Gestire Windows Defender Credential GuardManage Windows Defender Credential Guard

Si applica aApplies to

  • SKU di Windows 10 Enterprise o EducationWindows 10 Enterprise or Education SKUs
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Abilitare Windows Defender Credential GuardEnable Windows Defender Credential Guard

La protezione delle credenziali di Windows Defender può essere abilitata usando criteri di gruppo, il Registro di sistemao l'integrità del codice Hypervisor-Protected (HVCI) e lo strumento di conformità hardwaredella protezione per le credenziali di Windows Defender.Windows Defender Credential Guard can be enabled either by using Group Policy, the registry, or the Hypervisor-Protected Code Integrity (HVCI) and Windows Defender Credential Guard hardware readiness tool. Windows Defender Credential Guard può proteggere i segreti in una macchina virtuale Hyper-V, proprio come in un computer fisico.Windows Defender Credential Guard can also protect secrets in a Hyper-V virtual machine, just as it would on a physical machine. Lo stesso set di procedure utilizzate per abilitare Windows Defender Credential Guard in macchine fisiche si applica anche alle macchine virtuali.The same set of procedures used to enable Windows Defender Credential Guard on physical machines applies also to virtual machines.

Abilitare Windows Defender Credential Guard con Criteri di gruppoEnable Windows Defender Credential Guard by using Group Policy

Puoi usare Criteri di gruppo per abilitare Windows Defender Credential Guard.You can use Group Policy to enable Windows Defender Credential Guard. Verranno così aggiunte e abilitate le funzionalità di sicurezza basata su virtualizzazione, se necessario.This will add and enable the virtualization-based security features for you if needed.

  1. Dalla Console Gestione Criteri di gruppo vai a Configurazione computer -> Modelli amministrativi -> Sistema -> Credential Guard.From the Group Policy Management Console, go to Computer Configuration -> Administrative Templates -> System -> Device Guard.

  2. Fai doppio clic su Attiva sicurezza basata su virtualizzazione e quindi fai clic sull'opzione Attivata.Double-click Turn On Virtualization Based Security, and then click the Enabled option.

  3. Nella casella Seleziona il livello di sicurezza della piattaforma, scegli Avvio protetto o Avvio protetto e protezione DMA.In the Select Platform Security Level box, choose Secure Boot or Secure Boot and DMA Protection.

  4. Nella casella Configurazione di Credential Guard fai clic su Abilitato con blocco UEFI e quindi fai clic su OK.In the Credential Guard Configuration box, click Enabled with UEFI lock, and then click OK. Se vuoi poter disattivare Windows Defender Credential Guard in remoto, scegli Abilitato senza blocco.If you want to be able to turn off Windows Defender Credential Guard remotely, choose Enabled without lock.

  5. Nella casella configurazione di avvio sicuro scegliere non configurato, abilitato o disabilitato.In the Secure Launch Configuration box, choose Not Configured, Enabled or Disabled. Per altre informazioni, vedere questo articolo .Check this article for more details.

    Impostazione di Criteri di gruppo di Windows Defender Credential Guard

  6. Chiudi Console Gestione Criteri di gruppo.Close the Group Policy Management Console.

Per applicare l'elaborazione dell'impostazione di Criteri di gruppo, puoi eseguire gpupdate /force.To enforce processing of the group policy, you can run gpupdate /force.

Abilitare la protezione delle credenziali di Windows Defender tramite IntuneEnable Windows Defender Credential Guard by using Intune

  1. Da Home, fare clic su Microsoft Intune.From Home, click Microsoft Intune.

  2. Fare clic su Configurazione dispositivo.Click Device configuration.

  3. Fare clic su profili > Crea profilo > Endpoint Protection > Windows Defender Credentials Guard.Click Profiles > Create Profile > Endpoint protection > Windows Defender Credential Guard.

Nota

Consentirà a VBS e Secure Boot ed è possibile farlo con o senza il blocco UEFI.It will enable VBS and Secure Boot and you can do it with or without UEFI Lock. Se è necessario disabilitare la protezione delle credenziali in remoto, abilitarla senza blocco UEFI.If you will need to disable Credential Guard remotely, enable it without UEFI lock.

Abilitare Windows Defender Credential Guard con il Registro di sistemaEnable Windows Defender Credential Guard by using the registry

Se non usi Criteri di gruppo, puoi abilitare Windows Defender Credential Guard usando il Registro di sistema.If you don't use Group Policy, you can enable Windows Defender Credential Guard by using the registry. Windows Defender Credential Guard usa funzionalità di sicurezza basata su virtualizzazione che devono essere prima di tutto abilitate in alcuni sistema operativi.Windows Defender Credential Guard uses virtualization-based security features which have to be enabled first on some operating systems.

Aggiungere le funzionalità di sicurezza basata su virtualizzazioneAdd the virtualization-based security features

A partire da Windows 10 versione 1607 e Windows Server 2016, l'abilitazione delle funzionalità di Windows per usare la sicurezza basata su virtualizzazione non è necessaria e puoi saltare questo passaggio.Starting with Windows 10, version 1607 and Windows Server 2016, enabling Windows features to use virtualization-based security is not necessary and this step can be skipped.

