su virtualizzazione (VBS) È necessario abilitare vbS per eseguire Windows Defender Credential Guard. A partire da Windows 11 Enterprise 22H2 e Windows 11 Education 22H2, i dispositivi che soddisfano i requisiti per l'esecuzione di Windows Defender Credential Guard e i requisiti minimi per abilitare VBS avranno sia Windows Defender Credential Guard che VBS abilitata per impostazione predefinita.

Nota

Se Windows Defender Credential Guard o VBS è stato precedentemente disabilitato in modo esplicito, l'abilitazione predefinita non sovrascriverà questa impostazione.

Nota

I dispositivi che eseguono Windows 11 Pro 22H2 possono avere Virtualization-Based Security (VBS) e/o Windows Defender Credential Guard abilitati automaticamente se soddisfano gli altri requisiti per l'abilitazione predefinita elencati in precedenza e sono stati eseguiti in precedenza Windows Defender Credential Guard (ad esempio, se Windows Defender Credential Guard era in esecuzione in un dispositivo Enterprise che in seguito ha eseguito il downgrade a Pro).

Per determinare se il dispositivo Pro è in questo stato, verificare se la chiave IsolatedCredentialsRootSecret del Registro di sistema è presente in Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. In questo scenario, se si vuole disabilitare VBS e Windows Defender Credential Guard, seguire le istruzioni per disabilitare la sicurezza Virtualization-Based. Se si vuole disabilitare solo Windows Defender Credential Guard senza disabilitare Virtualization-Based Sicurezza, usare le procedure per disabilitare Windows Defender Credential Guard.

Abilitare Windows Defender Credential Guard

Windows Defender Credential Guard può essere abilitato usando Criteri di gruppo, il Registro di sistema o lo strumento di preparazione hardware Hypervisor-Protected Code Integrity (HVCI) e Windows Defender Credential Guard. Windows Defender Credential Guard può proteggere i segreti in una macchina virtuale Hyper-V, proprio come in un computer fisico. Lo stesso set di procedure utilizzate per abilitare Windows Defender Credential Guard in macchine fisiche si applica anche alle macchine virtuali.

Nota

Credential Guard e Device Guard non sono supportati quando si utilizzano le macchine virtuali Azure Gen 1. Queste opzioni sono disponibili solo per le macchine virtuali Gen 2.

Abilitare Windows Defender Credential Guard con Criteri di gruppo

Puoi usare Criteri di gruppo per abilitare Windows Defender Credential Guard. Se abilitata, aggiungerà e abiliterà automaticamente le funzionalità di sicurezza basate sulla virtualizzazione, se necessario.

  1. Dalla Console Gestione Criteri di gruppo passare a Configurazione computer > Modelli amministrativi > Sistema > Device Guard.

  2. Selezionare Attiva sicurezza basata su virtualizzazione e quindi selezionare l'opzione Abilitato.

  3. Nella casella Seleziona il livello di sicurezza della piattaforma, scegli Avvio protetto o Avvio protetto e protezione DMA.

  4. Nella casella Configurazione di Credential Guard selezionare Abilitato con blocco UEFI. Se vuoi poter disattivare Windows Defender Credential Guard in remoto, scegli Abilitato senza blocco.

  5. Nella casella Configurazione avvio sicuro scegliere Non configurato, Abilitato o Disabilitato. Per altre informazioni, vedere Avvio sicuro di System Guard e protezione SMM.

    Impostazione Criteri di gruppo di Windows Defender Credential Guard.

  6. Selezionare OK e quindi chiudere la Console Gestione Criteri di gruppo.

Per applicare l'elaborazione dell'impostazione di Criteri di gruppo, puoi eseguire gpupdate /force.

Abilitare Windows Defender Credential Guard usando Microsoft Intune

  1. Nell'interfaccia di amministrazione di Endpoint Manager selezionare Dispositivi.

  2. Selezionare Profili di configurazione.

  3. Selezionare Crea profilo > Windows 10 e versioni successive > Catalogo impostazioni > Crea.

    1. Impostazioni di configurazione: nella selezione impostazioni selezionare Device Guard come categoria e aggiungere le impostazioni necessarie.

Nota

Abilitare VBS e Avvio protetto ed è possibile farlo con o senza blocco UEFI. Se è necessario disabilitare Credential Guard da remoto, abilitarlo senza blocco UEFI.

Suggerimento

È possibile configurare Credential Guard anche utilizzando un profilo di protezione dell'account in Sicurezza endpoint. Per altre informazioni, vedere Impostazioni dei criteri di protezione degli account per la sicurezza degli endpoint in Microsoft Intune.

