Credential Guard 구성

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 문서에서는 Microsoft Intune, 그룹 정책 또는 레지스트리를 사용하여 Credential Guard를 구성하는 방법을 설명합니다.

기본 사용

중요

Windows Server 2025는 미리 보기로 제공됩니다. 이 정보는 릴리스되기 전에 실질적으로 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시되거나 암시된 보증을 하지 않습니다.

Windows 11, 22H2 및 Windows Server 2025(미리 보기)부터 Credential Guard는 요구 사항을 충족하는 디바이스에서 기본적으로 사용하도록 설정됩니다.

시스템 관리자는 이 문서에 설명된 방법 중 하나를 사용하여 Credential Guard를 명시적으로 사용 하거나 사용하지 않도록 설정할 수 있습니다. 명시적으로 구성된 값은 다시 부팅 후 기본 사용 상태를 덮어씁 수 있습니다.

Credential Guard가 기본적으로 사용하도록 설정된 최신 버전의 Windows로 업데이트하기 전에 디바이스에 Credential Guard가 명시적으로 꺼져 있는 경우 업데이트 후에도 사용하지 않도록 유지됩니다.

중요

기본 사용과 관련된 알려진 문제에 대한 자세한 내용은 Credential Guard: 알려진 문제를 참조하세요.

Credential Guard 사용

디바이스가 도메인에 가입되기 전에 또는 도메인 사용자가 처음으로 로그인하기 전에 Credential Guard를 사용하도록 설정해야 합니다. 도메인 가입 후 Credential Guard를 사용하도록 설정하면 사용자 및 디바이스 비밀이 이미 손상되었을 수 있습니다.

Credential Guard를 사용하도록 설정하려면 다음을 사용할 수 있습니다.

• Microsoft Intune/MDM
• 그룹 정책
• 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune/CSP

Intune을 사용하여 Credential Guard 구성

Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주	설정 이름	값
Device Guard	Credential Guard	옵션 중 하나를 선택합니다.  - UEFI 잠금으로 사용  - 잠금 없이 사용

중요

원격으로 Credential Guard를 해제하려면 잠금 없이 사용 옵션을 선택합니다.

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

팁

엔드포인트 보안에서 계정 보호 프로필을 사용하여 Credential Guard를 구성할 수도 있습니다. 자세한 내용은 Microsoft Intune의 엔드포인트 보안에 대한 계정 보호 정책 설정을 참조하세요.

또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
설정 이름: 가상화 기반 보안 켜기 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity 데이터 형식: int 값: 1
설정 이름: Credential Guard 구성 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags 데이터 형식: int 값:  UEFI 잠금을 사용하여 사용하도록 설정: 1  잠금 없이 사용:2

정책이 적용되면 디바이스를 다시 시작합니다.

GPO

그룹 정책을 사용하여 Credential Guard 구성

그룹 정책을 사용하여 디바이스를 구성하려면 로컬 그룹 정책 편집기를 사용합니다. Active Directory에 조인된 여러 디바이스를 구성하려면 GPO(그룹 정책 개체)를 만들거나 편집 하고 다음 설정을 사용합니다.

그룹 정책 경로	그룹 정책 설정	값
컴퓨터 구성\관리 템플릿\System\Device Guard	가상화 기반 보안 켜기	Credential Guard 구성 드롭다운 아래에 나열된 옵션 중 하나를 사용하도록 설정하고 선택합니다.  - UEFI 잠금으로 사용  - 잠금 없이 사용

중요

원격으로 Credential Guard를 해제하려면 잠금 없이 사용 옵션을 선택합니다.

그룹 정책은 도메인 또는 조직 단위에 연결 하거나, 보안 그룹을 사용하여 필터링하거나, WMI 필터를 사용하여 필터링할 수 있습니다.

정책이 적용되면 디바이스를 다시 시작합니다.

레지스트리

레지스트리 설정을 사용하여 Credential Guard 구성

레지스트리를 사용하여 디바이스를 구성하려면 다음 설정을 사용합니다.

설정
키 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 키 이름: EnableVirtualizationBasedSecurity 형식: REG_DWORD 값: 1 (가상화 기반 보안을 사용하도록 설정)
키 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 키 이름: RequirePlatformSecurityFeatures 형식: REG_DWORD 값:  1 (보안 부팅을 사용하려면)  3 (보안 부팅 및 DMA 보호를 사용하려면)
키 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 키 이름: LsaCfgFlags 형식: REG_DWORD 값:  1 (UEFI 잠금을 사용하여 Credential Guard를 사용하도록 설정)  2 (잠금 없이 Credential Guard를 사용하도록 설정)

디바이스를 다시 시작하여 변경 사항을 적용합니다.

팁

FirstLogonCommands 무인 설정에서 레지스트리 항목을 설정하여 Credential Guard를 사용하도록 설정할 수 있습니다.

