Управление Credential Guard в Защитнике Windows

Включение по умолчанию

Начиная с Windows 11 Корпоративная версии 22H2 и Windows 11 для образовательных учреждений версии 22H2 совместимые системы по умолчанию Защитник Windows Credential Guard включен. Эта функция изменяет состояние компонента по умолчанию в Windows, хотя системные администраторы по-прежнему могут изменять это состояние включения. Защитник Windows Credential Guard по-прежнему можно включить или отключить вручную с помощью описанных ниже методов.

Требования к автоматическому включению

Защитник Windows Credential Guard будет включена по умолчанию, если компьютер соответствует следующим минимальным требованиям:

Компонент Требование
Операционная система Windows 11 Корпоративная версии 22H2 или Windows 11 для образовательных учреждений версии 22H2
Существующие требования Защитник Windows Credential Guard По умолчанию она включена только для устройств, соответствующих существующим требованиям к оборудованию и программному обеспечению для запуска Защитник Windows Credential Guard.
Требования к безопасности на основе виртуализации (VBS) Для запуска Защитник Windows Credential Guard необходимо включить VBS. Начиная с Windows 11 Корпоративная 22H2 и Windows 11 для образовательных учреждений 22H2, устройства, которые соответствуют требованиям для запуска Защитник Windows Credential Guard, а также минимальным требованиям для включения VBS, будут иметь оба Защитник Windows Credential Guard и VBS включены по умолчанию.

Примечание

Если Защитник Windows Credential Guard или VBS ранее явно отключены, включение по умолчанию не перезаписывает этот параметр.

Примечание

Устройства под управлением Windows 11 Pro 22H2 могут автоматически включать Virtualization-Based Security (VBS) и (или) Защитник Windows Credential Guard, если они соответствуют другим требованиям для включения по умолчанию, перечисленным выше, и ранее запускали Защитник Windows Credential Guard (например, если Защитник Windows Credential Guard выполнялся на корпоративном устройстве, которое позже было понижено до Pro.

Чтобы определить, находится ли устройство Pro в этом состоянии, проверьте, присутствует ли раздел IsolatedCredentialsRootSecret реестра в Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. В этом сценарии, если вы хотите отключить VBS и Защитник Windows Credential Guard, следуйте инструкциям по отключению Virtualization-Based Security. Если вы хотите отключить только Защитник Windows Credential Guard без отключения Virtualization-Based Security, используйте процедуры для отключения Защитник Windows Credential Guard.

Включение Credential Guard в Защитнике Windows

Защитник Windows Credential Guard можно включить с помощью групповая политика, реестра или защищенной гипервизором целостности кода (HVCI) и средства подготовки оборудования Credential Guard Защитник Windows. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.

Примечание

Credential Guard и Device Guard не поддерживаются при использовании виртуальных машин Azure 1-го поколения. Эти параметры доступны только для виртуальных машин 2-го поколения.

Включение Credential Guard в Защитнике Windows с помощью групповой политики.

Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. Если этот параметр включен, он добавит и при необходимости включит функции безопасности на основе виртуализации.

  1. В консоли управления групповая политика перейдите в раздел Конфигурация > компьютераАдминистративные шаблоны > System > Device Guard.

  2. Выберите Включить безопасность на основе виртуализации, а затем выберите параметр Включено .

  3. В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.

  4. В поле Конфигурация Credential Guard выберите Включено с блокировкой UEFI. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.

  5. В поле Конфигурация безопасного запуска выберите Не настроено, Включено или Отключено. Дополнительные сведения см. в разделе System Guard secure launch and SMM protection.

    Защитник Windows параметр групповая политика Credential Guard.

  6. Нажмите кнопку ОК и закройте консоль управления групповая политика.

Чтобы применить обработку групповой политики, можно запустить gpupdate /force.

Включение Защитник Windows Credential Guard с помощью Microsoft Intune

  1. В Центре администрирования Endpoint Manager выберите Устройства.

  2. Выберите Профили конфигурации.

  3. Выберите Создать профиль > Windows 10 и более поздние версии > Каталог > параметровСоздать.

    1. Параметры конфигурации. В окне выбора параметров выберите Device Guard в качестве категории и добавьте необходимые параметры.

Примечание

Включите VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее. Если вам потребуется отключить Credential Guard удаленно, включите его без блокировки UEFI.

Совет

Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечных точек. Дополнительные сведения см. в статье Параметры политики защиты учетных записей для безопасности конечных точек в Microsoft Intune.

Включение Credential Guard в Защитнике Windows с помощью реестра

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Защитник Windows Credential Guard использует функции безопасности на основе виртуализации, которые необходимо сначала включить в некоторых операционных системах.

Добавление функций безопасности на основе виртуализации

Начиная с Windows 10 версии 1607 и Windows Server 2016, включение функций Windows для использования безопасности на основе виртуализации не требуется, и этот шаг можно пропустить.

