Configurer Credential Guard

Cet article explique comment configurer Credential Guard à l’aide de Microsoft Intune, de stratégie de groupe ou du Registre.

Activation par défaut

À compter de Windows 11, version 22H2, Credential Guard est activé par défaut sur les appareils qui répondent aux exigences. L’activation par défaut est sans verrouillage UEFI, ce qui permet aux administrateurs de désactiver Credential Guard à distance, si nécessaire.

Si Credential Guard ou VBS sont désactivés avant la mise à jour d’un appareil vers Windows 11 version 22H2 ou ultérieure, l’activation par défaut ne remplace pas les paramètres existants.

Bien que l’état par défaut de Credential Guard ait changé, les administrateurs système peuvent l’activer ou le désactiver à l’aide de l’une des méthodes décrites dans cet article.

Important

Pour plus d’informations sur les problèmes connus liés à l’activation par défaut, consultez Credential Guard : problèmes connus.

Remarque

Les appareils exécutant Windows 11 Professionnel/Pro Edu 22H2 ou version ultérieure peuvent avoir la sécurité basée sur la virtualisation (VBS) et/ou Credential Guard automatiquement activés s’ils répondent aux autres exigences pour l’activation par défaut et qu’ils ont précédemment exécuté Credential Guard. Par exemple, si Credential Guard a été activé sur un appareil d’entreprise qui a ensuite été rétrogradé à Pro.

Pour déterminer si l’appareil Pro est dans cet état, case activée si la clé de Registre suivante existe : Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. Dans ce scénario, si vous souhaitez désactiver VBS et Credential Guard, suivez les instructions pour désactiver la sécurité basée sur la virtualisation. Si vous souhaitez désactiver Credential Guard uniquement, sans désactiver VBS, utilisez les procédures pour désactiver Credential Guard.

Activer Credential Guard

Credential Guard doit être activé avant qu’un appareil soit joint à un domaine ou avant qu’un utilisateur de domaine ne se connecte pour la première fois. Si Credential Guard est activé après la jonction de domaine, les secrets de l’utilisateur et de l’appareil peuvent déjà être compromis.

Pour activer Credential Guard, vous pouvez utiliser :

  • Microsoft Intune/GPM
  • Stratégie de groupe
  • Registry

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Configurer Credential Guard avec Intune

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Device Guard Credential Guard Sélectionnez l’une des options :
 - Activé avec le verrouillage UEFI
 - Activé sans verrou

Important

Si vous souhaitez pouvoir désactiver Credential Guard à distance, choisissez l’option Activé sans verrouillage.

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Astuce

Vous pouvez également configurer Credential Guard à l’aide d’un profil de protection de compte dans la sécurité des points de terminaison. Pour plus d’informations, consultez Paramètres de stratégie de protection de compte pour la sécurité des points de terminaison dans Microsoft Intune.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp DeviceGuard Policy.

Paramètre
Nom du paramètre : Activer la sécurité basée sur la virtualisation
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Type de données : int
Valeur : 1
Nom du paramètre : Configuration de Credential Guard
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Type de données : int
Valeur :
Activé avec le verrou UEFI : 1
Activé sans verrou : 2

Une fois la stratégie appliquée, redémarrez l’appareil.

Vérifier si Credential Guard est activé

La vérification du Gestionnaire des tâches si LsaIso.exe est en cours d’exécution n’est pas une méthode recommandée pour déterminer si Credential Guard est en cours d’exécution. Utilisez plutôt l’une des méthodes suivantes :

  • Informations système
  • PowerShell
  • Observateur d’événements

Informations système

Vous pouvez utiliser informations système pour déterminer si Credential Guard est en cours d’exécution sur un appareil.

  1. Sélectionnez Démarrer, tapez msinfo32.exe, puis sélectionnez Informations système
  2. Sélectionnez Résumé du système
  3. Vérifiez que Credential Guard s’affiche en regard des services de sécurité basés sur la virtualisation en cours d’exécution

PowerShell

Vous pouvez utiliser PowerShell pour déterminer si Credential Guard s’exécute sur un appareil. À partir d’une session PowerShell avec élévation de privilèges, utilisez la commande suivante :

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

La commande génère la sortie suivante :

  • 0 : Credential Guard est désactivé (n’est pas en cours d’exécution)
  • 1 : Credential Guard est activé (en cours d’exécution)

Observateur d’événements

Effectuez des révisions régulières des appareils sur utilisant Credential Guard, à l’aide de stratégies d’audit de sécurité ou de requêtes WMI.
Ouvrez le observateur d'événements (eventvwr.exe) et accédez à Windows Logs\System et filtrez les sources d’événements pour WinInit :

ID d’événement

Description

13 (Informations)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informations)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • La première variable : 0x1 ou 0x2 signifie que Credential Guard est configuré pour s’exécuter. 0x0 signifie qu’il n’est pas configuré pour s’exécuter.
  • La deuxième variable : 0 signifie qu’elle est configurée pour s’exécuter en mode de protection. 1 signifie qu’il est configuré pour s’exécuter en mode test. Cette variable doit toujours être égale à 0.

