Credential Guard 구성
이 문서에서는 Microsoft Intune, 그룹 정책 또는 레지스트리를 사용하여 Credential Guard를 구성하는 방법을 설명합니다.
기본 사용
Windows 11, 22H2 및 Windows Server 2025부터 Credential Guard는 요구 사항을 충족하는 디바이스에서 기본적으로 사용하도록 설정됩니다.
시스템 관리자는 이 문서에 설명된 방법 중 하나를 사용하여 Credential Guard를 명시적으로 사용 하거나 사용하지 않도록 설정할 수 있습니다. 명시적으로 구성된 값은 다시 부팅 후 기본 사용 상태를 덮어씁 수 있습니다.
Credential Guard가 기본적으로 사용하도록 설정된 최신 버전의 Windows로 업데이트하기 전에 디바이스에 Credential Guard가 명시적으로 꺼져 있는 경우 업데이트 후에도 사용하지 않도록 유지됩니다.
중요
기본 사용과 관련된 알려진 문제에 대한 자세한 내용은 Credential Guard: 알려진 문제를 참조하세요.
Credential Guard 사용
디바이스가 도메인에 가입되기 전에 또는 도메인 사용자가 처음으로 로그인하기 전에 Credential Guard를 사용하도록 설정해야 합니다. 도메인 가입 후 Credential Guard를 사용하도록 설정하면 사용자 및 디바이스 비밀이 이미 손상되었을 수 있습니다.
Credential Guard를 사용하도록 설정하려면 다음을 사용할 수 있습니다.
- Microsoft Intune/MDM
- 그룹 정책
- 레지스트리
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Intune 사용하여 Credential Guard 구성
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
Device Guard | Credential Guard | 옵션 중 하나를 선택합니다. - UEFI 잠금으로 사용 - 잠금 없이 사용 |
중요
원격으로 Credential Guard를 해제하려면 잠금 없이 사용 옵션을 선택합니다.
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
팁
엔드포인트 보안에서 계정 보호 프로필을 사용하여 Credential Guard를 구성할 수도 있습니다. 자세한 내용은 Microsoft Intune 엔드포인트 보안에 대한 계정 보호 정책 설정을 참조하세요.
또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
설정 |
---|
설정 이름: 가상화 기반 보안 켜기 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity 데이터 형식: int 값: 1 |
설정 이름: Credential Guard 구성 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags 데이터 형식: int 값: UEFI 잠금을 사용하여 사용하도록 설정: 1 잠금 없이 사용: 2 |
정책이 적용되면 디바이스를 다시 시작합니다.
Credential Guard가 사용하도록 설정되어 있는지 확인
가 실행 중인지 LsaIso.exe
작업 관리자를 확인하는 것은 Credential Guard가 실행 중인지 여부를 결정하는 데 권장되는 방법이 아닙니다. 대신 다음 방법 중 하나를 사용합니다.
- 시스템 정보
- PowerShell
- 이벤트 뷰어
시스템 정보
시스템 정보를 사용하여 Credential Guard가 디바이스에서 실행 중인지 여부를 확인할 수 있습니다.
-
시작을 선택하고 를 입력
msinfo32.exe
한 다음 시스템 정보를 선택합니다. - 시스템 요약 선택
- 실행 중인 가상화 기반 보안 서비스 옆에 Credential Guard가 표시되는지 확인합니다.
PowerShell
PowerShell을 사용하여 Credential Guard가 디바이스에서 실행 중인지 여부를 확인할 수 있습니다. 관리자 권한 PowerShell 세션에서 다음 명령을 사용합니다.
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
명령은 다음 출력을 생성합니다.
- 0: Credential Guard가 사용하지 않도록 설정됨(실행 중이 아님)
- 1: Credential Guard가 사용하도록 설정됨(실행 중)
이벤트 뷰어
보안 감사 정책 또는 WMI 쿼리를 사용하여 Credential Guard를 사용하도록 설정된 디바이스를 정기적으로 검토합니다.
이벤트 뷰어(eventvwr.exe
)를 열고 WinInit에 Windows Logs\System
대한 이벤트 원본으로 이동하여 필터링합니다.
이벤트 ID
Description
13(정보)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14
(정보)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- 첫 번째 변수인 0x1 또는 0x2 Credential Guard가 실행되도록 구성되어 있음을 의미합니다. 0x0 실행하도록 구성되지 않음을 의미합니다.
- 두 번째 변수: 0 은 보호 모드에서 실행되도록 구성됨을 의미합니다. 1 은 테스트 모드에서 실행되도록 구성됨을 의미합니다. 이 변수는 항상 0이어야 합니다.
15
(경고)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16
(경고)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
다음 이벤트는 TPM이 키 보호에 사용되는지 여부를 나타냅니다. 길: Applications and Services logs > Microsoft > Windows > Kernel-Boot
이벤트 ID
Description
51(정보)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
TPM을 사용하여 실행하는 경우 TPM PCR 마스크 값은 0이 아닌 값입니다.