Abilitare Windows Defender Credential Guard con il Registro di sistema

Se non usi Criteri di gruppo, puoi abilitare Windows Defender Credential Guard usando il Registro di sistema. Windows Defender Credential Guard usa funzionalità di sicurezza basate sulla virtualizzazione che devono essere abilitate prima in alcuni sistemi operativi.

Aggiungere le funzionalità di sicurezza basata su virtualizzazione

A partire da Windows 10, versione 1607 e Windows Server 2016, l'abilitazione delle funzionalità di Windows per l'uso della sicurezza basata sulla virtualizzazione non è necessaria e questo passaggio può essere ignorato.

Se usi Windows 10, versione 1507 (RTM) o Windows 10 versione 1511, le funzionalità di Windows devono essere abilitate per usare la sicurezza basata sulla virtualizzazione. Per abilitare, usare il Pannello di controllo o lo strumento di gestione e manutenzione immagini distribuzione.

Nota

Se abiliti Windows Defender Credential Guard tramite Criteri di gruppo, i passaggi per abilitare le funzionalità di Windows tramite il Pannello di controllo o lo strumento DISM non sono necessari. Criteri di gruppo installerà le funzionalità di Windows per te.

Aggiungere le funzionalità di sicurezza basata su virtualizzazione usando Programmi e funzionalità
  1. Apri Programmi e funzionalità nel Pannello di controllo.

  2. Selezionare Attiva o disattiva la funzionalità Windows.

  3. Passare a Hyper-V > Hyper-V Platform e quindi selezionare la casella di controllo Hyper-V Hypervisor.

  4. Seleziona la casella di controllo Modalità utente isolato al primo livello della selezione delle funzionalità.

  5. Selezionare OK.

Aggiungere le funzionalità di sicurezza basata su virtualizzazione a un'immagine offline usando Gestione e manutenzione immagini distribuzione.
  1. Apri una finestra del prompt dei comandi con privilegi elevati.

  2. Aggiungi l'hypervisor Hyper-V eseguendo questo comando:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. Aggiungi la funzionalità Modalità utente isolato eseguendo questo comando:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Nota

    In Windows 10, versione 1607 e successive, la funzione Modalità utente isolato è stata integrata nel sistema operativo principale. L'esecuzione del comando al punto 3 non è quindi più necessaria.

Suggerimento

Puoi anche aggiungere queste funzionalità a un'immagine online usando Gestione e manutenzione immagini distribuzione o Configuration Manager.

Abilitare la sicurezza basata su virtualizzazione e Windows Defender Credential Guard

  1. Apri l'editor del Registro di sistema.

  2. Abilita la sicurezza basata su virtualizzazione:

    1. Vai a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.

    2. Aggiungi un nuovo valore DWORD chiamato EnableVirtualizationBasedSecurity. Imposta il valore di questa impostazione del Registro di sistema su 1 per abilitare la sicurezza basata su virtualizzazione e su 0 per disabilitarla.

    3. Aggiungi un nuovo valore DWORD chiamato RequirePlatformSecurityFeatures. Imposta il valore di questa impostazione del Registro di sistema su 1 per usare solo Avvio protetto o su 3 per usare Avvio protetto e protezione DMA.

  3. Abilitare Windows Defender Credential Guard:

    1. Vai a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Aggiungi un nuovo valore DWORD chiamato LsaCfgFlags. Imposta il valore di questa impostazione del Registro di sistema su 1 per abilitare Windows Defender Credential Guard con il blocco UEFI, su 2 per attivare Windows Defender Credential Guard senza blocco, su 0 per disabilitare Windows Defender Credential Guard.

  4. Chiudi l'Editor del Registro di sistema.

Nota

Puoi anche attivare Windows Defender Credential Guard impostando le voci del Registro di sistema nell'impostazione di installazione automatica FirstLogonCommands.

Abilitare Windows Defender Credential Guard utilizzando lo strumento di preparazione hardware HVCI e Windows Defender Credential Guard.

È inoltre possibile abilitare Windows Defender Credential Guard utilizzando lo strumento di preparazione hardware HVCI e Windows Defender Credential Guard.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

Importante

Quando si esegue lo strumento di preparazione hardware HVCI e Windows Defender Credential Guard su un sistema operativo non inglese, all'interno dello script, la modifica $OSArch = $(gwmi win32_operatingsystem).OSArchitecturedeve esserlo$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() invece, affinché lo strumento funzioni.

Si tratta di un problema noto.

Esaminare le prestazioni di Windows Defender Credential Guard

Windows Defender Credential Guard è in esecuzione?

Puoi usare System Information per assicurarti che Windows Defender Credential Guard sia in esecuzione in un PC.

  1. Selezionare Start, digitare msinfo32.exee quindi selezionare Informazioni di sistema.

  2. Selezionare Riepilogo sistema.

  3. Confermare che Credential Guard è visualizzato accanto a Servizi di sicurezza basati sulla virtualizzazione in esecuzione.

