設定 Credential Guard
本文說明如何使用 Microsoft Intune、群組原則 或登錄來設定 Credential Guard。
默認啟用
從 Windows 11、22H2 和 Windows Server 2025 開始,預設會在符合需求的裝置上啟用 Credential Guard。
系統管理員可以使用本文所述的其中一種方法,明確 啟 用或 停 用 Credential Guard。 明確設定的值會覆寫重新啟動后的默認啟用狀態。
如果裝置在更新至默認啟用 Credential Guard 的較新 Windows 版本之前已明確關閉 Credential Guard,則即使在更新之後仍會保持停用狀態。
重要
如需與默認啟用相關的已知問題資訊,請參閱 Credential Guard:已知問題。
啟用 Credential Guard
在裝置加入網域之前或網域使用者第一次登入之前,應該先啟用 Credential Guard。 如果在加入網域之後啟用 Credential Guard,使用者和裝置秘密可能已經遭到入侵。
若要啟用 Credential Guard,您可以使用:
- Microsoft Intune/MDM
- 群組原則
- 登錄
下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。
Intune/CSP
GPO
登錄使用 Intune 設定 Credential Guard
若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| Device Guard | Credential Guard | 選取其中一個選項: - 使用 UEFI 鎖定啟用 - 在不使用鎖定的情況下啟用 |
重要
如果您想要能夠從遠端關閉 Credential Guard,請選擇 [ 啟用但不鎖定] 選項。
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
提示
您也可以在端點安全性中使用 帳戶保護 配置檔來設定 Credential Guard。 如需詳細資訊,請參閱 Microsoft Intune 中端點安全性的帳戶保護原則設定。
或者,您可以使用 自定義 原則搭配 DeviceGuard 原則 CSP 來設定裝置。
| 設定 |
|---|
|
設定名稱:開啟虛擬化型安全性 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity數據類型:int 值: 1 |
|
設定名稱:Credential Guard 組態 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags數據類型:int 值: 使用 UEFI 鎖定啟用: 1在不使用鎖定的情況下開啟: 2 |
套用原則之後,請重新啟動裝置。
確認 Credential Guard 是否已啟用
檢查任務管理員是否 LsaIso.exe 正在執行不是判斷 Credential Guard 是否正在執行的建議方法。 請改用下列其中一種方法:
- 系統資訊
- PowerShell
- 事件檢視器
系統資訊
您可以使用 系統資訊 來判斷 Credential Guard 是否正在裝置上執行。
- 選 取 [開始],輸入
msinfo32.exe,然後選 取 [系統資訊] - 選 取系統摘要
- 確認 Credential Guard 顯示在執行中的虛擬化安全性服務旁邊
PowerShell
您可以使用 PowerShell 來判斷 Credential Guard 是否正在裝置上執行。 從提升許可權的 PowerShell 工作階段中,使用下列命令:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
命令會產生下列輸出:
- 0:Credential Guard 已停用, (未執行)
- 1:執行) (啟用 Credential Guard
事件查看器
使用安全性審核策略或WMI查詢,定期檢閱已啟用 Credential Guard 的裝置。
開啟 事件檢視器 (eventvwr.exe) ,然後移至 Windows Logs\System並篩選 WinInit 的事件來源:
事件識別碼
描述
13 (資訊)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (資訊)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- 第一個變數: 0x1 或 0x2 表示 Credential Guard 已設定為執行。 0x0 表示未設定為執行。
- 第二個變數: 0 表示它已設定為以保護模式執行。 1 表示已設定為在測試模式中執行。 此變數應一律為 0。
15 (警告)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (警告)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
下列事件指出 TPM 是否用於金鑰保護。 路徑: Applications and Services logs > Microsoft > Windows > Kernel-Boot
事件識別碼
描述
51 (資訊)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
如果您使用 TPM 執行,TPM PCR 遮罩值會是 0 以外的值。
停用 Credential Guard
有不同的選項可停用 Credential Guard。 您選擇的選項取決於 Credential Guard 的設定方式:
- 主機可以停用在虛擬機中執行的 Credential Guard
- 如果使用 UEFI 鎖定啟用 Credential Guard,請遵循停用 Credential Guard with UEFI Lock 中所述的程式
- 如果在沒有 UEFI 鎖定的情況下啟用 Credential Guard,或在 預設啟用更新中啟用,請使用下列其中一個選項加以停用:
- Microsoft Intune/MDM
- 群組原則
- 登錄
下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。
使用 Intune 停用 Credential Guard
如果 Credential Guard 是透過 Intune 啟用,而且沒有 UEFI 鎖定,則停用相同的原則設定會停用 Credential Guard。
若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| Device Guard | Credential Guard | 停用 |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用 自定義 原則搭配 DeviceGuard 原則 CSP 來設定裝置。
| 設定 |
|---|
|
設定名稱:Credential Guard 組態 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags數據類型:int 值: 0 |
套用原則之後,請重新啟動裝置。
如需停用虛擬化型安全性 (VBS) 的相關信息,請參閱 停用虛擬化型安全性。
停用具有 UEFI 鎖定的 Credential Guard
如果使用 UEFI 鎖定啟用 Credential Guard,請遵循此程式,因為設定會保存在 EFI (韌體) 變數中。
注意
此案例需要計算機上的實體存在,才能按下函式密鑰以接受變更。
遵循停用 Credential Guard 中的步驟
使用 bcdedit 來刪除 Credential Guard EFI 變數。 從提升權限的命令提示字元中,輸入下列命令:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d重新開機裝置。 操作系統開機之前,會出現提示,通知 UEFI 已修改,並要求確認。 必須確認提示,變更才會保存。
停用虛擬機的 Credential Guard
您可以使用下列命令,從主機停用虛擬機的 Credential Guard:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
停用虛擬化型安全性
如果您停用虛擬化型安全性 (VBS) ,則會自動停用 Credential Guard 和其他依賴 VBS 的功能。
重要
Credential Guard 旁邊的其他安全性功能則依賴 VBS。 停用 VBS 可能會有非預期的副作用。
使用下列其中一個選項來停用 VBS:
- Microsoft Intune/MDM
- 群組原則
- 登錄
下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。
使用 Intune 停用 VBS
如果 VBS 是透過 Intune 啟用,而且沒有 UEFI 鎖定,則停用相同的原則設定會停用 VBS。
若要使用 Microsoft Intune 來設定裝置,請建立 [設定] 目錄原則,並使用下列設定:
| 類別 | 設定名稱 | 值 |
|---|---|---|
| Device Guard | 啟用虛擬化型安全性 | 停用 |
將原則指派給包含 為您要設定之裝置或用戶成員的群組。
或者,您可以使用 自定義 原則搭配 DeviceGuard 原則 CSP 來設定裝置。
| 設定 |
|---|
|
設定名稱:開啟虛擬化型安全性 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity數據類型:int 值: 0 |
套用原則之後,請重新啟動裝置。
如果使用 UEFI 鎖定啟用 Credential Guard,則必須使用 命令 bcdedit.exe來清除儲存在韌體中的 EFI 變數。 從提升權限的命令提示字元中,執行下列命令:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
後續步驟
- 請參閱 其他防護 功能文章中的 Credential Guard 建議和範例程式代碼,讓您的環境更安全且更健全
- 檢閱使用 Credential Guard 時的考慮和已知問題