Se usi Windows 10 versione 1507 (RTM) o Windows 10 versione 1511, le funzionalità di Windows devono essere abilitate per usare la sicurezza basata su virtualizzazione.If you are using Windows 10, version 1507 (RTM) or Windows 10, version 1511, Windows features have to be enabled to use virtualization-based security. Puoi farlo usando il Pannello di controllo o lo strumento Gestione e manutenzione immagini distribuzione (DISM).You can do this by using either the Control Panel or the Deployment Image Servicing and Management tool (DISM).

Nota

Se abiliti Windows Defender Credential Guard tramite Criteri di gruppo, i passaggi per abilitare le funzionalità di Windows tramite il Pannello di controllo o lo strumento DISM non sono necessari.If you enable Windows Defender Credential Guard by using Group Policy, the steps to enable Windows features through Control Panel or DISM are not required. Criteri di gruppo installerà le funzionalità di Windows per te.Group Policy will install Windows features for you.

Aggiungere le funzionalità di sicurezza basata su virtualizzazione usando Programmi e funzionalitàAdd the virtualization-based security features by using Programs and Features

  1. Apri Programmi e funzionalità nel Pannello di controllo.Open the Programs and Features control panel.

  2. Fai clic su Attiva o disattiva funzionalità di Windows.Click Turn Windows feature on or off.

  3. Vai a Hyper-V -> Piattaforma Hyper-V e quindi seleziona la casella di controllo Hypervisor Hyper-V.Go to Hyper-V -> Hyper-V Platform, and then select the Hyper-V Hypervisor check box.

  4. Seleziona la casella di controllo Modalità utente isolato al primo livello della selezione delle funzionalità.Select the Isolated User Mode check box at the top level of the feature selection.

  5. Fai clic su OK.Click OK.

Aggiungere le funzionalità di sicurezza basata su virtualizzazione a un'immagine offline usando Gestione e manutenzione immagini distribuzione.Add the virtualization-based security features to an offline image by using DISM

  1. Apri una finestra del prompt dei comandi con privilegi elevati.Open an elevated command prompt.

  2. Aggiungi l'hypervisor Hyper-V eseguendo questo comando:Add the Hyper-V Hypervisor by running the following command:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. Aggiungi la funzionalità Modalità utente isolato eseguendo questo comando:Add the Isolated User Mode feature by running the following command:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Nota

    In Windows 10, versione 1607 e versioni successive, la caratteristica modalità utente isolata è stata integrata nel sistema operativo di base.In Windows 10, version 1607 and later, the Isolated User Mode feature has been integrated into the core operating system. Non è più necessario eseguire il comando nel passaggio 3 sopra.Running the command in step 3 above is therefore no longer required.

Suggerimento

Puoi anche aggiungere queste funzionalità a un'immagine online usando Gestione e manutenzione immagini distribuzione o Configuration Manager.You can also add these features to an online image by using either DISM or Configuration Manager.

Abilitare la sicurezza basata su virtualizzazione e Windows Defender Credential GuardEnable virtualization-based security and Windows Defender Credential Guard

  1. Apri l'editor del Registro di sistema.Open Registry Editor.

  2. Abilita la sicurezza basata su virtualizzazione:Enable virtualization-based security:

    • Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.

    • Aggiungi un nuovo valore DWORD chiamato EnableVirtualizationBasedSecurity.Add a new DWORD value named EnableVirtualizationBasedSecurity. Imposta il valore di questa impostazione del Registro di sistema su 1 per abilitare la sicurezza basata su virtualizzazione e su 0 per disabilitarla.Set the value of this registry setting to 1 to enable virtualization-based security and set it to 0 to disable it.

    • Aggiungi un nuovo valore DWORD chiamato RequirePlatformSecurityFeatures.Add a new DWORD value named RequirePlatformSecurityFeatures. Imposta il valore di questa impostazione del Registro di sistema su 1 per usare solo Avvio protetto o su 3 per usare Avvio protetto e protezione DMA.Set the value of this registry setting to 1 to use Secure Boot only or set it to 3 to use Secure Boot and DMA protection.

  3. Abilitare Windows Defender Credential Guard:Enable Windows Defender Credential Guard:

    • Vai a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.Go to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.

    • Aggiungi un nuovo valore DWORD chiamato LsaCfgFlags.Add a new DWORD value named LsaCfgFlags. Imposta il valore di questa impostazione del Registro di sistema su 1 per abilitare Windows Defender Credential Guard con il blocco UEFI, su 2 per attivare Windows Defender Credential Guard senza blocco, su 0 per disabilitare Windows Defender Credential Guard.Set the value of this registry setting to 1 to enable Windows Defender Credential Guard with UEFI lock, set it to 2 to enable Windows Defender Credential Guard without lock, and set it to 0 to disable it.

  4. Chiudi l'Editor del Registro di sistema.Close Registry Editor.

Nota

Puoi anche attivare Windows Defender Credential Guard impostando le voci del Registro di sistema nell'impostazione di installazione automatica FirstLogonCommands.You can also enable Windows Defender Credential Guard by setting the registry entries in the FirstLogonCommands unattend setting.