    La voce &quot;Servizi di sicurezza basati su virtualizzazione in esecuzione&quot; elenca Credential Guard in System Information (msinfo32.exe).

È inoltre possibile verificare che Windows Defender Credential Guard sia in esecuzione utilizzando lo Strumento di preparazione hardware HVCI e Windows Defender Credential Guard.

DG_Readiness_Tool_v3.6.ps1 -Ready

Importante

Quando si esegue lo strumento di preparazione hardware HVCI e Windows Defender Credential Guard su un sistema operativo non inglese, all'interno dello script, la modifica *$OSArch = $(gwmi win32_operatingsystem).OSArchitecturedeve esserlo$OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() invece, affinché lo strumento funzioni.

Si tratta di un problema noto.

Nota

Per i computer client che eseguono Windows 10 1703, LsaIso.exe è in esecuzione quando è attivata la sicurezza basata sulla virtualizzazione per altre funzionalità.

  • Ti consigliamo di abilitare Windows Defender Credential Guard prima dell'aggiunta di un dispositivo a un dominio. Se Windows Defender Credential Guard viene abilitato su un dispositivo dopo l'aggiunta a un dominio, i segreti dell'utente e del dispositivo potrebbero essere già compromessi. In altre parole, l'abilitazione di Credential Guard non aiuta a proteggere un dispositivo o un'identità già compromessa. È quindi consigliabile attivare Credential Guard il prima possibile.

  • Devi eseguire controlli regolari dei PC in cui è abilitato Windows Defender Credential Guard. È possibile usare criteri di controllo di sicurezza o query WMI. Ecco un elenco degli ID evento WinInit da cercare:

    • ID evento 13 Windows Defender Credential Guard (LsaIso.exe) è stato avviato e proteggerà le credenziali LSA.

    • ID evento 14 configurazione di Windows Defender Credential Guard (LsaIso.exe): [0x0 | 0x1** | 0x2**], 0

      • La prima variabile: 0x1 o 0x2 indica che Windows Defender Credential Guard è configurato per l'esecuzione. 0x0 significa che non è configurato per l'esecuzione.

      • La seconda variabile: 0 indica che è configurato per l'esecuzione in modalità di protezione. 1 significa che è configurato per l'esecuzione in modalità di test. Questa variabile deve essere sempre 0.

    • L'ID evento 15 Windows Defender Credential Guard (LsaIso.exe) è configurato ma il kernel sicuro non è in esecuzione, continuando senza Windows Defender Credential Guard.

    • ID evento 16 Impossibile avviare Windows Defender Credential Guard (LsaIso.exe): [codice errore]

    • ID evento 17 Errore durante la lettura della configurazione UEFI di Windows Defender Credential Guard (LsaIso.exe): [codice errore]

  • È anche possibile verificare che il TPM venga usato per la protezione delle chiavi controllando l'ID evento 51 nei log applicazioni e servizi > registro eventi di Microsoft > Windows > Kernel-Boot. Il testo completo dell'evento sarà simile al seguente: VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. se si esegue con un TPM, il valore della maschera PCR TPM sarà diverso da 0.

  • È possibile usare Windows PowerShell per determinare se credential guard è in esecuzione in un computer client. Sul computer in questione, aprire una finestra PowerShell elevata ed eseguire il seguente comando:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    Questo comando genera l'output seguente:

    • 0: Windows Defender Credential Guard è disabilitato (non in esecuzione)

    • 1: Windows Defender Credential Guard è abilitato (in esecuzione)

      Nota

      Controllare l'elenco delle attività o Task Manager per verificare se LSAISO.exe è in esecuzione non è un metodo consigliato per determinare se Windows Defender Credential Guard è in esecuzione.

Disabilitare Windows Defender Credential Guard

Windows Defender Credential Guard può essere disabilitato tramite diversi metodi illustrati di seguito, a seconda di come è stata abilitata la funzionalità. Per i dispositivi con Windows Defender Credential Guard abilitati automaticamente nell'aggiornamento 22H2 e non abilitati prima dell'aggiornamento, è sufficiente disabilitarlo tramite Criteri di gruppo.

Se Windows Defender Credential Guard è stato abilitato con blocco UEFI, è necessario seguire la procedura descritta in Disabilitazione di Windows Defender Credential Guard con blocco UEFI. La modifica di abilitazione predefinita nei dispositivi 22H2 idonei non usa un blocco UEFI.

Se Windows Defender Credential Guard è stato abilitato tramite Criteri di gruppo senza blocco UEFI, Windows Defender Credential Guard deve essere disabilitato tramite Criteri di gruppo.

In caso contrario, Windows Defender Credential Guard può essere disabilitato modificando le chiavi del Registro di sistema.

