Verwalten von Windows Defender Credential Guard

Betrifft

  • Windows 10
  • Windows Server2016
  • Windows Server 2019

Aktivieren von Windows Defender Credential Guard

Windows Defender Credential Guard kann mit der Gruppenrichtlinie, der Registrierung oder dem Hardware-Vorbereitungstool für Windows Defender Device Guard und Windows Defender Credential Guard aktiviert werden. Windows Defender Credential Guard kann geheime Schlüssel auf einem virtuellen Hyper-V-Computer genau wie auf einem physischen Computer schützen. Sie können Windows Defender Credential Guard auf virtuellen Computern auf dieselbe Weise aktivieren wie auf physischen Computern.

Aktivieren von Windows Defender Credential Guard mithilfe der Gruppenrichtlinie

Sie können Gruppenrichtlinien zum Aktivieren von Windows Defender Credential Guard verwenden. Dadurch werden ggf. Funktionen für die virtualisierungsbasierte Sicherheit hinzugefügt und für Sie aktiviert.

  1. Wechseln Sie auf der Gruppenrichtlinien-Verwaltungskonsole zu Computerkonfiguration -> Administrative Vorlagen -> System -> Device Guard.
  2. Doppelklicken Sie auf Virtualisierungsbasierte Sicherheit aktivieren, und klicken Sie dann auf die Option Aktiviert.
  3. Wählen Sie im Feld Plattform-Sicherheitsstufe auswählen die Option Sicherer Start oder Sicherer Start und DMA-Schutz aus.
  4. Klicken Sie im Feld Credential Guard-Konfiguration auf Mit UEFI-Sperre aktiviert, und klicken Sie dann auf OK. Wenn Sie die Möglichkeit zur Remotedeaktivierung von Windows Defender Credential Guard haben möchten, wählen Sie Ohne Sperre aktiviert aus.

    Windows Defender Credential Guard-Gruppenrichtlinieneinstellung

  5. Schließen Sie die Gruppenrichtlinien-Verwaltungskonsole.

Führen Sie gpupdate /force aus, um die Verarbeitung der Gruppenrichtlinie zu erzwingen.

Aktivieren von Windows Defender-Anmelde Informationsschutz mithilfe von InTune

  1. Von zu Hause aus auf Microsoft InTune klicken
  2. Klicken Sie auf Gerätekonfiguration .
  3. Klicken Sie auf profile > , um denWindows Defender-Anmelde InformationsSchutz fürProfil > Endpunkt > zu erstellen.

Hinweis

Dadurch wird VBS und Secure Boot aktiviert, und Sie können es mit oder ohne UEFI-Sperre tun. Wenn Sie die Berechtigungs Überwachung Remote deaktivieren müssen, aktivieren Sie Sie ohne UEFI-Sperre.

Aktivieren von Windows Defender Credential Guard mithilfe der Registrierung

Wenn Sie keine Gruppenrichtlinien verwenden, können Sie Windows Defender Credential Guard mithilfe der Registrierung aktivieren. Windows Defender Credential Guard verwendet Features für die virtualisierungsbasierte Sicherheit, die bei einigen Betriebssystemen zunächst aktiviert werden müssen.

Hinzufügen der virtualisierungsbasierten Sicherheitsfunktionen

Ab Windows 10, Version 1607, und Windows Server 2016 müssen Windows-Features zur Verwendung der virtualisierungsbasierten Sicherheit nicht aktiviert werden, und dieser Schritt kann daher übersprungen werden.

Wenn Sie Windows 10, Version 1507 (RTM), oder Windows 10, Version 1511, verwenden, müssen Windows-Features aktiviert werden, um die virtualisierungsbasierte Sicherheit zu nutzen. Hierzu können Sie entweder die Systemsteuerung oder das DISM-Tool (Deployment Image Servicing and Management, Abbildverwaltung für die Bereitstellung) verwenden.

Hinweis

Wenn Sie Windows Defender Credential Guard über Gruppenrichtlinien aktivieren, sind die Schritte zum Aktivieren von Windows-Features über die Systemsteuerung oder DISM nicht nötig. Die Gruppenrichtlinien installieren Windows-Funktionen für Sie.