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, компоненты Windows должны быть включены для использования безопасности на основе виртуализации. Чтобы включить, используйте панель управления или средство обслуживания образов развертывания и управления ими (DISM).

Примечание

Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.

Добавление функций безопасности на основе виртуализации с помощью раздела "Программы и компоненты"
  1. Откройте раздел Панели управления "Программы и компоненты".

  2. Выберите Включить или отключить функцию Windows.

  3. Перейдите в раздел Платформа Hyper-V > Hyper-V и установите флажок Hyper-V.

  4. Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.

  5. Нажмите ОК.

Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM
  1. Откройте командную строку с повышенными привилегиями.

  2. Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. Добавьте режим изолированного пользователя с помощью следующей команды:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Примечание

    В Windows 10 версии 1607 и более поздних в базовую операционную систему была интегрирована функция изолированного режима пользователя. Поэтому выполнение команды на шаге 3 выше больше не требуется.

Совет

Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.

Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows

  1. Откройте редактор реестра.

  2. Включите средство обеспечения безопасности на основе виртуализации.

    1. Перейти на страницу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.

    2. Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.

    3. Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.

  3. Включение Credential Guard в Защитнике Windows:

    1. Перейти на страницу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Добавьте новый параметр типа DWORD с именем LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.

  4. Закройте редактор реестра.

Примечание

Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.

Включение Защитник Windows Credential Guard с помощью средства подготовки оборудования HVCI и Защитник Windows Credential Guard

Вы также можете включить Защитник Windows Credential Guard с помощью средства подготовки оборудования HVCI и Защитник Windows Credential Guard.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

Важно!

При запуске HVCI и Защитник Windows средства проверки готовности оборудования Credential Guard в операционной системе, отличной от английского языка, в скрипте измените $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() значение на значение , чтобы средство работало.

Это известная проблема.

Оценка работы Credential Guard в Защитнике Windows

Запущен ли Credential Guard в Защитнике Windows?

Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу "Сведения о системе".

  1. Нажмите кнопку Пуск, ** введитеmsinfo32.exe**, а затем выберите Сведения о системе.

  2. Выберите Сводка по системе.

  3. Убедитесь, что credential Guard отображается рядом с пунктом Запущенные службы безопасности на основе виртуализации.

    В записи &quot;Запущенные службы безопасности на основе виртуализации&quot; перечислены учетные данные Credential Guard в системных сведениях (msinfo32.exe).

Вы также можете проверить, работает ли Защитник Windows Credential Guard, с помощью средства подготовки оборудования HVCI и Защитник Windows Credential Guard.

DG_Readiness_Tool_v3.6.ps1 -Ready

Важно!

При запуске HVCI и Защитник Windows средства проверки готовности оборудования Credential Guard в операционной системе, отличной от английского языка, в скрипте измените *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() значение на значение , чтобы средство работало.

Это известная проблема.

Примечание

На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.

  • Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы. Иными словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже было скомпрометировано. Поэтому мы рекомендуем включить Credential Guard как можно раньше.

  • Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows. Можно использовать политики аудита безопасности или запросы WMI. Ниже представлен список кодов событий WinInit, которые следует искать.

    • Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.

    • Идентификатор события 14 Защитник Windows конфигурации Credential Guard (LsaIso.exe): [0x0 | 0x1 | 0x2], 0

      • Первая переменная: 0x1 или 0x2 означает, что Защитник Windows Credential Guard настроен для запуска. 0x0 означает, что он не настроен для запуска.

      • Вторая переменная: 0 означает, что она настроена для запуска в режиме защиты. 1 означает, что он настроен для запуска в тестовом режиме. Эта переменная всегда должна иметь значение 0.

    • Событие с идентификатором 15 Защитник Windows Credential Guard (LsaIso.exe) настроено, но безопасное ядро не выполняется; продолжается без Защитник Windows Credential Guard.

    • Код события 16. Не удалось запустить Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]

    • Идентификатор события 17 Ошибка при чтении конфигурации UEFI Защитник Windows Credential Guard (LsaIso.exe): [код ошибки]

  • Вы также можете убедиться, что TPM используется для защиты ключей, проверив идентификатор события 51 в журнале приложений и служб > журнале событий Microsoft > Windows > журнале событий загрузки ядра . Полный текст события будет выглядеть следующим образом: VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. Если вы работаете с TPM, значение маски ПЦР доверенного платформенного модуля будет иметь значение, отличное от 0.

  • С помощью Windows PowerShell можно определить, работает ли credential guard на клиентском компьютере. На соответствующем компьютере откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    Эта команда создает следующие выходные данные:

    • 0: Защитник Windows Credential Guard отключен (не выполняется)

    • 1: Защитник Windows Credential Guard включен (выполняется)

      Примечание

      Проверка списка задач или диспетчера задач, чтобы узнать, выполняется ли LSAISO.exe, не является рекомендуемой методикой для определения того, запущена ли Защитник Windows Credential Guard.

