Windows Defender Credential Guard：已知问题

项目
03/18/2023
适用于:

✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Windows Defender Credential Guard 有某些应用程序要求。 Windows Defender Credential Guard 阻止特定的身份验证功能。因此，需要此类功能的应用程序在启用后将无法正常运行。有关详细信息，请参阅应用程序要求。

已知问题：升级到 Windows 11 版本 22H2 后，网络服务的单个Sign-On (SSO) 中断

问题的症状：

使用 802.1x 无线或有线网络、RDP 或 VPN 连接的设备（这些连接依赖于具有基于密码的身份验证的不安全协议）将无法使用 SSO 登录，并且当 Windows Defender Credential Guard 正在运行时，将强制在每个新的 Windows 会话中手动重新进行身份验证。

受影响的设备：

启用 Windows Defender Credential Guard 的任何设备都可能会遇到此问题。作为Windows 11版本 22H2 更新的一部分，以前未显式禁用的合格设备Windows Defender Credential Guard 默认启用它。这会影响企业版 (E3 和 E5) 和教育版许可证上的所有设备，以及某些专业版许可证*，只要它们满足最低硬件要求。

* 以前在符合条件的许可证上运行Windows Defender Credential Guard，后来降级为 Pro 且仍满足最低硬件要求的所有 Pro 设备都将获得默认启用。

提示

若要确定 Pro 设备在升级到 Windows 11 版本 22H2 时是否会收到默认启用，请在升级前执行以下操作：
检查中Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0是否存在注册表项IsolatedCredentialsRootSecret。如果存在，则设备将在升级后启用 Windows Defender Credential Guard。请注意，Windows Defender Credential Guard 可以在升级后按照禁用说明禁用。

发生此情况的原因：

当应用程序和服务依赖于使用基于密码的身份验证的不安全协议时，它们会受到此问题的影响。 Windows Defender Credential Guard 在设计上阻止使用这些不安全的协议。这些协议被视为不安全，因为它们可能导致客户端和服务器上的密码泄露，这与 Windows Defender Credential Guard 的目标直接矛盾。受影响的 procols 包括：

阻止 kerberos 不受约束的委派 (SSO 和提供的凭据)
当 PKINIT 使用 RSA 加密而不是Diffie-Hellman (SSO 和提供的凭据时，Kerberos 会被阻止)
MS-CHAP (仅 SSO 被阻止)
WDigest 仅 (SSO 被阻止)
NTLM v1 (仅阻止 SSO)

由于仅阻止 MS-CHAP、WDigest 和 NTLM v1 的 SSO，因此仍可以通过提示用户提供凭据来使用这些协议。

注意

MS-CHAP 和 NTLMv1 与 Windows 11 版本 22H2 更新后观察到的 SSO 中断特别相关。若要确认 Windows Defender Credential Guard 是否阻止了这些协议中的任何一种，检查事件查看器中的 Application and Services Logs\Microsoft\Windows\NTLM\Operational NTLM 事件日志，了解以下警告和/或错误：

事件 ID 4013 (警告)

<string  
  id="NTLMv1BlockedByCredGuard"  
  value="Attempt to use NTLMv1 failed.
  Target server: %1%nSupplied user: %2%nSupplied domain: %3%nPID of client process: %4%nName of client process: %5%nLUID of client process: %6%nUser identity of client process: %7%nDomain name of user identity of client process: %8%nMechanism OID: %9%n%nThis device does not support NTLMv1. For more information, see https://go.microsoft.com/fwlink/?linkid=856826."  
/>

事件 ID 4014 (错误)

<string  
   id="NTLMGetCredentialKeyBlockedByCredGuard"  
   value="Attempt to get credential key by call package blocked by Credential Guard.%n%nCalling Process Name: %1%nService Host Tag: %2"  
/>

用于解决此问题的选项：

Microsoft 建议组织从基于 MSCHAPv2 的连接（例如PEAP-MSCHAPv2和 EAP-MSCHAPv2）转向基于证书的身份验证，例如 PEAP-TLS 或 EAP-TLS。 Windows Defender Credential Guard 不会阻止基于证书的身份验证。

对于更直接但不太安全的修复，请禁用 Windows Defender Credential Guard。请注意，Windows Defender Credential Guard 没有按协议或按应用程序策略，并且必须完全打开或关闭。禁用 Windows Defender Credential Guard 会使某些存储的域凭据容易被盗。 Windows Defender Credential Guard 可以在已启用后禁用，也可以在更新到 Windows 11 版本 22H2 之前显式禁用它，这将防止发生默认启用。

提示

若要防止默认启用，请在更新到 Windows 11 版本 22H2 之前，使用组策略显式禁用 Windows Defender Credential Guard。如果未配置 GPO 值， (这是默认状态) ，则设备将在更新后收到默认启用（如果符合条件）。如果 GPO 值设置为“disabled”，则更新后不会启用它。此过程也可以通过移动设备管理 (MDM) 策略来完成，而不是组策略（如果设备当前由 MDM 管理）。