Hinzufügen der virtualisierungsbasierten Sicherheitsfunktionen mit „Programme und Funktionen”

  1. Öffnen Sie in der Systemsteuerung „Programme und Funktionen”.
  2. Klicken Sie auf die Option Windows-Features aktivieren oder deaktivieren.
  3. Wählen Sie Hyper-V -> Hyper-V-Plattform, und aktivieren Sie dann das Kontrollkästchen Hyper-V-Hypervisor.
  4. Aktivieren Sie auf oberster Ebene der Featureauswahl das Kontrollkästchen Isolierter Benutzermodus.
  5. Klicken Sie auf OK.

Hinzufügen der virtualisierungsbasierten Sicherheitsfunktionen zu einem Offlineimage mit DISM

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
  2. Fügen Sie den Hyper-V-Hypervisor mit dem folgenden Befehl hinzu: dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
  3. Fügen Sie das Feature für den isolierten Benutzermodus mit dem folgenden Befehl hinzu: dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode

Hinweis

Sie können diese Features auch einem Onlineimage hinzufügen, indem Sie entweder DISM oder Configuration Manager nutzen.

Aktivieren von virtualisierungsbasierter Sicherheit und Windows Defender Credential Guard

  1. Öffnen Sie den Registrierungs-Editor.
  2. Aktivieren Sie die virtualisierungsbasierte Sicherheit:
    • Suchen Sie den Eintrag HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Device Guard.
    • Fügen Sie einen neuen DWORD-Wert mit dem Namen EnableVirtualizationBasedSecurity hinzu. Legen Sie den Wert dieser Registrierungseinstellung auf 1 fest, um die virtualisierungsbasierte Sicherheit zu aktivieren, und legen Sie den Wert auf 0 fest, um sie zu deaktivieren.
    • Fügen Sie einen neuen DWORD-Wert mit dem Namen RequirePlatformSecurityFeatures hinzu. Legen Sie den Wert dieser Registrierungseinstellung auf 1 fest, um nur Sicherer Start zu verwenden, oder legen Sie ihn auf 3 fest, um Sicherer Start und DMA-Schutz zu verwenden.
  3. Aktivieren Sie Windows Defender Credential Guard:
    • Suchen Sie den Eintrag HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
    • Fügen Sie einen neuen DWORD-Wert mit dem Namen LsaCfgFlags hinzu. Legen Sie den Wert dieser Registrierungseinstellung auf 1 fest, um Windows Defender Credential Guard mit UEFI-Sperre zu aktivieren. Legen Sie ihn auf 2 fest, um Windows Defender Credential Guard ohne Sperre zu aktivieren, und legen Sie ihn zum Deaktivieren auf 0 fest.
  4. Schließen Sie den Registrierungs-Editor.

Hinweis

Sie können Windows Defender Credential Guard auch aktivieren, indem Sie die Registrierungseinträge in der Einstellung FirstLogonCommands für die unbeaufsichtigte Installation festlegen.

Aktivieren von Windows Defender Credential Guard mithilfe des Hardware-Vorbereitungstools für Windows Defender Device Guard und Windows Defender Credential Guard

Sie können Windows Defender Credential Guard auch mit dem Hardware-Vorbereitungstool für Windows Defender Device Guard und Windows Defender Credential Guard aktivieren.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

Wichtig

Bei der Ausführung des Windows Defender Device Guard und des Windows Defender-Anmelde Informationsschutzes für das Hardware-Bereitschafts Tool auf einem nicht englischen Betriebssystem innerhalb des $OSArch = $(gwmi win32_operatingsystem).OSArchitecture Skripts ändern $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() Sie den Namen stattdessen, damit das Tool funktioniert. Dies ist ein bekanntes Problem.

Überprüfen der Leistung von Windows Defender Credential Guard

Wird Windows Defender Credential Guard ausgeführt?

Über Systeminformationen können Sie sicherstellen, dass Windows Defender Credential Guard auf einem PC ausgeführt wird.

