Credential Guard 구성

이 문서에서는 Microsoft Intune, 그룹 정책 또는 레지스트리를 사용하여 Credential Guard를 구성하는 방법을 설명합니다.

기본 사용

Windows 11 버전 22H2부터 Credential Guard는 요구 사항을 충족하는 디바이스에서 기본적으로 켜져 있습니다. 기본 사용은 UEFI Lock이 없으므로 필요한 경우 관리자가 원격으로 Credential Guard를 사용하지 않도록 설정할 수 있습니다.

디바이스가 Windows 11 버전 22H2 이상으로 업데이트되기 전에 Credential Guard 또는 VBS를 사용하지 않도록 설정한 경우 기본 사용 설정은 기존 설정을 덮어쓰지 않습니다.

Credential Guard의 기본 상태가 변경된 동안 시스템 관리자는 이 문서에 설명된 방법 중 하나를 사용하여 사용하도록 설정 하거나 사용하지 않도록 설정할 수 있습니다.

중요

기본 사용과 관련된 알려진 문제에 대한 자세한 내용은 Credential Guard: 알려진 문제를 참조하세요.

참고

Windows 11 Pro/Pro Edu 22H2 이상을 실행하는 디바이스는 기본 사용 설정에 대한 다른 요구 사항을 충족하고 이전에 Credential Guard를 실행한 경우 VBS(가상화 기반 보안) 및/또는 Credential Guard를 자동으로 사용하도록 설정할 수 있습니다. 예를 들어 나중에 Pro로 다운그레이드된 엔터프라이즈 디바이스에서 Credential Guard를 사용하도록 설정한 경우입니다.

Pro 디바이스가 이 상태인지 확인하려면 레지스트리 키가 있는지 Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret검사. 이 시나리오에서 VBS 및 Credential Guard를 사용하지 않도록 설정하려면 지침에 따라 가상화 기반 보안을 사용하지 않도록 설정합니다. VBS를 사용하지 않도록 설정하지 않고 Credential Guard만 사용하지 않도록 설정하려면 절차를 사용하여 Credential Guard를 사용하지 않도록 설정합니다.

Credential Guard 사용

디바이스가 도메인에 가입되기 전에 또는 도메인 사용자가 처음으로 로그인하기 전에 Credential Guard를 사용하도록 설정해야 합니다. 도메인 가입 후 Credential Guard를 사용하도록 설정하면 사용자 및 디바이스 비밀이 이미 손상되었을 수 있습니다.

Credential Guard를 사용하도록 설정하려면 다음을 사용할 수 있습니다.

  • Microsoft Intune/MDM
  • 그룹 정책
  • 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune 사용하여 Credential Guard 구성

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주 설정 이름
Device Guard Credential Guard 옵션 중 하나를 선택합니다.
 - UEFI 잠금으로 사용
 - 잠금 없이 사용

중요

원격으로 Credential Guard를 해제하려면 잠금 없이 사용 옵션을 선택합니다.

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

엔드포인트 보안에서 계정 보호 프로필을 사용하여 Credential Guard를 구성할 수도 있습니다. 자세한 내용은 Microsoft Intune 엔드포인트 보안에 대한 계정 보호 정책 설정을 참조하세요.

또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
설정 이름: 가상화 기반 보안 켜기
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
데이터 형식: int
: 1
설정 이름: Credential Guard 구성
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
데이터 형식: int
:
UEFI 잠금을 사용하여 사용하도록 설정: 1
잠금 없이 사용:2

정책이 적용되면 디바이스를 다시 시작합니다.

Credential Guard가 사용하도록 설정되어 있는지 확인

가 실행 중인지 LsaIso.exe 작업 관리자를 확인하는 것은 Credential Guard가 실행 중인지 여부를 결정하는 데 권장되는 방법이 아닙니다. 대신 다음 방법 중 하나를 사용합니다.

  • 시스템 정보
  • PowerShell
  • 이벤트 뷰어

시스템 정보

시스템 정보를 사용하여 Credential Guard가 디바이스에서 실행 중인지 여부를 확인할 수 있습니다.

  1. 시작을 선택하고 를 입력msinfo32.exe한 다음 시스템 정보를 선택합니다.
  2. 시스템 요약 선택
  3. 실행 중인 가상화 기반 보안 서비스 옆에 Credential Guard가 표시되는지 확인합니다.

PowerShell

PowerShell을 사용하여 Credential Guard가 디바이스에서 실행 중인지 여부를 확인할 수 있습니다. 관리자 권한 PowerShell 세션에서 다음 명령을 사용합니다.

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

명령은 다음 출력을 생성합니다.

  • 0: Credential Guard가 사용하지 않도록 설정됨(실행 중이 아님)
  • 1: Credential Guard가 사용하도록 설정됨(실행 중)

이벤트 뷰어

보안 감사 정책 또는 WMI 쿼리를 사용하여 Credential Guard를 사용하도록 설정된 디바이스를 정기적으로 검토합니다.
이벤트 뷰어(eventvwr.exe)를 열고 WinInitWindows Logs\System 대한 이벤트 원본으로 이동하여 필터링합니다.