Credential Guard가 사용하도록 설정되어 있는지 확인

가 실행 중인지 LsaIso.exe 작업 관리자를 확인하는 것은 Credential Guard가 실행 중인지 여부를 결정하는 데 권장되는 방법이 아닙니다. 대신 다음 방법 중 하나를 사용합니다.

• 시스템 정보
• PowerShell
• 이벤트 뷰어

시스템 정보

시스템 정보를 사용하여 Credential Guard가 디바이스에서 실행 중인지 여부를 확인할 수 있습니다.

1. 시작을 선택하고 를 입력msinfo32.exe한 다음 시스템 정보를 선택합니다.
2. 시스템 요약 선택
3. 실행 중인 가상화 기반 보안 서비스 옆에 Credential Guard가 표시되는지 확인합니다.

PowerShell

PowerShell을 사용하여 Credential Guard가 디바이스에서 실행 중인지 여부를 확인할 수 있습니다. 관리자 권한 PowerShell 세션에서 다음 명령을 사용합니다.

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

명령은 다음 출력을 생성합니다.

• 0: Credential Guard가 사용하지 않도록 설정됨(실행 중이 아님)
• 1: Credential Guard가 사용하도록 설정됨(실행 중)

이벤트 뷰어

보안 감사 정책 또는 WMI 쿼리를 사용하여 Credential Guard를 사용하도록 설정된 디바이스를 정기적으로 검토합니다.
이벤트 뷰어(eventvwr.exe)를 열고 WinInit에 Windows Logs\System 대한 이벤트 원본으로 이동하여 필터링합니다.

이벤트 ID

Description

13(정보)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (정보)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**

• 첫 번째 변수인 0x1 또는 0x2 Credential Guard가 실행되도록 구성되어 있음을 의미합니다. 0x0 실행하도록 구성되지 않음을 의미합니다.
• 두 번째 변수: 0 은 보호 모드에서 실행되도록 구성됨을 의미합니다. 1 은 테스트 모드에서 실행되도록 구성됨을 의미합니다. 이 변수는 항상 0이어야 합니다.

15 (경고)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (경고)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

다음 이벤트는 TPM이 키 보호에 사용되는지 여부를 나타냅니다. 길: Applications and Services logs > Microsoft > Windows > Kernel-Boot

이벤트 ID

Description

51(정보)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

TPM을 사용하여 실행하는 경우 TPM PCR 마스크 값은 0이 아닌 값입니다.

Credential Guard 사용 안 함

Credential Guard를 사용하지 않도록 설정하는 다양한 옵션이 있습니다. 선택하는 옵션은 Credential Guard가 구성된 방법에 따라 달라집니다.

• 호스트에서 가상 머신에서 실행되는 Credential Guard를 사용하지 않도록 설정할 수 있습니다.
• UEFI Lock을 사용하여 Credential Guard를 사용하도록 설정한 경우 UEFI Lock을 사용하여 Credential Guard 사용 안 함에서 설명한 절차를 따르세요.
• UEFI Lock 없이 또는 기본 사용 설정 업데이트의 일부로 Credential Guard를 사용하도록 설정한 경우 다음 옵션 중 하나를 사용하여 사용하지 않도록 설정합니다.
  • Microsoft Intune/MDM
  • 그룹 정책
  • 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune/CSP

Intune에서 Credential Guard 사용 안 함

UEFI 잠금 없이 Intune을 통해 Credential Guard를 사용하도록 설정하면 동일한 정책 설정을 사용하지 않도록 설정하면 Credential Guard가 비활성화됩니다.

Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주	설정 이름	값
Device Guard	Credential Guard	해제됨

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
설정 이름: Credential Guard 구성 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags 데이터 형식: int 값: 0

정책이 적용되면 디바이스를 다시 시작합니다.

GPO

그룹 정책을 사용하여 Credential Guard 사용 안 함

UEFI 잠금 없이 그룹 정책을 통해 Credential Guard를 사용하도록 설정하면 동일한 그룹 정책 설정을 사용하지 않도록 설정하면 Credential Guard가 비활성화됩니다.

그룹 정책을 사용하여 디바이스를 구성하려면 로컬 그룹 정책 편집기를 사용합니다. Active Directory에 조인된 여러 디바이스를 구성하려면 GPO(그룹 정책 개체)를 만들거나 편집 하고 다음 설정을 사용합니다.

그룹 정책 경로	그룹 정책 설정	값
컴퓨터 구성\관리 템플릿\System\Device Guard	가상화 기반 보안 켜기	해제됨

그룹 정책은 도메인 또는 조직 단위에 연결 하거나, 보안 그룹을 사용하여 필터링하거나, WMI 필터를 사용하여 필터링할 수 있습니다.

정책이 적용되면 디바이스를 다시 시작합니다.

