Configurer Credential Guard
Cet article explique comment configurer Credential Guard à l’aide de Microsoft Intune, de stratégie de groupe ou du Registre.
Activation par défaut
À compter de Windows 11, 22H2 et Windows Server 2025, Credential Guard est activé par défaut sur les appareils qui répondent aux exigences.
Les administrateurs système peuvent activer ou désactiver explicitement Credential Guard à l’aide de l’une des méthodes décrites dans cet article. Les valeurs configurées explicitement remplacent l’état d’activation par défaut après un redémarrage.
Si Credential Guard est explicitement désactivé sur un appareil avant la mise à jour vers une version plus récente de Windows où Credential Guard est activé par défaut, il reste désactivé même après la mise à jour.
Important
Pour plus d’informations sur les problèmes connus liés à l’activation par défaut, consultez Credential Guard : problèmes connus.
Activer Credential Guard
Credential Guard doit être activé avant qu’un appareil soit joint à un domaine ou avant qu’un utilisateur de domaine ne se connecte pour la première fois. Si Credential Guard est activé après la jonction de domaine, les secrets de l’utilisateur et de l’appareil peuvent déjà être compromis.
Pour activer Credential Guard, vous pouvez utiliser :
- Microsoft Intune/GPM
- Stratégie de groupe
- Registry
Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.
Intune/CSP
GPO
RegistryConfigurer Credential Guard avec Intune
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| Device Guard | Credential Guard | Sélectionnez l’une des options : - Activé avec le verrouillage UEFI - Activé sans verrou |
Important
Si vous souhaitez pouvoir désactiver Credential Guard à distance, choisissez l’option Activé sans verrouillage.
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Astuce
Vous pouvez également configurer Credential Guard à l’aide d’un profil de protection de compte dans la sécurité des points de terminaison. Pour plus d’informations, consultez Paramètres de stratégie de protection de compte pour la sécurité des points de terminaison dans Microsoft Intune.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp DeviceGuard Policy.
| Paramètre |
|---|
|
Nom du paramètre : Activer la sécurité basée sur la virtualisation OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityType de données : int Valeur : 1 |
|
Nom du paramètre : Configuration de Credential Guard OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsType de données : int Valeur : Activé avec le verrou UEFI : 1Activé sans verrou : 2 |
Une fois la stratégie appliquée, redémarrez l’appareil.
Vérifier si Credential Guard est activé
La vérification du Gestionnaire des tâches si LsaIso.exe est en cours d’exécution n’est pas une méthode recommandée pour déterminer si Credential Guard est en cours d’exécution. Utilisez plutôt l’une des méthodes suivantes :
- Informations système
- PowerShell
- Observateur d’événements
Informations système
Vous pouvez utiliser informations système pour déterminer si Credential Guard est en cours d’exécution sur un appareil.
- Sélectionnez Démarrer, tapez
msinfo32.exe, puis sélectionnez Informations système - Sélectionnez Résumé du système
- Vérifiez que Credential Guard s’affiche en regard des services de sécurité basés sur la virtualisation en cours d’exécution
PowerShell
Vous pouvez utiliser PowerShell pour déterminer si Credential Guard s’exécute sur un appareil. À partir d’une session PowerShell avec élévation de privilèges, utilisez la commande suivante :
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
La commande génère la sortie suivante :
- 0 : Credential Guard est désactivé (n’est pas en cours d’exécution)
- 1 : Credential Guard est activé (en cours d’exécution)
Observateur d’événements
Effectuez des révisions régulières des appareils sur utilisant Credential Guard, à l’aide de stratégies d’audit de sécurité ou de requêtes WMI.
Ouvrez le observateur d'événements (eventvwr.exe) et accédez à Windows Logs\System et filtrez les sources d’événements pour WinInit :
ID d’événement
Description
13 (Informations)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (Informations)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- La première variable : 0x1 ou 0x2 signifie que Credential Guard est configuré pour s’exécuter. 0x0 signifie qu’il n’est pas configuré pour s’exécuter.
- La deuxième variable : 0 signifie qu’elle est configurée pour s’exécuter en mode de protection. 1 signifie qu’il est configuré pour s’exécuter en mode test. Cette variable doit toujours être égale à 0.