이벤트 ID

Description

13(정보)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (정보)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • 첫 번째 변수인 0x1 또는 0x2 Credential Guard가 실행되도록 구성되어 있음을 의미합니다. 0x0 실행하도록 구성되지 않음을 의미합니다.
  • 두 번째 변수: 0 은 보호 모드에서 실행되도록 구성됨을 의미합니다. 1 은 테스트 모드에서 실행되도록 구성됨을 의미합니다. 이 변수는 항상 0이어야 합니다.

15 (경고)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (경고)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

다음 이벤트는 TPM이 키 보호에 사용되는지 여부를 나타냅니다. 경로: Applications and Services logs > Microsoft > Windows > Kernel-Boot

이벤트 ID

Description

51(정보)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

TPM을 사용하여 실행하는 경우 TPM PCR 마스크 값은 0이 아닌 값입니다.

Credential Guard 사용 안 함

Credential Guard를 사용하지 않도록 설정하는 다양한 옵션이 있습니다. 선택하는 옵션은 Credential Guard가 구성된 방법에 따라 달라집니다.

  • 호스트에서 가상 머신에서 실행되는 Credential Guard를 사용하지 않도록 설정할 수 있습니다.
  • UEFI Lock을 사용하여 Credential Guard를 사용하도록 설정한 경우 UEFI Lock을 사용하여 Credential Guard 사용 안 함에서 설명한 절차를 따르세요.
  • Credential Guard가 UEFI Lock 없이 또는 Windows 11 버전 22H2 업데이트의 자동 사용 설정의 일부로 사용하도록 설정된 경우 다음 옵션 중 하나를 사용하여 사용하지 않도록 설정합니다.
    • Microsoft Intune/MDM
    • 그룹 정책
    • 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune 사용하여 Credential Guard 사용 안 함

credential Guard가 Intune 통해 UEFI Lock 없이 사용하도록 설정된 경우 동일한 정책 설정을 사용하지 않도록 설정하면 Credential Guard가 비활성화됩니다.

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주 설정 이름
Device Guard Credential Guard 해제됨

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
설정 이름: Credential Guard 구성
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
데이터 형식: int
: 0

정책이 적용되면 디바이스를 다시 시작합니다.

VBS(가상화 기반 보안)를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 가상화 기반 보안 사용 안 함을 참조하세요.

UEFI 잠금을 사용하여 Credential Guard 사용 안 함

UEFI 잠금을 사용하여 Credential Guard를 사용하도록 설정한 경우 설정이 EFI(펌웨어) 변수에 유지되므로 이 절차를 따릅니다.

참고

이 시나리오에서는 변경 내용을 수락하기 위해 함수 키를 눌러 컴퓨터에서 물리적 존재가 필요합니다.

  1. Credential Guard 사용 안 함의 단계를 수행합니다.

  2. bcdedit를 사용하여 Credential Guard EFI 변수를 삭제합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 입력합니다.

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. 디바이스를 다시 시작합니다. OS가 부팅되기 전에 UEFI가 수정되었음을 알리고 확인을 요청하는 프롬프트가 나타납니다. 변경 내용을 유지하려면 프롬프트를 확인해야 합니다.

가상 머신에 대해 Credential Guard 사용 안 함

호스트에서 다음 명령을 사용하여 가상 머신에 대해 Credential Guard를 사용하지 않도록 설정할 수 있습니다.

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

가상화 기반 보안 사용 안 함

VBS(가상화 기반 보안)를 사용하지 않도록 설정하면 Credential Guard 및 VBS를 사용하는 기타 기능을 자동으로 사용하지 않도록 설정합니다.

중요

Credential Guard 옆에 있는 다른 보안 기능은 VBS를 사용합니다. VBS를 사용하지 않도록 설정하면 의도하지 않은 부작용이 있을 수 있습니다.

다음 옵션 중 하나를 사용하여 VBS를 사용하지 않도록 설정합니다.

  • Microsoft Intune/MDM
  • 그룹 정책
  • 레지스트리

다음 지침에서는 디바이스를 구성하는 방법을 자세히 설명합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.

Intune VBS 사용 안 함

UEFI Lock 없이 Intune 통해 VBS를 사용하도록 설정하면 동일한 정책 설정을 사용하지 않도록 설정하면 VBS가 비활성화됩니다.

Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.

범주 설정 이름
Device Guard 가상화 기반 보안 사용 해제됨

구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.

또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.

설정
설정 이름: 가상화 기반 보안 켜기
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
데이터 형식: int
: 0

정책이 적용되면 디바이스를 다시 시작합니다.

UEFI Lock을 사용하여 Credential Guard를 사용하는 경우 명령을 사용하여 펌웨어에 저장된 EFI 변수를 bcdedit.exe지워야 합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

다음 단계