Windows Defender Credential Guard in esecuzione in una macchina virtuale può essere disabilitata dall'host.

Per informazioni sulla disabilitazione di Virtualization-Based Security (VBS), vedere Disabilitazione della sicurezza Virtualization-Based.

Disabilitazione di Windows Defender Credential Guard tramite Criteri di gruppo

Se Windows Defender Credential Guard è stato abilitato tramite Criteri di gruppo e senza blocco UEFI, la disabilitazione della stessa impostazione di Criteri di gruppo disabiliterà Windows Defender Credential Guard.

  1. Disabilitare l'impostazione Criteri di gruppo che regola Windows Defender Credential Guard. Passare a Configurazione > computerModelli > amministrativiSistema > Device Guard > Attiva sicurezza basata su virtualizzazione. Nella sezione "Configurazione di Credential Guard" impostare il valore a discesa su "Disabilitato":

    Windows Defender Credential Guard Criteri di gruppo impostato su Disabilitato.

  2. Riavviare il computer.

Disabilitazione di Windows Defender Credential Guard tramite chiavi del Registro di sistema

Se Windows Defender Credential Guard è stato abilitato senza blocco UEFI e senza Criteri di gruppo, è sufficiente modificare le chiavi del Registro di sistema come descritto di seguito per disabilitare Windows Defender Credential Guard.

  1. Modificare le impostazioni del Registro di sistema seguenti in 0:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

      Nota

      L'eliminazione di queste impostazioni del Registro di sistema potrebbe non disabilitare Windows Defender Credential Guard. Devono essere impostate su un valore pari a 0.

  2. Riavviare il computer.

Disabilitazione di Windows Defender Credential Guard con blocco UEFI

Se Windows Defender Credential Guard è stato abilitato con il blocco UEFI abilitato, è necessario seguire la procedura seguente poiché le impostazioni sono persistenti nelle variabili EFI (firmware). Questo scenario richiederà la presenza fisica nel computer per premere un tasto funzione per accettare la modifica.

  1. Se Criteri di gruppo è stato usato per abilitare Windows Defender Credential Guard, disabilitare l'impostazione di Criteri di gruppo pertinente. Passare a Configurazione > computerModelli > amministrativiSistema > Device Guard > Attiva sicurezza basata su virtualizzazione. Nella sezione "Configurazione di Credential Guard" impostare il valore a discesa su "Disabilitato".

  2. Modificare le impostazioni del Registro di sistema seguenti in 0:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

  3. Elimina le variabili EFI di Windows Defender Credential Guard usando bcdedit. Da un prompt dei comandi con privilegi elevati digita questi comandi:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  4. Riavvia il PC. Prima dell'avvio del sistema operativo, verrà visualizzato un messaggio che informa che UEFI è stato modificato e richiede conferma. Questa richiesta deve essere confermata per rendere persistenti le modifiche. Questo passaggio richiede l'accesso fisico al computer.

Disabilitare Windows Defender Credential Guard per una macchina virtuale

Dall'host puoi disabilitare Windows Defender Credential Guard per una macchina virtuale:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Disabilitazione della sicurezza Virtualization-Based

Di seguito vengono fornite istruzioni su come disabilitare completamente Virtualization-Based Security (VBS) anziché solo Windows Defender Credential Guard. La disabilitazione della sicurezza Virtualization-Based disabiliterà automaticamente Windows Defender Credential Guard e altre funzionalità che si basano su VBS.

Importante

Altre funzionalità di sicurezza oltre a Windows Defender Credential Guard si basano su sicurezza Virtualization-Based per l'esecuzione. La disabilitazione della sicurezza Virtualization-Based può avere effetti collaterali imprevisti.

  1. Se Criteri di gruppo è stato usato per abilitare la sicurezza Virtualization-Based, impostare l'impostazione Criteri di gruppo usata per abilitarla (Configurazione > computerModelli > amministrativiSistema > Device Guard > Attiva sicurezza basata su virtualizzazione) su "Disabilitato".

  2. Elimina le impostazioni del Registro di sistema seguenti:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Importante

      Se rimuovi manualmente queste impostazioni del Registro di sistema, assicurati di eliminarle tutte. Se non le rimuovi tutte, il dispositivo potrebbe passare in modalità di ripristino di BitLocker.

  3. Se Windows Defender Credential Guard è in esecuzione durante la disabilitazione della sicurezza Virtualization-Based e una delle due funzionalità è stata abilitata con blocco UEFI, le variabili EFI (firmware) devono essere cancellate usando bcdedit. Da un prompt dei comandi con privilegi elevati eseguire i comandi bcdedit seguenti dopo aver disattivato tutte le impostazioni Virtualization-Based Security Criteri di gruppo e del Registro di sistema, come descritto nei passaggi 1 e 2 precedenti:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    
  4. Riavvia il PC.