  1. Klicken Sie auf Start, geben Sie msinfo32.exe ein, und klicken Sie dann auf Systeminformationen.
  2. Klicken Sie auf Systemübersicht.
  3. Überprüfen Sie, ob Credential Guard neben Virtualisierungsbasierte Sicherheitsdienste konfigurieren angezeigt wird.

    Beispiel:

    Systeminformationen

Sie können auch mit dem Hardware-Vorbereitungstool für Windows Defender Device Guard und Windows Defender Credential Guard überprüfen, ob Windows Defender Credential Guard ausgeführt wird.

DG_Readiness_Tool_v3.6.ps1 -Ready

Wichtig

Bei der Ausführung des Windows Defender Device Guard und des Windows Defender-Anmelde Informationsschutzes für das Hardware-Bereitschafts Tool auf einem nicht englischen Betriebssystem innerhalb des *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture Skripts ändern $OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() Sie den Namen stattdessen, damit das Tool funktioniert. Dies ist ein bekanntes Problem.

Hinweis

Auf Clientcomputern mit Windows10 1703 wird Lsalso.exe ausgeführt, wenn die virtualisierungsbasierte Sicherheit für andere Features aktiviert ist.

  • Aktivieren Sie deshalb Windows Defender Credential Guard, bevor ein Gerät einer Domäne beitritt. Wenn Windows Defender Credential Guard auf einem Gerät aktiviert wird, nachdem es einer Domäne beigetreten ist, können die geheimen Schlüssel der Benutzer und Geräte bereits beeinträchtigt worden sein. Anders gesagt trägt das Aktivieren von Credential Guard nicht dazu bei, ein Gerät oder eine Identität, das bzw. die bereits beeinträchtigt wurde, zu sichern. Deshalb wird empfohlen, Credential Guard so früh wie möglich zu aktivieren.

  • Sie sollten regelmäßige Überprüfungen der PCs durchführen, für die Windows Defender Credential Guard aktiviert ist. Dies kann mit Sicherheitsüberwachungsrichtlinien oder WMI-Abfragen erfolgen. Suchen Sie nach den folgenden WinInit-Ereignis-IDs:

    • Ereignis-ID 13 Windows Defender Credential Guard (LsaIso.exe) wurde gestartet und schützt LSA-Anmeldeinformationen.
    • Ereignis-ID 14 Konfiguration von Windows Defender Credential Guard (LsaIso.exe): 0x1, 0
      • Der erste Variable, 0x1, bedeutet, dass Windows Defender Credential Guard für die Ausführung konfiguriert ist. 0x0 bedeutet, dass er nicht für die Ausführung konfiguriert ist.
      • Die zweite Variable, 0, bedeutet, dass Credential Guard für die Ausführung im geschützten Modus konfiguriert ist. 1 bedeutet, dass sie für die Ausführung im Testmodus konfiguriert ist. Diese Variable sollte immer 0 sein.
    • Ereignis-ID 15 Windows Defender Credential Guard (LsaIso.exe) ist konfiguriert, aber der sichere Kernel wird nicht ausgeführt; der Vorgang wird ohne Windows Defender Credential Guard fortgesetzt.
    • Ereignis-ID 16 Fehler beim Starten von Windows Defender Credential Guard (LsaIso.exe): [Fehlercode]
    • Ereignis-ID 17 Fehler beim Lesen der UEFI-Konfiguration von Windows Defender Credential Guard (LsaIso.exe): [Fehlercode] Sie können auch sicherstellen, dass TPM für den Schlüsselschutz verwendet wird, indem Sie unter der Ereignisquelle Microsoft -> Windows -> Kernel-Boot die Ereignis-ID 51 überprüfen. Wenn die Ausführung mit einem TPM erfolgt, hat der Wert der TPM-PCR-Maske einen anderen Wert als0.
      • Ereignis-ID 51 Bereitstellung des VSM-Masterverschlüsselungsschlüssels. Der Status der zwischengespeicherten Kopie wird verwendet: 0x0. Die Versiegelung des Status der zwischengespeicherten Kopie wird aufgehoben: 0x1. Status der Generierung des neuen Schlüssels: 0x1. Versiegelungsstatus: 0x1. TPM-PCR-Maske: 0x0.