Credential Guard 사용 안 함
Credential Guard를 사용하지 않도록 설정하는 다양한 옵션이 있습니다. 선택하는 옵션은 Credential Guard가 구성된 방법에 따라 달라집니다.
- 호스트에서 가상 머신에서 실행되는 Credential Guard를 사용하지 않도록 설정할 수 있습니다.
- UEFI Lock을 사용하여 Credential Guard를 사용하도록 설정한 경우 UEFI Lock을 사용하여 Credential Guard 사용 안 함에서 설명한 절차를 따르세요.
-
UEFI Lock 없이 또는 기본 사용 설정 업데이트의 일부로 Credential Guard를 사용하도록 설정한 경우 다음 옵션 중 하나를 사용하여 사용하지 않도록 설정합니다.
- Microsoft Intune/MDM
- 그룹 정책
- 레지스트리
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Intune 사용하여 Credential Guard 사용 안 함
credential Guard가 Intune 통해 UEFI Lock 없이 사용하도록 설정된 경우 동일한 정책 설정을 사용하지 않도록 설정하면 Credential Guard가 비활성화됩니다.
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
Device Guard | Credential Guard | 해제됨 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
설정 |
---|
설정 이름: Credential Guard 구성 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags 데이터 형식: int 값: 0 |
정책이 적용되면 디바이스를 다시 시작합니다.
VBS(가상화 기반 보안)를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 가상화 기반 보안 사용 안 함을 참조하세요.
UEFI 잠금을 사용하여 Credential Guard 사용 안 함
UEFI 잠금을 사용하여 Credential Guard를 사용하도록 설정한 경우 설정이 EFI(펌웨어) 변수에 유지되므로 이 절차를 따릅니다.
참고
이 시나리오에서는 변경 내용을 수락하기 위해 함수 키를 눌러 컴퓨터에서 물리적 존재가 필요합니다.
Credential Guard 사용 안 함의 단계를 수행합니다.
bcdedit를 사용하여 Credential Guard EFI 변수를 삭제합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 입력합니다.
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d
디바이스를 다시 시작합니다. OS가 부팅되기 전에 UEFI가 수정되었음을 알리고 확인을 요청하는 프롬프트가 나타납니다. 변경 내용을 유지하려면 프롬프트를 확인해야 합니다.
가상 머신에 대해 Credential Guard 사용 안 함
호스트에서 다음 명령을 사용하여 가상 머신에 대해 Credential Guard를 사용하지 않도록 설정할 수 있습니다.
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
가상화 기반 보안 사용 안 함
VBS(가상화 기반 보안)를 사용하지 않도록 설정하면 Credential Guard 및 VBS를 사용하는 기타 기능을 자동으로 사용하지 않도록 설정합니다.
중요
Credential Guard 옆에 있는 다른 보안 기능은 VBS를 사용합니다. VBS를 사용하지 않도록 설정하면 의도하지 않은 부작용이 있을 수 있습니다.
다음 옵션 중 하나를 사용하여 VBS를 사용하지 않도록 설정합니다.
- Microsoft Intune/MDM
- 그룹 정책
- 레지스트리
다음 지침에서는 디바이스를 구성하는 방법에 대한 세부 정보를 제공합니다. 요구 사항에 가장 적합한 옵션을 선택합니다.
Intune VBS 사용 안 함
UEFI Lock 없이 Intune 통해 VBS를 사용하도록 설정하면 동일한 정책 설정을 사용하지 않도록 설정하면 VBS가 비활성화됩니다.
Microsoft Intune 사용하여 디바이스를 구성하려면 설정 카탈로그 정책을 만들고 다음 설정을 사용합니다.
범주 | 설정 이름 | 값 |
---|---|---|
Device Guard | 가상화 기반 보안 사용 | 해제됨 |
구성하려는 디바이스 또는 사용자를 구성원으로 포함하는 그룹에 정책을 할당합니다.
또는 DeviceGuard 정책 CSP를 사용하여 사용자 지정 정책을 사용하여 디바이스를 구성할 수 있습니다.
설정 |
---|
설정 이름: 가상화 기반 보안 켜기 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity 데이터 형식: int 값: 0 |
정책이 적용되면 디바이스를 다시 시작합니다.
UEFI Lock을 사용하여 Credential Guard를 사용하는 경우 명령을 사용하여 펌웨어에 저장된 EFI 변수를 bcdedit.exe
지워야 합니다. 관리자 권한 명령 프롬프트에서 다음 명령을 실행합니다.
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
다음 단계
- 추가 완화 문서에서 Credential Guard를 사용하여 환경을 보다 안전하고 강력하게 만들기 위한 조언 및 샘플 코드를 검토합니다.
- Credential Guard를 사용할 때 고려 사항 및 알려진 문제 검토