Отключение Credential Guard в Защитнике Windows

Защитник Windows Credential Guard можно отключить с помощью нескольких методов, описанных ниже, в зависимости от того, как эта функция была включена. Для устройств, на которых Защитник Windows Credential Guard автоматически включен в обновлении 22H2 и не включил его до обновления, достаточно отключить с помощью групповая политика.

Если Защитник Windows Credential Guard включена блокировка UEFI, необходимо выполнить процедуру, описанную в разделе Отключение Защитник Windows Credential Guard с блокировкой UEFI. Изменение включения по умолчанию на подходящих устройствах 22H2 не использует блокировку UEFI.

Если Защитник Windows Credential Guard был включен через групповая политика без блокировки UEFI, Защитник Windows Credential Guard следует отключить с помощью групповая политика.

В противном случае Защитник Windows Credential Guard можно отключить, изменив разделы реестра.

Защитник Windows Credential Guard, запущенная на виртуальной машине, может быть отключена узлом.

Сведения об отключении Virtualization-Based security (VBS) см. в разделе Отключение Virtualization-Based security.

Отключение Защитник Windows Credential Guard с помощью групповая политика

Если Защитник Windows Credential Guard был включен через групповая политика и без блокировки UEFI, при отключении того же параметра групповая политика отключается Защитник Windows Credential Guard.

  1. Отключите параметр групповая политика, который управляет Защитник Windows Credential Guard. Перейдите в раздел Конфигурация > компьютераАдминистративные шаблоны > System > Device Guard > Включить безопасность на основе виртуализации. В разделе "Конфигурация Credential Guard" задайте для раскрывающегося списка значение "Отключено":

    Защитник Windows Credential Guard групповая политика значение Отключено.

  2. Перезапустите компьютер.

Отключение Защитник Windows Credential Guard с помощью разделов реестра

Если Защитник Windows Credential Guard включен без блокировки UEFI и без групповая политика, достаточно изменить разделы реестра, как описано ниже, чтобы отключить Защитник Windows Credential Guard.

  1. Измените следующие параметры реестра на 0:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

      Примечание

      Удаление этих параметров реестра не может привести к отключению Защитник Windows Credential Guard. Для них должно быть задано значение 0.

  2. Перезапустите компьютер.

Отключение Защитник Windows Credential Guard с помощью блокировки UEFI

Если Защитник Windows Credential Guard включен с включенной блокировкой UEFI, необходимо выполнить следующую процедуру, так как параметры сохраняются в переменных EFI (встроенного ПО). В этом сценарии потребуется физическое присутствие на компьютере, чтобы нажать функциональную клавишу, чтобы принять изменения.

  1. Если групповая политика использовалась для включения Защитник Windows Credential Guard, отключите соответствующий параметр групповая политика. Перейдите в раздел Конфигурация > компьютераАдминистративные шаблоны > System > Device Guard > Включить безопасность на основе виртуализации. В разделе "Конфигурация Credential Guard" задайте для раскрывающегося списка значение "Отключено".

  2. Измените следующие параметры реестра на 0:

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

  3. Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  4. Перезагрузите компьютер. Перед загрузкой ОС появится запрос с уведомлением об изменении UEFI и запросом подтверждения. Этот запрос должен быть подтвержден для сохранения изменений. Для этого шага требуется физический доступ к компьютеру.

Отключение Credential Guard в Защитнике Windows для виртуальной машины

На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Отключение Virtualization-Based безопасности

Ниже приведены инструкции по отключению Virtualization-Based Security (VBS), а не только Защитник Windows Credential Guard. При отключении Virtualization-Based security автоматически отключается Защитник Windows Credential Guard и другие функции, использующие VBS.

Важно!

Другие функции безопасности, помимо Защитник Windows Credential Guard, используют для запуска Virtualization-Based Security. Отключение Virtualization-Based Security может иметь непреднамеренные побочные эффекты.

  1. Если групповая политика использовалась для включения безопасности Virtualization-Based, задайте для параметра групповая политика, который использовался для его включения (административные шаблоны > конфигурации > компьютера ) System > Device Guard > Turn on Virtualization Based Security (Включить безопасность на основе виртуализации) значение "Отключено".

  2. Удалите указанные ниже параметры реестра.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Важно!

      Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.

  3. Если Защитник Windows Credential Guard выполняется при отключении Virtualization-Based Security и любая из этих функций включена с блокировкой UEFI, переменные EFI (встроенного ПО) должны быть очищены с помощью bcdedit. В командной строке с повышенными привилегиями выполните следующие команды bcdedit после отключения всех параметров групповая политика безопасности Virtualization-Based и реестра, как описано в шагах 1 и 2 выше:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    
  4. Перезагрузите компьютер.