Настройка Credential Guard

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этой статье описывается настройка Credential Guard с помощью Microsoft Intune, групповой политики или реестра.

Включение по умолчанию

Важно.

Windows Server 2025 доступна в предварительной версии. Эта информация относится к предварительной версии продукта, который может быть существенно изменен до выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении предоставленной здесь информации.

Начиная с Windows 11, 22H2 и Windows Server 2025 (предварительная версия), Credential Guard включается по умолчанию на устройствах, соответствующих требованиям.

Системные администраторы могут явно включить или отключить Credential Guard с помощью одного из методов, описанных в этой статье. Явно настроенные значения перезаписывают состояние включения по умолчанию после перезагрузки.

Если устройство явно отключило Credential Guard перед обновлением до более новой версии Windows, где Credential Guard включена по умолчанию, он останется отключенным даже после обновления.

Важно.

Сведения об известных проблемах, связанных с включением по умолчанию, см. в разделе Credential Guard: известные проблемы.

Включение Credential Guard

Credential Guard необходимо включить перед присоединением устройства к домену или перед первым входом пользователя домена. Если Credential Guard включен после присоединения к домену, секреты пользователя и устройства уже могут быть скомпрометированы.

Чтобы включить Credential Guard, можно использовать:

• Microsoft Intune/MDM
• Групповая политика
• Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Настройка Credential Guard с помощью Intune

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Device Guard	Credential Guard	Выберите один из вариантов:  - Включена блокировка UEFI  - Включено без блокировки

Важно.

Если вы хотите удаленно отключить Credential Guard, выберите параметр Включено без блокировки.

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Совет

Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечных точек. Дополнительные сведения см . в статье Параметры политики защиты учетных записей для безопасности конечных точек в Microsoft Intune.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип данных: int Значение: 1
Имя параметра: Конфигурация Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип данных: int Значение:  Включена блокировка UEFI: 1  Включено без блокировки: 2

После применения политики перезапустите устройство.

Объект групповой политики

Настройка Credential Guard с помощью групповой политики

Чтобы настроить устройство с помощью групповой политики, используйте редактор локальной групповой политики. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация компьютера\Административные шаблоны\Система\Device Guard	Включение безопасности на основе виртуализации	Включено и выберите один из параметров, перечисленных в раскрывающемся списке Конфигурация Credential Guard :  - Включена блокировка UEFI  - Включено без блокировки

Важно.

Если вы хотите удаленно отключить Credential Guard, выберите параметр Включено без блокировки.

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

После применения политики перезапустите устройство.

Реестр

Настройка Credential Guard с параметрами реестра

Чтобы настроить устройства с помощью реестра, используйте следующие параметры:

Параметр
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: EnableVirtualizationBasedSecurity Тип: REG_DWORD Значение: 1 (для включения безопасности на основе виртуализации)
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: RequirePlatformSecurityFeatures Тип: REG_DWORD Значение:  1 (для использования безопасной загрузки)  3 (для использования безопасной загрузки и защиты DMA)
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Имя ключа: LsaCfgFlags Тип: REG_DWORD Значение:  1 (для включения Credential Guard с блокировкой UEFI)  2 (для включения Credential Guard без блокировки)

Перезапустите устройство, чтобы применить изменение.

Совет

Вы можете включить Credential Guard, задав записи реестра в параметре автоматической установки FirstLogonCommands .

Проверка включения Credential Guard

Проверка запуска диспетчера LsaIso.exe задач не рекомендуется для определения того, работает ли Credential Guard. Вместо этого используйте один из следующих методов:

• Сведения о системе
• PowerShell
• Просмотр событий

Сведения о системе

Вы можете использовать сведения о системе , чтобы определить, работает ли Credential Guard на устройстве.

1. Нажмите кнопку Пуск, введите msinfo32.exeи выберите Сведения о системе.
2. Выбор сводки по системе
3. Убедитесь, что Credential Guard отображается рядом с пунктом Запущенные службы безопасности на основе виртуализации.

PowerShell

Вы можете использовать PowerShell, чтобы определить, работает ли Credential Guard на устройстве. В сеансе PowerShell с повышенными привилегиями используйте следующую команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Команда создает следующие выходные данные:

• 0: Credential Guard отключен (не выполняется)
• 1: Credential Guard включен (выполняется)

Средство просмотра событий

Регулярно проверяйте устройства с включенным Credential Guard, используя политики аудита безопасности или запросы WMI.
Откройте средство просмотра событий (eventvwr.exe), перейдите к Windows Logs\System и отфильтруйте источники событий для WinInit:

Код события

Описание

13 (информация)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Информация)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**

• Первая переменная: 0x1 или 0x2 означает, что Credential Guard настроен для запуска. 0x0 означает, что он не настроен для запуска.
• Вторая переменная: 0 означает, что она настроена для запуска в режиме защиты. 1 означает, что он настроен для запуска в тестовом режиме. Эта переменная всегда должна иметь значение 0.

15 (Предупреждение)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Предупреждение)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

Следующее событие указывает, используется ли TPM для защиты ключей. Путь: Applications and Services logs > Microsoft > Windows > Kernel-Boot

Код события

Описание

51 (информация)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Если вы работаете с TPM, значение маски PCR доверенного платформенного модуля отличается от 0.