涉及第三方应用程序的已知问题

以下问题影响 MSCHAPv2：

凭据防护不适用于 MSCHAPv2 配置，其中 Cisco ISE 是一个非常受欢迎的企业实现。

以下问题影响 Java GSS API。请参阅以下 Oracle Bug 数据库文章：

JDK-8161921：Windows Defender Credential Guard 不允许使用 Java 共享 TGT

在 Windows 上启用 Windows Defender Credential Guard 时，Java GSS API 不会进行身份验证。这是预期行为，因为 Windows Defender Credential Guard 会阻止特定的应用程序身份验证功能，并且无论注册表项设置如何，都不会向应用程序提供 TGT 会话密钥。有关详细信息，请参阅应用程序要求。

以下问题影响 Cisco AnyConnect Secure Mobility Client：

使用 Cisco Anyconnect 4.3.04027 运行Hypervisor-Protected代码完整性和 Windows Defender Credential Guard 的 Windows 计算机上的蓝屏

以下问题影响 McAfee 应用程序和更改控制 (MACC)：

启用 Windows Defender Credential Guard 时，安装 McAfee 应用程序和更改控制 (MACC) 的 KB88869 Windows 计算机表现出较高的 CPU 使用率^{。注释 1}

以下问题影响 Citrix 应用程序：

启用 Windows Defender Credential Guard 时，安装 Citrix 应用程序的 Windows 计算机表现出较高的 CPU 使用率。 ^{注释 1}

注意

注意 1：连接到基于虚拟化的安全性 (VBS) 受保护的进程的产品可能会导致Windows Defender已启用 Credential Guard 的Windows 10、Windows 11、Windows Server 2016或 Windows Server 2019 计算机表现出较高的 CPU 使用率。有关技术和故障排除信息，请参阅 Windows 上的 LSAISO 进程中的 KB4032786 CPU 使用率过高。

有关LSAISO.exe的更多技术信息，请参阅独立用户模式 (IUM) 进程。

供应商支持

有关 Citrix 对安全启动的支持的详细信息，请参阅 Citrix 对安全启动的支持

以下产品、产品版本、计算机系统或Windows 10版本不支持 Windows Defender Credential Guard：

此列表并不全面。检查产品供应商、产品版本或计算机系统是否支持在运行 Windows 或特定 Windows 版本的系统上Windows Defender Credential Guard。特定计算机系统型号可能与 Windows Defender Credential Guard 不兼容。

Microsoft 鼓励第三方供应商通过提供相关产品的支持信息，并添加其自己的产品支持声明的链接来为此页贡献内容。

以前已修复的已知问题

2017 年 11 月累积安全更新中已修复以下已知问题：

启用 Credential Guard 时，使用域用户存储凭据的计划任务无法运行。该任务失败并且报告事件 ID 104，而且会显示以下消息：

Task Scheduler failed to log on '\Test'.
Failure occurred in 'LogonUserExEx'.
User Action: Ensure the credentials for the task are correctly specified.
Additional Data: Error Value: 2147943726. 2147943726: ERROR\_LOGON\_FAILURE (The user name or password is incorrect).

在域控制器上启用 NTLM 审核时，会记录具有不可识别用户名格式的事件 ID 8004。还会在用户登录失败事件 4625 中获取类似的用户名，并在计算机本身上0xC0000064错误。例如：
```
Log Name: Microsoft-Windows-NTLM/Operational
Source: Microsoft-Windows-Security-Netlogon
Event ID: 8004
Task Category: Auditing NTLM
Level: Information
Description:
Domain Controller Blocked Audit: Audit NTLM authentication to this domain controller.
Secure Channel name: <Secure Channel Name>
User name:
@@CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAgDA2AQQAMEAwAANAgDA1AQLAIEADBQRAADAtAANAYEA1AwQA0CA5AAOAMEAyAQLAYDAxAwQAEDAEBwMAMEAwAgMAMDACBgRA0HA
Domain name: NULL
```
- 此事件源于在具有 2017 年 11 月或更高版本累积安全更新的本地用户上下文下运行的计划任务，并在启用 Credential Guard 时发生。
- 用户名以异常格式显示，因为本地帐户不受 Credential Guard 的保护。任务也无法执行。
- 解决方法是，在域用户或计算机的 SYSTEM 帐户下运行计划任务。

已通过 2017 年 4 月的累积安全更新中提供的服务版本修复了以下已知问题：

KB4015217 Windows Defender Credential Guard 在已加入 Active Directory 域的 Windows 计算机上生成双重错误密码计数

此问题可能会导致意外的帐户锁定。有关详细信息，请参阅以下支持文章：
- KB4015219
- KB4015221