15 (Avertissement)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Avertissement)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

L’événement suivant indique si le module TPM est utilisé pour la protection des clés. Chemin: Applications and Services logs > Microsoft > Windows > Kernel-Boot

ID d’événement

Description

51 (Informations)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Si vous exécutez avec un module TPM, la valeur du masque PCR du module de plateforme sécurisée est autre que 0.

Désactiver Credential Guard

Il existe différentes options pour désactiver Credential Guard. L’option que vous choisissez dépend de la façon dont Credential Guard est configuré :

  • Credential Guard s’exécutant sur une machine virtuelle peut être désactivé par l’hôte
  • Si Credential Guard est activé avec le verrouillage UEFI, suivez la procédure décrite dans désactiver Credential Guard avec le verrouillage UEFI
  • Si Credential Guard est activé sans verrouillage UEFI, ou dans le cadre de l’activation automatique dans la mise à jour Windows 11 version 22H2, utilisez l’une des options suivantes pour la désactiver :
    • Microsoft Intune/GPM
    • Stratégie de groupe
    • Registry

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Désactiver Credential Guard avec Intune

Si Credential Guard est activé via Intune et sans verrouillage UEFI, la désactivation du même paramètre de stratégie désactive Credential Guard.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Device Guard Credential Guard Désactivés

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp DeviceGuard Policy.

Paramètre
Nom du paramètre : Configuration de Credential Guard
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Type de données : int
Valeur : 0

Une fois la stratégie appliquée, redémarrez l’appareil.

Pour plus d’informations sur la désactivation de la sécurité basée sur la virtualisation (VBS), consultez désactiver la sécurité basée sur la virtualisation.

Désactiver Credential Guard avec verrouillage UEFI

Si Credential Guard est activé avec le verrouillage UEFI, suivez cette procédure, car les paramètres sont conservés dans les variables EFI (microprogramme).

Remarque

Ce scénario nécessite une présence physique sur l’ordinateur pour appuyer sur une touche de fonction pour accepter la modification.

  1. Suivez les étapes décrites dans Désactiver Credential Guard.

  2. Supprimez les variables EFI de Credential Guard à l’aide de BCDEdit. À partir d’une invite de commandes avec élévation de privilèges, tapez les commandes suivantes :

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. Redémarrez l’appareil. Avant le démarrage du système d’exploitation, une invite s’affiche pour informer que UEFI a été modifié et demander confirmation. L’invite doit être confirmée pour que les modifications soient conservées.

Désactiver Credential Guard pour une machine virtuelle

À partir de l’hôte, vous pouvez désactiver Credential Guard pour une machine virtuelle à l’aide de la commande suivante :

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Désactiver la sécurité basée sur la virtualisation

Si vous désactivez la sécurité basée sur la virtualisation (VBS), vous désactivez automatiquement Credential Guard et les autres fonctionnalités qui s’appuient sur VBS.

Important

D’autres fonctionnalités de sécurité en plus de Credential Guard s’appuient sur VBS. La désactivation de VBS peut avoir des effets secondaires inattendus.

Utilisez l’une des options suivantes pour désactiver VBS :

  • Microsoft Intune/GPM
  • Stratégie de groupe
  • Registry

Les instructions suivantes fournissent des détails sur la configuration de vos appareils. Sélectionnez l’option qui convient le mieux à vos besoins.

Désactiver VBS avec Intune

Si VBS est activé via Intune et sans verrouillage UEFI, la désactivation du même paramètre de stratégie désactive VBS.

Pour configurer des appareils avec Microsoft Intune, créez une stratégie de catalogue Paramètres et utilisez les paramètres suivants :

Catégorie Nom du paramètre Valeur
Device Guard Activer la sécurité basée sur la virtualisation Désactivé

Affectez la stratégie à un groupe qui contient en tant que membres les appareils ou les utilisateurs que vous souhaitez configurer.

Vous pouvez également configurer des appareils à l’aide d’une stratégie personnalisée avec le csp DeviceGuard Policy.

Paramètre
Nom du paramètre : Activer la sécurité basée sur la virtualisation
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Type de données : int
Valeur : 0

Une fois la stratégie appliquée, redémarrez l’appareil.

Si Credential Guard est activé avec le verrouillage UEFI, les variables EFI stockées dans le microprogramme doivent être effacées à l’aide de la commande bcdedit.exe. À partir d’une invite de commandes avec élévation de privilèges, exécutez les commandes suivantes :

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Étapes suivantes