管理 Windows Defender Credential Guard
默认启用
从 Windows 11 企业版 版本 22H2 和 Windows 11 教育版 版本 22H2 开始,兼容系统默认已启用 Windows Defender Credential Guard。 此功能会更改 Windows 中功能的默认状态,但系统管理员仍可修改此启用状态。 Windows Defender凭据防护仍可通过下面所述的方法手动启用或禁用。
Windows Defender Credential Guard:已知问题中记录了默认启用引起的已知问题。
自动启用的要求
当电脑满足以下最低要求时,默认情况下将启用 Windows Defender Credential Guard:
| 组件 | 要求 |
|---|---|
| 操作系统 | Windows 11 企业版版本 22H2 或 Windows 11 教育版 版本 22H2 |
| 现有Windows Defender Credential Guard 要求 | 默认情况下,只有满足运行 Windows Defender Credential Guard 的现有硬件和软件要求的设备才会启用它。 |
| 基于虚拟化的安全性 (VBS) 要求 | 必须启用 VBS 才能运行 Windows Defender Credential Guard。 从 Windows 11 企业版 22H2 和 Windows 11 教育版 22H2 开始,满足运行 Windows Defender Credential Guard 的要求以及启用 VBS 的最低要求的设备将默认启用 Windows Defender Credential Guard 和 VBS。 |
注意
如果以前显式禁用了 Windows Defender Credential Guard 或 VBS,则默认启用不会覆盖此设置。
注意
运行 Windows 11 专业版 22H2 的设备可能已自动启用Virtualization-Based安全 (VBS) 和/或 Windows Defender Credential Guard,前提是它们满足上面列出的默认启用的其他要求,并且以前运行过 Windows Defender Credential Guard (,例如,如果Windows Defender Credential Guard 在后来降级为 Pro) 的企业设备上运行。
若要确定 Pro 设备是否处于此状态,请检查 中是否存在Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0注册表项IsolatedCredentialsRootSecret。 在这种情况下,如果要禁用 VBS 并Windows Defender Credential Guard,请按照禁用Virtualization-Based安全性的说明进行操作。 如果希望仅禁用 Windows Defender Credential Guard 而不禁用Virtualization-Based安全性,请使用禁用 Windows Defender Credential Guard 的过程。
启用 Windows Defender Credential Guard
可以使用 组策略 或注册表启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 可以保护 Hyper-V 虚拟机中的密钥,就像在物理计算机上一样。 用于启用物理计算机上的 Windows Defender Credential Guard 的相同过程还适用于虚拟机。
注意
使用 Azure Gen 1 VM 时,不支持 Credential Guard 和 Device Guard。 这些选项仅适用于 Gen 2 VM。
使用组策略启用 Windows Defender Credential Guard
你可以使用组策略启用 Windows Defender Credential Guard。 启用后,它将根据需要添加和启用基于虚拟化的安全功能。
在组策略管理控制台中,转到 计算机配置>管理模板>系统>设备 Guard。
选择 启用基于虚拟化的安全醒,然后选择 启用 选项。
在选择平台安全级别框中,选择安全启动或安全启动和 DMA 保护。
在 Credential Guard 配置 框中,选择 使用 UEFI 锁定启用。 如果你希望远程关闭 Windows Defender Credential Guard,请选择在不使用锁定的情况下启用。
在“安全启动配置”框中,选择“未配置”、“已启用”或“已禁用”。 更多相关信息,请参阅 System Guard 安全启动和 SMM 保护。
选择 确定,然后关闭组策略管理控制台。
若要强制执行组策略,你可以运行 gpupdate /force。
使用 Microsoft Intune 启用 Windows Defender Credential Guard
在Intune管理中心,选择“设备”。
选择“配置文件”。
选择“创建配置文件”>Windows 10及更高版本的>“设置”目录>“”创建”。
- 配置设置:在设置选取器中,选择 “设备防护 ”作为类别,并添加所需的设置。
注意
将启用 VBS 和安全启动,并且可以在使用或不使用 UEFI 锁定的情况下执行此操作。 如果需要远程禁用 Credential Guard,则无需 UEFI 锁定即可启用。
提示
还可在终结点安全使用帐户保护配置文件配置 Credential Guard。 有关详细信息,请参阅 Microsoft Intune 中终结点安全的帐户保护策略设置。
使用注册表启用 Windows Defender Credential Guard
如果你不使用组策略,可以使用注册表启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用基于虚拟化的安全功能,这些功能必须首先在某些操作系统上启用。
添加基于虚拟化的安全性功能
从 Windows 10 版本 1607 和 Windows Server 2016 开始,不需要启用 Windows 功能以使用基于虚拟化的安全性,可以跳过此步骤。
如果使用 Windows 10版本 1507 (RTM) 或 Windows 10 版本 1511,则必须启用 Windows 功能才能使用基于虚拟化的安全性。 若要启用,请使用控制面板或部署映像服务和管理工具 (DISM) 。
注意
如果使用组策略启用 Windows Defender Credential Guard,则不需要通过控制面板或 DISM 启用 Windows 功能的步骤。 组策略将为你安装 Windows 功能。