15 (Avertissement)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (Avertissement)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
L’événement suivant indique si le module TPM est utilisé pour la protection des clés. Chemin: Applications and Services logs > Microsoft > Windows > Kernel-Boot
ID d’événement
Description
51 (Informations)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Si vous exécutez avec un module TPM, la valeur du masque PCR du module de plateforme sécurisée est autre que 0.
Désactiver Credential Guard
Il existe différentes options pour désactiver Credential Guard. L’option que vous choisissez dépend de la façon dont Credential Guard est configuré :
- Credential Guard s’exécutant sur une machine virtuelle peut être désactivé par l’hôte
- Si Credential Guard est activé avec le verrouillage UEFI, suivez la procédure décrite dans désactiver Credential Guard avec le verrouillage UEFI
- Si Credential Guard est activé sans verrouillage UEFI ou dans le cadre de la mise à jour d’activation par défaut, utilisez l’une des options suivantes pour le désactiver :
- Microsoft Intune/GPM
- Stratégie de groupe
- Registry
Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.
Désactiver Credential Guard avec Intune
Si Credential Guard est activé via Intune et sans verrouillage UEFI, la désactivation du même paramètre de stratégie désactive Credential Guard.
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| Device Guard | Credential Guard | Désactivés |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp DeviceGuard Policy.
| Paramètre |
|---|
|
Nom du paramètre : Configuration de Credential Guard OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsType de données : int Valeur : 0 |
Une fois la stratégie appliquée, redémarrez l’appareil.
Pour plus d’informations sur la désactivation de la sécurité basée sur la virtualisation (VBS), consultez désactiver la sécurité basée sur la virtualisation.
Désactiver Credential Guard avec verrouillage UEFI
Si Credential Guard est activé avec le verrouillage UEFI, suivez cette procédure, car les paramètres sont conservés dans les variables EFI (microprogramme).
Remarque
Ce scénario nécessite une présence physique sur l’ordinateur pour appuyer sur une touche de fonction pour accepter la modification.
Suivez les étapes décrites dans Désactiver Credential Guard.
Supprimez les variables EFI de Credential Guard à l’aide de BCDEdit. À partir d’une invite de commandes avec élévation de privilèges, tapez les commandes suivantes :
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /dRedémarrez l’appareil. Avant le démarrage du système d’exploitation, une invite s’affiche pour informer que UEFI a été modifié et demander confirmation. L’invite doit être confirmée pour que les modifications soient conservées.
Désactiver Credential Guard pour une machine virtuelle
À partir de l’hôte, vous pouvez désactiver Credential Guard pour une machine virtuelle à l’aide de la commande suivante :
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Désactiver la sécurité basée sur la virtualisation
Si vous désactivez la sécurité basée sur la virtualisation (VBS), vous désactivez automatiquement Credential Guard et les autres fonctionnalités qui s’appuient sur VBS.
Important
D’autres fonctionnalités de sécurité en plus de Credential Guard s’appuient sur VBS. La désactivation de VBS peut avoir des effets secondaires inattendus.
Utilisez l’une des options suivantes pour désactiver VBS :
- Microsoft Intune/GPM
- Stratégie de groupe
- Registry
Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.
Désactiver VBS avec Intune
Si VBS est activé via Intune et sans verrouillage UEFI, la désactivation du même paramètre de stratégie désactive VBS.
Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :
| Catégorie | Nom du paramètre | Valeur |
|---|---|---|
| Device Guard | Activer la sécurité basée sur la virtualisation | Désactivés |
Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.
Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp DeviceGuard Policy.
| Paramètre |
|---|
|
Nom du paramètre : Activer la sécurité basée sur la virtualisation OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityType de données : int Valeur : 0 |
Une fois la stratégie appliquée, redémarrez l’appareil.
Si Credential Guard est activé avec le verrouillage UEFI, les variables EFI stockées dans le microprogramme doivent être effacées à l’aide de la commande bcdedit.exe. À partir d’une invite de commandes avec élévation de privilèges, exécutez les commandes suivantes :
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Étapes suivantes
- Passez en revue les conseils et les exemples de code pour rendre votre environnement plus sécurisé et robuste avec Credential Guard dans l’article Autres atténuations
- Passer en revue les considérations et les problèmes connus liés à l’utilisation de Credential Guard