Configurare Credential Guard
Questo articolo descrive come configurare Credential Guard usando Microsoft Intune, Criteri di gruppo o il Registro di sistema.
Abilitazione predefinita
A partire da Windows 11, 22H2 e Windows Server 2025, Credential Guard è abilitato per impostazione predefinita nei dispositivi che soddisfano i requisiti.
Gli amministratori di sistema possono abilitare o disabilitare in modo esplicito Credential Guard usando uno dei metodi descritti in questo articolo. I valori configurati in modo esplicito sovrascrivono lo stato di abilitazione predefinito dopo un riavvio.
Se un dispositivo ha Credential Guard esplicitamente disattivato prima di eseguire l'aggiornamento a una versione più recente di Windows in cui Credential Guard è abilitato per impostazione predefinita, rimarrà disabilitato anche dopo l'aggiornamento.
Importante
Per informazioni sui problemi noti relativi all'abilitazione predefinita, vedere Credential Guard: problemi noti.
Abilitare Credential Guard
Credential Guard deve essere abilitato prima che un dispositivo venga aggiunto a un dominio o prima che un utente di dominio acceda per la prima volta. Se Credential Guard è abilitato dopo l'aggiunta al dominio, i segreti dell'utente e del dispositivo potrebbero essere già compromessi.
Per abilitare Credential Guard, è possibile usare:
- Microsoft Intune/MDM
- Criteri di gruppo
- Registro di sistema
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.
Intune/CSP
GPO
Registro di sistemaConfigurare Credential Guard con Intune
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Device Guard | Credential Guard | Selezionare una delle opzioni seguenti: - Abilitato con blocco UEFI - Abilitato senza blocco |
Importante
Se si vuole essere in grado di disattivare Credential Guard in remoto, scegliere l'opzione Abilitato senza blocco.
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
Suggerimento
È anche possibile configurare Credential Guard usando un profilo di protezione dell'account nella sicurezza degli endpoint. Per altre informazioni, vedere Impostazioni dei criteri di protezione degli account per la sicurezza degli endpoint in Microsoft Intune.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione Criteri DeviceGuard.
| Impostazione |
|---|
|
Nome impostazione: Attivare la sicurezza basata sulla virtualizzazione URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo di dati: int Valore: 1 |
|
Nome impostazione: Configurazione di Credential Guard URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo di dati: int Valore: Abilitato con blocco UEFI: 1Abilitato senza blocco: 2 |
Dopo aver applicato i criteri, riavviare il dispositivo.
Verificare se Credential Guard è abilitato
Controllare Gestione attività se LsaIso.exe è in esecuzione non è un metodo consigliato per determinare se Credential Guard è in esecuzione. Usare invece uno dei metodi seguenti:
- System Information
- PowerShell
- Visualizzatore eventi
System Information
È possibile usare System Information per determinare se Credential Guard è in esecuzione in un dispositivo.
- Selezionare Start, digitare
msinfo32.exee quindi selezionare System Information (Informazioni di sistema) - Selezionare Riepilogo sistema
- Verificare che Credential Guard sia visualizzato accanto a Servizi di sicurezza basati su virtualizzazione in esecuzione
PowerShell
È possibile usare PowerShell per determinare se Credential Guard è in esecuzione in un dispositivo. Da una sessione di PowerShell con privilegi elevati usare il comando seguente:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
Il comando genera l'output seguente:
- 0: Credential Guard è disabilitato (non in esecuzione)
- 1: Credential Guard è abilitato (in esecuzione)
Visualizzatore eventi
Eseguire revisioni regolari dei dispositivi con Credential Guard abilitato, usando criteri di controllo di sicurezza o query WMI.
Aprire il Visualizzatore eventi (eventvwr.exe) e passare a Windows Logs\System e filtrare le origini eventi per WinInit:
ID evento
Descrizione
13 (Informazioni)
Credential Guard (LsaIso.exe) was started and will protect LSA credentials.
14 (Informazioni)
Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
- La prima variabile: 0x1 o 0x2 indica che Credential Guard è configurato per l'esecuzione. 0x0 significa che non è configurato per l'esecuzione.
- La seconda variabile: 0 indica che è configurato per l'esecuzione in modalità di protezione. 1 significa che è configurato per l'esecuzione in modalità di test. Questa variabile deve essere sempre 0.
15 (Avviso)
Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.
