配置 Credential Guard
本文介绍如何使用Microsoft Intune、组策略或注册表配置 Credential Guard。
默认启用
从 Windows 11、22H2 和 Windows Server 2025 开始,默认情况下,在满足要求的设备上启用 Credential Guard。
系统管理员可以使用本文中所述的方法之一显式启用或禁用 Credential Guard。 显式配置的值将在重新启动后覆盖默认启用状态。
如果设备在更新到默认情况下启用了 Credential Guard 的较新版本的 Windows 之前显式关闭 Credential Guard,则即使在更新后,它仍将保持禁用状态。
重要提示
有关与默认启用相关的已知问题的信息,请参阅 Credential Guard:已知问题。
启用 Credential Guard
应在设备加入域之前或域用户首次登录之前启用 Credential Guard。 如果在加入域后启用了 Credential Guard,则用户和设备机密可能已泄露。
若要启用 Credential Guard,可以使用:
- Microsoft Intune/MDM
- 组策略
- 注册表
以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。
Intune/CSP
GPO
注册表使用 Intune 配置 Credential Guard
若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 | 值 |
|---|---|---|
| Device Guard | Credential Guard | 选择以下选项之一: - 使用 UEFI 锁定启用 - 在未锁定的情况下启用 |
重要提示
如果希望能够远程关闭 Credential Guard,请选择选项 “启用且不锁定”。
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
提示
还可以使用终结点安全性中的 帐户保护 配置文件配置 Credential Guard。 有关详细信息,请参阅 Microsoft Intune 中终结点安全的帐户保护策略设置。
或者,可以通过 DeviceGuard 策略 CSP 使用自定义策略配置设备。
| 设置 |
|---|
|
设置名称:启用基于虚拟化的安全性 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity数据类型:int 值: 1 |
|
设置名称:Credential Guard 配置 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags数据类型:int 值: 使用 UEFI 锁启用: 1在未锁定的情况下启用: 2 |
应用策略后,重启设备。
验证 Credential Guard 是否已启用
检查任务管理器是否 LsaIso.exe 正在运行不是确定 Credential Guard 是否正在运行的建议方法。 请改用以下方法之一:
- 系统信息
- PowerShell
- 事件查看器
系统信息
可以使用 系统信息 来确定 Credential Guard 是否在设备上运行。
- 选择“开始”,键入
msinfo32.exe,然后选择“系统信息” - 选择 “系统摘要”
- 确认 Credential Guard 显示在正在运行的基于虚拟化的安全服务旁边
PowerShell
可以使用 PowerShell 来确定 Credential Guard 是否在设备上运行。 在提升的 PowerShell 会话中,使用以下命令:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
命令生成以下输出:
- 0:凭据防护已禁用 (未运行)
- 1:在运行) (启用 Credential Guard
事件查看器
使用安全审核策略或 WMI 查询定期评审启用了 Credential Guard 的设备。
打开事件查看器 (eventvwr.exe) ,转到Windows Logs\System并筛选 WinInit 的事件源:
事件 ID
Description
13 (信息)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (信息)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- 第一个变量: 0x1 或 0x2 表示 Credential Guard 配置为运行。 0x0 表示它未配置为运行。
- 第二个变量:0 表示它配置为在保护模式下运行。 1 表示它配置为在测试模式下运行。 此变量应始终为 0。
15 (警告)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (警告)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
以下事件指示 TPM 是否用于密钥保护。 路径: Applications and Services logs > Microsoft > Windows > Kernel-Boot
事件 ID
Description
51 (信息)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
如果使用 TPM 运行,则 TPM PCR 掩码值不是 0。
禁用 Credential Guard
可通过不同的选项禁用 Credential Guard。 选择的选项取决于 Credential Guard 的配置方式:
- 主机可以禁用在虚拟机中运行的 Credential Guard
- 如果使用 UEFI 锁定启用 Credential Guard,请按照使用 UEFI 锁定禁用 Credential Guard 中所述的过程操作
- 如果在 未启用 UEFI Lock 的情况下启用了 Credential Guard,或者作为 默认启用更新的一部分,请使用以下选项之一来禁用它:
- Microsoft Intune/MDM
- 组策略
- 注册表
以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。
使用 Intune 禁用 Credential Guard
如果通过 Intune 启用了 Credential Guard,并且没有 UEFI 锁定,则禁用相同的策略设置将禁用 Credential Guard。
若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 | 值 |
|---|---|---|
| Device Guard | Credential Guard | 禁用 |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
或者,可以通过 DeviceGuard 策略 CSP 使用自定义策略配置设备。
| 设置 |
|---|
|
设置名称:Credential Guard 配置 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags数据类型:int 值: 0 |
应用策略后,重启设备。
有关禁用基于虚拟化的安全性 (VBS) 的信息,请参阅 禁用基于虚拟化的安全性。
使用 UEFI 锁定禁用 Credential Guard
如果使用 UEFI 锁启用 Credential Guard,请遵循此过程,因为设置将保留在 EFI (固件) 变量中。
注意
此方案要求计算机中存在物理状态,才能按功能键接受更改。
按照禁用 Credential Guard 中的步骤操作
使用 bcdedit 删除 Credential Guard EFI 变量。 在提升的命令提示符下键入以下命令:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d重启设备。 在 OS 启动之前,系统会显示一条提示,通知 UEFI 已修改,并要求确认。 必须确认提示,更改才能保留。
为虚拟机禁用 Credential Guard
在主机中,可以使用以下命令为虚拟机禁用 Credential Guard:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
禁用基于虚拟化的安全性
如果禁用基于虚拟化的安全性 (VBS) ,则会自动禁用 Credential Guard 和其他依赖于 VBS 的功能。
重要提示
Credential Guard 以外的其他安全功能依赖于 VBS。 禁用 VBS 可能会产生意外的副作用。
使用以下选项之一禁用 VBS:
- Microsoft Intune/MDM
- 组策略
- 注册表
以下说明提供了有关如何配置设备的详细信息。 选择最适合需要的选项。
使用Intune禁用 VBS
如果通过 Intune 启用 VBS,并且没有 UEFI 锁定,则禁用相同的策略设置将禁用 VBS。
若要使用Microsoft Intune配置设备,请创建设置目录策略并使用以下设置:
| 类别 | 设置名称 | 值 |
|---|---|---|
| Device Guard | 启用基于虚拟化的安全性 | 禁用 |
将策略分配给一个组,该组包含要配置的设备或用户作为成员。
或者,可以通过 DeviceGuard 策略 CSP 使用自定义策略配置设备。
| 设置 |
|---|
|
设置名称:启用基于虚拟化的安全性 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity数据类型:int 值: 0 |
应用策略后,重启设备。
如果使用 UEFI 锁定启用 Credential Guard,则必须使用 命令 bcdedit.exe清除固件中存储的 EFI 变量。 在提升的命令提示符下,运行以下命令:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
后续步骤
- 在 其他缓解 措施一文中查看有关使用 Credential Guard 使环境更安全、更可靠的建议和示例代码
- 查看 使用 Credential Guard 时的注意事项和已知问题