使用程序和功能添加基于虚拟化的安全性功能
打开“程序和功能”控制面板。
选择 打开或关闭 Windows 功能。
转到 Hyper-V>Hyper-V 平台,然后选中 Hyper-V 虚拟机监控程序 复选框。
选择功能选择顶层的隔离用户模式复选框。
选择“确定”。
使用 DISM 将基于虚拟化的安全性功能添加到离线映像
打开提升的命令提示符。
通过运行以下命令添加 Hyper-V 虚拟机监控程序:
dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all通过运行以下命令添加隔离用户模式功能:
dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode注意
在 Windows 10 版本 1607 及更高版本中,独立用户模式功能已集成到核心操作系统中。 因此不再需要在上述步骤 3 中运行命令。
提示
还可以通过使用 DISM 或配置管理器将这些功能添加到联机映像。
启用基于虚拟化的安全性和 Windows Defender Credential Guard
打开注册表编辑器。
启用基于虚拟化的安全性:
转到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard。添加名为 EnableVirtualizationBasedSecurity 的新 DWORD 值。 若要启用基于虚拟化的安全性,请将此注册表设置的值设置为 1;若要禁用它,则将此值设置为 0。
添加名为 RequirePlatformSecurityFeatures 的新 DWORD 值。 若要仅使用安全启动,请将此注册表设置的值设置为 1;若要使用安全启动和 DMA 保护,则将此值设置为 3。
启用 Windows Defender Credential Guard:
转到
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa。添加名为 LsaCfgFlags 的新 DWORD 值。 将此注册表设置的值设置为 1 可使用 UEFI 锁定启用 Windows Defender Credential Guard,将其设置 2 可在不使用锁定的情况下启用 Windows Defender Credential Guard,而将其设置为 0 可禁用它。
打开注册表编辑器。
注意
也可以通过在 FirstLogonCommands 无人参与设置中设置注册表条目来打开 Windows Defender Credential Guard。
检查 Windows Defender Credential Guard 性能
Windows Defender Credential Guard 是否正在运行?
你可以查看系统信息以检查 Windows Defender Credential Guard 是否正在电脑上运行。
选择 开始,键入 msinfo32.exe,然后选择 系统信息。
选择 系统摘要。
确认 Credential Guard 显示在基于虚拟化的安全服务正在运行旁边。
注意
对于运行 Windows 10 1703 的客户端计算机,不论何时为其他功能启用基于虚拟化的安全性,LsaIso.exe 都一直运行。
我们建议在设备加入域前启用 Windows Defender Credential Guard。 如果 Windows Defender Credential Guard 在加入域后启用,则用户和设备密钥可能已经泄露。 换句话说,启用 Credential Guard 无助于保护已泄露的设备或标识。 因此,我们建议尽早打开 Credential Guard。
你应该定期检查已启用 Windows Defender Credential Guard 的电脑。 可以使用安全审核策略或 WMI 查询。 以下是要查找的 WinInit 事件 ID 列表:
事件 ID 13 Windows Defender Credential Guard (LsaIso.exe) 已启动,并将保护 LSA 凭据。
事件 ID 14 Windows Defender Credential Guard (LsaIso.exe) 配置: [0x0 | 0x1 | 0x2], 0
第一个变量:0x1 或 0x2 表示 Windows Defender Credential Guard 配置为运行。 0x0 表示它未配置为运行。
第二个变量:0 表示它配置为在保护模式下运行。 1 表示它配置为在测试模式下运行。 此变量应始终为 0。
配置了事件 ID 15 Windows Defender Credential Guard (LsaIso.exe) ,但安全内核未运行;在未Windows Defender Credential Guard 的情况下继续。
事件 ID 16 Windows Defender Credential Guard (LsaIso.exe) 未能启动:[错误代码]
事件 ID 17读取 Windows Defender Credential Guard (LsaIso.exe) UEFI 配置时出错: [错误代码]
还可以通过检查应用程序和服务>日志 Microsoft > Windows > 内核启动事件日志中的事件 ID 51 来验证 TPM 是否用于密钥保护。 完整的事件文本将如下所示:
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.如果使用 TPM 运行,则 TPM PCR 掩码值将不是 0。可使用 Windows Powershell 确定客户端计算机上是否正在运行凭据保护。 在有问题的计算机上,打开提升的 PowerShell 窗口,并运行以下命令:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning此命令将生成以下输出:
0:Windows Defender Credential Guard 已禁用(未运行)
1:Windows Defender Credential Guard 已启用(正在运行)
注意
不建议通过检查任务列表或任务管理器,查看 LSAISO.exe 是否正在运行的方法来确定 Windows Defender Credential Guard 是否正在运行。
禁用 Windows Defender Credential Guard