레지스트리

레지스트리 설정을 사용하여 Credential Guard 사용 안 함

Credential Guard가 UEFI 잠금 없이 그룹 정책 없이 사용하도록 설정된 경우 레지스트리 키를 편집하여 사용하지 않도록 설정하는 것으로 충분합니다.

설정
키 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 키 이름: LsaCfgFlags 형식: REG_DWORD 값: 0
키 경로: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard 키 이름: LsaCfgFlags 형식: REG_DWORD 값: 0

참고

이러한 레지스트리 설정을 삭제해도 Credential Guard를 사용하지 않도록 설정할 수 없습니다. 값 0으로 설정해야 합니다.

디바이스를 다시 시작하여 변경 사항을 적용합니다.

VBS(가상화 기반 보안)를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 가상화 기반 보안 사용 안 함을 참조하세요.

UEFI 잠금을 사용하여 Credential Guard 사용 안 함

UEFI 잠금을 사용하여 Credential Guard를 사용하도록 설정한 경우 설정이 EFI(펌웨어) 변수에 유지되므로 이 절차를 따릅니다.

참고

이 시나리오에서는 변경 내용을 수락하기 위해 함수 키를 눌러 컴퓨터에서 물리적 존재가 필요합니다.

1. Credential Guard 사용 안 함의 단계를 수행합니다.

2. bcdedit를 사용하여 Credential Guard EFI 변수를 삭제합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 입력합니다.

   mountvol X: /s
   copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   mountvol X: /d
   

3. 디바이스를 다시 시작합니다. OS가 부팅되기 전에 UEFI가 수정되었음을 알리고 확인을 요청하는 프롬프트가 나타납니다. 변경 내용을 유지하려면 프롬프트를 확인해야 합니다.

가상 머신에 대해 Credential Guard 사용 안 함

호스트에서 다음 명령을 사용하여 가상 머신에 대해 Credential Guard를 사용하지 않도록 설정할 수 있습니다.

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

가상화 기반 보안 사용 안 함

VBS(가상화 기반 보안)를 사용하지 않도록 설정하면 Credential Guard 및 VBS를 사용하는 기타 기능을 자동으로 사용하지 않도록 설정합니다.

중요

Credential Guard 옆에 있는 다른 보안 기능은 VBS를 사용합니다. VBS를 사용하지 않도록 설정하면 의도하지 않은 부작용이 있을 수 있습니다.

다음 옵션 중 하나를 사용하여 VBS를 사용하지 않도록 설정합니다.

• Microsoft Intune/MDM
• 그룹 정책
• 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune/CSP

Intune에서 VBS 사용 안 함

UEFI Lock 없이 Intune을 통해 VBS를 사용하도록 설정하면 동일한 정책 설정을 사용하지 않도록 설정하면 VBS가 비활성화됩니다.

Microsoft Intune을 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주	설정 이름	값
Device Guard	가상화 기반 보안 사용	해제됨

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
설정 이름: 가상화 기반 보안 켜기 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity 데이터 형식: int 값: 0

정책이 적용되면 디바이스를 다시 시작합니다.

GPO

그룹 정책을 사용하여 VBS 사용 안 함

VBS를 사용 안 함으로 설정하는 데 사용되는 정책을 구성 합니다.

그룹 정책을 사용하여 디바이스를 구성하려면 로컬 그룹 정책 편집기를 사용합니다. Active Directory에 조인된 여러 디바이스를 구성하려면 GPO(그룹 정책 개체)를 만들거나 편집 하고 다음 설정을 사용합니다.

그룹 정책 경로	그룹 정책 설정	값
컴퓨터 구성\관리 템플릿\System\Device Guard\가상화 기반 보안 켜기	가상화 기반 보안 켜기	해제됨

그룹 정책은 도메인 또는 조직 단위에 연결 하거나, 보안 그룹을 사용하여 필터링하거나, WMI 필터를 사용하여 필터링할 수 있습니다.

정책이 적용되면 디바이스를 다시 시작합니다.

레지스트리

레지스트리 설정으로 VBS 사용 안 함

다음 레지스트리 키를 삭제합니다.

설정
키 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 키 이름: EnableVirtualizationBasedSecurity
키 경로: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 키 이름: RequirePlatformSecurityFeatures

중요

레지스트리 설정을 수동으로 제거하는 경우 모두 삭제해야 합니다. 그렇지 않으면 디바이스가 BitLocker 복구로 전환될 수 있습니다.

디바이스를 다시 시작하여 변경 사항을 적용합니다.

UEFI Lock을 사용하여 Credential Guard를 사용하는 경우 명령을 사용하여 펌웨어에 저장된 EFI 변수를 bcdedit.exe지워야 합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

다음 단계

• 추가 완화 문서에서 Credential Guard를 사용하여 환경을 보다 안전하고 강력하게 만들기 위한 조언 및 샘플 코드를 검토합니다.
• Credential Guard를 사용할 때 고려 사항 및 알려진 문제 검토