16 (Avviso)
Credential Guard (LsaIso.exe) failed to launch: [error code]
17
Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]
L'evento seguente indica se il TPM viene usato per la protezione delle chiavi. Sentiero: Applications and Services logs > Microsoft > Windows > Kernel-Boot
ID evento
Descrizione
51 (informazioni)
VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.
Se si esegue con un TPM, il valore della maschera PCR TPM è diverso da 0.
Disabilitare Credential Guard
Esistono diverse opzioni per disabilitare Credential Guard. L'opzione scelta dipende dalla configurazione di Credential Guard:
- Credential Guard in esecuzione in una macchina virtuale può essere disabilitato dall'host
- Se Credential Guard è abilitato con blocco UEFI, seguire la procedura descritta in disabilitare Credential Guard con blocco UEFI
- Se Credential Guard è abilitato senza blocco UEFI o come parte dell'aggiornamento di abilitazione predefinito, usare una delle opzioni seguenti per disabilitarlo:
- Microsoft Intune/MDM
- Criteri di gruppo
- Registro di sistema
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.
Disabilitare Credential Guard con Intune
Se Credential Guard è abilitato tramite Intune e senza blocco UEFI, la disabilitazione della stessa impostazione dei criteri disabilita Credential Guard.
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Device Guard | Credential Guard | Disabilitato |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione Criteri DeviceGuard.
| Impostazione |
|---|
|
Nome impostazione: Configurazione di Credential Guard URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlagsTipo di dati: int Valore: 0 |
Dopo aver applicato i criteri, riavviare il dispositivo.
Per informazioni sulla disabilitazione della sicurezza basata su virtualizzazione, vedere disabilitare la sicurezza basata su virtualizzazione.
Disabilitare Credential Guard con il blocco UEFI
Se Credential Guard è abilitato con il blocco UEFI, seguire questa procedura perché le impostazioni sono persistenti nelle variabili EFI (firmware).
Nota
Questo scenario richiede la presenza fisica nel computer per premere un tasto funzione per accettare la modifica.
Seguire la procedura descritta in Disabilitare Credential Guard
Elimina le variabili EFI di Credential Guard usando bcdedit. Da un prompt dei comandi con privilegi elevati digita questi comandi:
mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /dRiavvia il dispositivo. Prima dell'avvio del sistema operativo, viene visualizzato un messaggio che informa che UEFI è stato modificato e richiede conferma. La richiesta deve essere confermata per rendere persistenti le modifiche.
Disabilitare Credential Guard per una macchina virtuale
Dall'host è possibile disabilitare Credential Guard per una macchina virtuale con il comando seguente:
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true
Disabilitare la sicurezza basata su virtualizzazione
Se si disabilita La sicurezza basata su virtualizzazione (VBS), si disabiliterà automaticamente Credential Guard e altre funzionalità che si basano su VBS.
Importante
Altre funzionalità di sicurezza accanto a Credential Guard si basano su VBS. La disabilitazione di VBS può avere effetti collaterali imprevisti.
Usare una delle opzioni seguenti per disabilitare VBS:
- Microsoft Intune/MDM
- Criteri di gruppo
- Registro di sistema
Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.
Disabilitare VBS con Intune
Se VBS è abilitato tramite Intune e senza blocco UEFI, la disabilitazione della stessa impostazione dei criteri disabilita VBS.
Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:
| Categoria | Nome dell'impostazione | Valore |
|---|---|---|
| Device Guard | Abilitare la sicurezza basata sulla virtualizzazione | Disabilitato |
Assegnare i criteri a un gruppo che contiene come membri i dispositivi o gli utenti che si desidera configurare.
In alternativa, è possibile configurare i dispositivi usando criteri personalizzati con il provider di servizi di configurazione Criteri DeviceGuard.
| Impostazione |
|---|
|
Nome impostazione: Attivare la sicurezza basata sulla virtualizzazione URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurityTipo di dati: int Valore: 0 |
Dopo aver applicato i criteri, riavviare il dispositivo.
Se Credential Guard è abilitato con blocco UEFI, le variabili EFI archiviate nel firmware devono essere cancellate usando il comando bcdedit.exe. Da un prompt dei comandi con privilegi elevati eseguire i comandi seguenti:
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off
Passaggi successivi
- Esaminare i consigli e il codice di esempio per rendere l'ambiente più sicuro e affidabile con Credential Guard nell'articolo Mitigazioni aggiuntive
- Esaminare le considerazioni e i problemi noti quando si usa Credential Guard