Отключение Credential Guard

Существуют различные варианты отключения Credential Guard. Выбранный параметр зависит от того, как настроен Credential Guard:

• Credential Guard, работающий на виртуальной машине, может быть отключен узлом
• Если Credential Guard включен с блокировкой UEFI, выполните процедуру, описанную в разделе Отключение Credential Guard с блокировкой UEFI.
• Если Credential Guard включен без блокировки UEFI или в рамках обновления по умолчанию, используйте один из следующих параметров, чтобы отключить его:
  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Отключение Credential Guard с помощью Intune

Если Credential Guard включен с помощью Intune и без блокировки UEFI, отключение того же параметра политики отключает Credential Guard.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Device Guard	Credential Guard	Отключено

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: Конфигурация Credential Guard OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags Тип данных: int Значение: 0

После применения политики перезапустите устройство.

Объект групповой политики

Отключение Credential Guard с помощью групповой политики

Если Credential Guard включен с помощью групповой политики и без блокировки UEFI, отключение того же параметра групповой политики отключает Credential Guard.

Чтобы настроить устройство с помощью групповой политики, используйте редактор локальной групповой политики. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация компьютера\Административные шаблоны\Система\Device Guard	Включение безопасности на основе виртуализации	Отключено

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

После применения политики перезапустите устройство.

Реестр

Отключение Credential Guard с параметрами реестра

Если Credential Guard включен без блокировки UEFI и без групповой политики, достаточно изменить разделы реестра, чтобы отключить ее.

Параметр
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Имя ключа: LsaCfgFlags Тип: REG_DWORD Значение: 0
Путь к ключу: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard Имя ключа: LsaCfgFlags Тип: REG_DWORD Значение: 0

Примечание.

Удаление этих параметров реестра может не отключать Credential Guard. Для них должно быть задано значение 0.

Перезапустите устройство, чтобы применить изменение.

Сведения об отключении безопасности на основе виртуализации (VBS) см. в разделе Отключение безопасности на основе виртуализации.

Отключение Credential Guard с блокировкой UEFI

Если Credential Guard включена с блокировкой UEFI, выполните эту процедуру, так как параметры сохраняются в переменных EFI (встроенного ПО).

Примечание.

Для этого сценария требуется физическое присутствие на компьютере, чтобы нажать функциональную клавишу, чтобы принять изменения.

1. Выполните действия, описанные в разделе Отключение Credential Guard.

2. Удалите переменные EFI Credential Guard с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

   mountvol X: /s
   copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   mountvol X: /d
   

3. Перезагрузите устройство. Перед загрузкой ОС появится запрос с уведомлением об изменении UEFI и запросом подтверждения. Запрос должен быть подтвержден для сохранения изменений.

Отключение Credential Guard для виртуальной машины

На узле можно отключить Credential Guard для виртуальной машины с помощью следующей команды:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Отключение безопасности на основе виртуализации

Если отключить безопасность на основе виртуализации (VBS), вы автоматически отключите Credential Guard и другие функции, использующие VBS.

Важно.

Другие функции безопасности, кроме Credential Guard, зависят от VBS. Отключение VBS может иметь непреднамеренные побочные эффекты.

Используйте один из следующих параметров, чтобы отключить VBS:

• Microsoft Intune/MDM
• Групповая политика
• Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Intune/CSP

Отключение VBS с помощью Intune

Если VBS включена через Intune и без блокировки UEFI, отключение того же параметра политики отключает VBS.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория	Имя параметра	Значение
Device Guard	Включение безопасности на основе виртуализации	Отключено

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity Тип данных: int Значение: 0

После применения политики перезапустите устройство.

Объект групповой политики

Отключение VBS с помощью групповой политики

Настройте политику, используемую для включения параметра VBS в Значение Отключено.

Чтобы настроить устройство с помощью групповой политики, используйте редактор локальной групповой политики. Чтобы настроить несколько устройств, присоединенных к Active Directory, создайте или измените объект групповой политики и используйте следующие параметры:

Путь к групповой политике	Параметр групповой политики	Значение
Конфигурация компьютера\Административные шаблоны\System\Device Guard\Включить безопасность на основе виртуализации	Включение безопасности на основе виртуализации	Отключено

Групповые политики можно связать с доменами или подразделениями, отфильтровать с помощью групп безопасности или отфильтровать с помощью фильтров WMI.

После применения политики перезагрузите устройство.

Реестр

Отключение VBS с параметрами реестра

Удалите следующие разделы реестра:

Параметр
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: EnableVirtualizationBasedSecurity
Путь к ключу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard Имя ключа: RequirePlatformSecurityFeatures

Важно.

Если вы вручную удалите параметры реестра, убедитесь, что они все удалены. В противном случае устройство может перейти к восстановлению BitLocker.

Перезапустите устройство, чтобы применить изменение.

Если Credential Guard включена с блокировкой UEFI, переменные EFI, хранящиеся в встроенном ПО, должны быть очищены с помощью команды bcdedit.exe. В командной строке с повышенными привилегиями выполните следующие команды:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Дальнейшие действия

• Ознакомьтесь с рекомендациями и примером кода для повышения безопасности и надежности среды с помощью Credential Guard в статье Дополнительные меры по устранению рисков .
• Ознакомьтесь с рекомендациями и известными проблемами при использовании Credential Guard