Deaktivieren Sie Windows Defender Credential Guard

Zum Deaktivieren der Windows Defender-Anmelde Informationsschutz Funktion können Sie den folgenden Satz von Verfahren oder das Hardware Readiness Tool für Geräteschutz und Anmeldeinformationenverwenden. Wenn die Anmeldeinformation Guard mit UEFI-Sperre aktiviert wurde, müssen Sie das folgende Verfahren verwenden, da die Einstellungen in EFI-Variablen (Firmware) beibehalten werden und die physische Anwesenheit auf dem Computer erforderlich ist, um eine Funktionstaste zu drücken, um die Änderung zu übernehmen. Wenn die Berechtigungs Überwachung ohne UEFI-Sperre aktiviert wurde, können Sie Sie mithilfe von Gruppenrichtlinien deaktivieren.

  1. Wenn Sie Gruppenrichtlinien verwendet haben, deaktivieren Sie die Gruppenrichtlinien-Einstellung, die Sie für die Aktivierung von Windows Defender Credential Guard verwendet haben (Computerkonfiguration -> Administrative Vorlagen -> System -> Device Guard -> Virtualisierungsbasierte Sicherheit aktivieren).
  2. Löschen Sie die folgenden Registrierungseinstellungen:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. Wenn Sie auch die Virtualisierungs-basierte Sicherheit deaktivieren möchten, löschen Sie die folgenden Registrierungseinstellungen:

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Device Guard\EnableVirtualizationBasedSecurity
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Device Guard\RequirePlatformSecurityFeatures > [!IMPORTANT] > Wenn Sie diese Registrierungseinstellungen manuell entfernen, stellen Sie sicher, dass Sie alle löschen. Wenn Sie nicht alle entfernen, kann das Gerät zur BitLocker-Wiederherstellung wechseln.
  4. Löschen Sie die EFI-Variablen von Windows Defender Credential Guard mithilfe von bcdedit. Geben Sie in einer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. Starten Sie den PC neu.

  6. Stimmen Sie der Aufforderung zum Deaktivieren von Windows Defender Credential Guard zu.
  7. Alternativ können Sie die virtualisierungsbasierten Sicherheitsfunktionen deaktivieren, um Windows Defender Credential Guard zu deaktivieren.

Hinweis

Der PC benötigt einen einmaligen Zugriff auf einen Domänencontroller zur Entschlüsselung des Inhalts, z.B. Dateien, die mit EFS verschlüsselt wurden. Wenn Sie sowohl den Windows Defender-Anmelde Informationsschutz als auch die Virtualisierungs-basierte Sicherheit deaktivieren möchten, führen Sie die folgenden bcdedit-Befehle aus, nachdem Sie alle auf Virtualisierung basierenden Sicherheitsgruppen Richtlinien und Registrierungseinstellungen deaktiviert haben:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Hinweis

Bei Verwendung von Azure IaaS VMS werden die Anmeldeinformationen Guard und Device Guard zurzeit nicht unterstützt. Diese Optionen werden für Future Generation 2 VMS zur Verfügung gestellt.

Weitere Informationen zur virtualisierungsbasierten Sicherheit und Windows Defender Device Guard finden Sie im Windows Defender Device Guard-Bereitstellungshandbuch.

Deaktivieren von Windows Defender Credential Guard mithilfe des Hardware-Vorbereitungstools für Windows Defender Device Guard und Windows Defender Credential Guard

Sie können Windows Defender Credential Guard auch mit dem Hardware-Vorbereitungstool für Windows Defender Device Guard und Windows Defender Credential Guard deaktivieren.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

Wichtig

Bei der Ausführung des Windows Defender Device Guard und des Windows Defender-Anmelde Informationsschutzes für das Hardware-Bereitschafts Tool auf einem nicht englischen Betriebssystem innerhalb des *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture Skripts ändern $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() Sie den Namen stattdessen, damit das Tool funktioniert. Dies ist ein bekanntes Problem.

Deaktivieren von Windows Defender Credential Guard für einen virtuellen Computer

Vom Host aus können Sie Windows Defender Credential Guard für einen virtuellen Computer deaktivieren:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true