Настройка Credential Guard

В этой статье описывается настройка Credential Guard с помощью Microsoft Intune, групповая политика или реестра.

Включение по умолчанию

Начиная с Windows 11, 22H2 и Windows Server 2025 Credential Guard включен по умолчанию на устройствах, соответствующих требованиям.

Системные администраторы могут явно включить или отключить Credential Guard с помощью одного из методов, описанных в этой статье. Явно настроенные значения перезаписывают состояние включения по умолчанию после перезагрузки.

Если устройство явно отключило Credential Guard перед обновлением до более новой версии Windows, где Credential Guard включена по умолчанию, он останется отключенным даже после обновления.

Важно.

Сведения об известных проблемах, связанных с включением по умолчанию, см. в разделе Credential Guard: известные проблемы.

Включение Credential Guard

Credential Guard необходимо включить перед присоединением устройства к домену или перед первым входом пользователя домена. Если Credential Guard включен после присоединения к домену, секреты пользователя и устройства уже могут быть скомпрометированы.

Чтобы включить Credential Guard, можно использовать:

  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Настройка Credential Guard с помощью Intune

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Device Guard Credential Guard Выберите один из вариантов:
  - Включена блокировка UEFI
  - Включено без блокировки

Важно.

Если вы хотите удаленно отключить Credential Guard, выберите параметр Включено без блокировки.

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Совет

Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечных точек. Дополнительные сведения см. в статье Параметры политики защиты учетных записей для безопасности конечных точек в Microsoft Intune.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Тип данных: int
Значение: 1
Имя параметра: Конфигурация Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Тип данных: int
Значение:
Включена блокировка UEFI: 1
Включено без блокировки: 2

После применения политики перезапустите устройство.

Проверка включения Credential Guard

Проверка запуска диспетчера LsaIso.exe задач не рекомендуется для определения того, работает ли Credential Guard. Вместо этого используйте один из следующих методов:

  • Сведения о системе
  • PowerShell
  • Просмотр событий

Сведения о системе

Вы можете использовать сведения о системе , чтобы определить, работает ли Credential Guard на устройстве.

  1. Нажмите кнопку Пуск, введите msinfo32.exeи выберите Сведения о системе.
  2. Выбор сводки по системе
  3. Убедитесь, что Credential Guard отображается рядом с пунктом Запущенные службы безопасности на основе виртуализации.

PowerShell

Вы можете использовать PowerShell, чтобы определить, работает ли Credential Guard на устройстве. В сеансе PowerShell с повышенными привилегиями используйте следующую команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Команда создает следующие выходные данные:

  • 0: Credential Guard отключен (не выполняется)
  • 1: Credential Guard включен (выполняется)

Средство просмотра событий

Регулярно проверяйте устройства с включенным Credential Guard, используя политики аудита безопасности или запросы WMI.
Откройте Просмотр событий (eventvwr.exe), перейдите к Windows Logs\System и отфильтруйте источники событий для WinInit:

Код события

Описание

13 (информация)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Информация)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • Первая переменная: 0x1 или 0x2 означает, что Credential Guard настроен для запуска. 0x0 означает, что он не настроен для запуска.
  • Вторая переменная: 0 означает, что она настроена для запуска в режиме защиты. 1 означает, что он настроен для запуска в тестовом режиме. Эта переменная всегда должна иметь значение 0.

15 (Предупреждение)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Предупреждение)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

Следующее событие указывает, используется ли TPM для защиты ключей. Путь: Applications and Services logs > Microsoft > Windows > Kernel-Boot

Код события

Описание

51 (информация)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Если вы работаете с TPM, значение маски PCR доверенного платформенного модуля отличается от 0.

Отключение Credential Guard

Существуют различные варианты отключения Credential Guard. Выбранный параметр зависит от того, как настроен Credential Guard:

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Отключение Credential Guard с помощью Intune

Если Credential Guard включен через Intune и без блокировки UEFI, отключение того же параметра политики отключает Credential Guard.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Device Guard Credential Guard Отключено

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: Конфигурация Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Тип данных: int
Значение: 0

После применения политики перезапустите устройство.

Сведения об отключении безопасности на основе виртуализации (VBS) см. в разделе Отключение безопасности на основе виртуализации.

Отключение Credential Guard с блокировкой UEFI

Если Credential Guard включена с блокировкой UEFI, выполните эту процедуру, так как параметры сохраняются в переменных EFI (встроенного ПО).

Примечание.

Для этого сценария требуется физическое присутствие на компьютере, чтобы нажать функциональную клавишу, чтобы принять изменения.

  1. Выполните действия, описанные в разделе Отключение Credential Guard.

  2. Удалите переменные EFI Credential Guard с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  3. Перезагрузите устройство. Перед загрузкой ОС появится запрос с уведомлением об изменении UEFI и запросом подтверждения. Запрос должен быть подтвержден для сохранения изменений.

Отключение Credential Guard для виртуальной машины

На узле можно отключить Credential Guard для виртуальной машины с помощью следующей команды:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Отключение безопасности на основе виртуализации

Если отключить безопасность на основе виртуализации (VBS), вы автоматически отключите Credential Guard и другие функции, использующие VBS.

Важно.

Другие функции безопасности, кроме Credential Guard, зависят от VBS. Отключение VBS может иметь непреднамеренные побочные эффекты.

Используйте один из следующих параметров, чтобы отключить VBS:

  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Отключение VBS с помощью Intune

Если VBS включен через Intune и без блокировки UEFI, отключение того же параметра политики отключает VBS.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Device Guard Включение безопасности на основе виртуализации Отключено

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Тип данных: int
Значение: 0

После применения политики перезапустите устройство.

Если Credential Guard включена с блокировкой UEFI, переменные EFI, хранящиеся в встроенном ПО, должны быть очищены с помощью команды bcdedit.exe. В командной строке с повышенными привилегиями выполните следующие команды:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Дальнейшие действия