可以通过下面介绍的几种方法禁用Windows Defender Credential Guard,具体取决于启用该功能的方式。 对于在 22H2 更新中自动启用 Windows Defender Credential Guard 且更新前未启用凭据防护的设备,通过 组策略 禁用就足够了。
如果使用 UEFI 锁定启用了 Windows Defender Credential Guard,则必须遵循使用 UEFI 锁定禁用 Windows Defender Credential Guard 中所述的过程。 符合条件的 22H2 设备中的默认启用更改 不使用 UEFI 锁定。
如果Windows Defender Credential Guard 是通过没有 UEFI Lock 的组策略启用的,则应通过 组策略 禁用 Windows Defender Credential Guard。
否则,可以通过更改注册表项来禁用 Windows Defender Credential Guard。
主机可以禁用在虚拟机中运行的 Windows Defender Credential Guard。
有关禁用Virtualization-Based安全性 (VBS) 的信息,请参阅 禁用Virtualization-Based安全性。
使用 组策略 禁用 Windows Defender Credential Guard
如果Windows Defender Credential Guard 是通过 组策略 启用的,并且没有 UEFI 锁定,则禁用相同的 组策略 设置将禁用 Windows Defender Credential Guard。
禁用管理 Windows Defender Credential Guard 的组策略设置。 导航到 “计算机配置>管理模板>”“系统>设备防护>”“启用基于虚拟化的安全性”。 在“Credential Guard 配置”部分中,将下拉列表值设置为“Disabled”:
重新启动计算机。
使用注册表项禁用 Windows Defender Credential Guard
如果启用了 Windows Defender Credential Guard 且没有 UEFI Lock 且没有组策略,则按如下所述编辑注册表项即可禁用 Windows Defender Credential Guard。
将以下注册表设置更改为 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlagsHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags注意
删除这些注册表设置可能不会禁用 Windows Defender Credential Guard。 它们必须设置为值 0。
重新启动计算机。
使用 UEFI 锁定禁用 Windows Defender Credential Guard
如果在启用了 UEFI Lock 的情况下启用了 Windows Defender Credential Guard,则必须遵循以下过程,因为设置将保留在 EFI (固件) 变量中。 此方案要求计算机中存在物理状态,才能按功能键接受更改。
如果使用组策略启用 Windows Defender Credential Guard,请禁用相关的组策略设置。 导航到 “计算机配置>管理模板>”“系统>设备防护>”“启用基于虚拟化的安全性”。 在“Credential Guard 配置”部分中,将下拉值设置为“Disabled”。
将以下注册表设置更改为 0:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlagsHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
使用 bcdedit 删除 Windows Defender Credential Guard EFI 变量。 在提升的命令提示符下键入以下命令:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d重新启动电脑。 在 OS 启动之前,将显示一条提示,通知 UEFI 已修改,并要求确认。 必须确认此提示,才能保留更改。 此步骤需要对计算机进行物理访问。
为虚拟机禁用 Windows Defender Credential Guard
从主机中,你可以针对虚拟机禁用 Windows Defender Credential Guard:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
禁用Virtualization-Based安全性
下面提供了有关如何完全禁用 Virtualization-Based Security (VBS) ,而不仅仅是Windows Defender Credential Guard 的说明。 禁用Virtualization-Based安全性将自动禁用Windows Defender Credential Guard 和其他依赖于 VBS 的功能。
重要提示
除了 Windows Defender Credential Guard 之外,其他安全功能依赖于 Virtualization-Based Security 才能运行。 禁用Virtualization-Based安全性可能会产生意外的副作用。
如果使用组策略启用Virtualization-Based安全性,请将用于启用它的组策略设置 (计算机配置>管理模板>系统>设备防护>启用基于虚拟化的安全性) 设置为“已禁用”。
删除以下注册表设置:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurityHKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures重要提示
如果你手动删除这些注册表设置,请确保将它们全部删除。 如果不全部删除,设备可能会进入 BitLocker 恢复状态。
如果在禁用Virtualization-Based安全性时正在运行Windows Defender Credential Guard,并且任一功能都启用了 UEFI 锁定,则必须使用 bcdedit 清除 EFI (固件) 变量。 在提升的命令提示符下,在关闭所有Virtualization-Based安全组策略和注册表设置后运行以下 bcdedit 命令,如上述步骤 1 和 2 中所述:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set vsmlaunchtype off重新启动电脑。