Abilitare la protezione delle credenziali di Windows Defender usando lo strumento di conformità hardware della protezione delle credenziali di HVCI e Windows DefenderEnable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool

È anche possibile abilitare la protezione delle credenziali di Windows Defender usando lo strumento di preparazione hardware della protezione delle credenziali di HVCI e Windows Defender.You can also enable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

Importante

Quando si usa lo strumento di conformità hardware per le credenziali di HVCI e Windows Defender in un sistema operativo non inglese, all'interno dello script cambia in $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() modo che lo strumento funzioni.When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change $OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

Si tratta di un problema noto.This is a known issue.

Esaminare le prestazioni di Windows Defender Credential GuardReview Windows Defender Credential Guard performance

Windows Defender Credential Guard è in esecuzione?Is Windows Defender Credential Guard running?

Puoi usare System Information per assicurarti che Windows Defender Credential Guard sia in esecuzione in un PC.You can view System Information to check that Windows Defender Credential Guard is running on a PC.

  1. Fai clic sul pulsante Start, digita msinfo32.exe e quindi fai clic su System Information.Click Start, type msinfo32.exe, and then click System Information.

  2. Fai clic su Risorse di sistema.Click System Summary.

  3. Verifica che Credential Guard sia visualizzato accanto a Servizi di sicurezza basati sulla virtualizzazione configurati.Confirm that Credential Guard is shown next to Virtualization-based security Services Configured.

    Ecco un esempio:Here's an example:

    System Information

È anche possibile verificare che la protezione delle credenziali di Windows Defender sia in corso usando lo strumento di conformità hardware della protezione per le credenziali di HVCI e Windows Defender.You can also check that Windows Defender Credential Guard is running by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool_v3.6.ps1 -Ready

Importante

Quando si usa lo strumento di conformità hardware per le credenziali di HVCI e Windows Defender in un sistema operativo non inglese, all'interno dello script cambia in *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() modo che lo strumento funzioni.When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

Si tratta di un problema noto.This is a known issue.

Nota

Per i computer client che eseguono Windows 10 1703, LsaIso.exe è in esecuzione quando è attivata la sicurezza basata sulla virtualizzazione per altre funzionalità.For client machines that are running Windows 10 1703, LsaIso.exe is running whenever virtualization-based security is enabled for other features.

  • Ti consigliamo di abilitare Windows Defender Credential Guard prima dell'aggiunta di un dispositivo a un dominio.We recommend enabling Windows Defender Credential Guard before a device is joined to a domain. Se Windows Defender Credential Guard viene abilitato su un dispositivo dopo l'aggiunta a un dominio, i segreti dell'utente e del dispositivo potrebbero essere già compromessi.If Windows Defender Credential Guard is enabled after domain join, the user and device secrets may already be compromised. In altre parole, l'abilitazione di Credential Guard non consente di proteggere un dispositivo o l'identità che è stata già compromessa, per questo motivo è consigliabile attivare Credential Guard non appena possibile.In other words, enabling Credential Guard will not help to secure a device or identity that has already been compromised, which is why we recommend turning on Credential Guard as early as possible.

  • Devi eseguire controlli regolari dei PC in cui è abilitato Windows Defender Credential Guard.You should perform regular reviews of the PCs that have Windows Defender Credential Guard enabled. A questo scopo, puoi usare criteri di controllo di sicurezza o query WMI.This can be done with security audit policies or WMI queries. Ecco un elenco degli ID evento WinInit da cercare:Here's a list of WinInit event IDs to look for:

    • ID evento 13 Windows Defender Credential Guard (LsaIso.exe) è stato avviato e proteggerà le credenziali LSA.Event ID 13 Windows Defender Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

    • ID evento 14 Configurazione della protezione delle credenziali di Windows Defender (LsaIso.exe): \ [0x0 | 0x1 | 0x2], 0Event ID 14 Windows Defender Credential Guard (LsaIso.exe) configuration: [0x0 | 0x1 | 0x2], 0

      • La prima variabile: 0x1 o 0x2 indica che la protezione delle credenziali di Windows Defender è configurata per l'esecuzione.The first variable: 0x1 or 0x2 means that Windows Defender Credential Guard is configured to run. 0x0 significa che non è configurato per l'esecuzione.0x0 means that it's not configured to run.

      • La seconda variabile: 0 indica che è configurata per l'esecuzione in modalità di protezione.The second variable: 0 means that it's configured to run in protect mode. 1 indica che è configurato per l'esecuzione in modalità test.1 means that it's configured to run in test mode. Questa variabile deve essere sempre 0.This variable should always be 0.

    • ID evento 15 Windows Defender Credential Guard (LsaIso.exe) è configurato, ma il kernel sicuro non è in esecuzione. Il processo continuerà senza Windows Defender Credential Guard.Event ID 15 Windows Defender Credential Guard (LsaIso.exe) is configured but the secure kernel is not running; continuing without Windows Defender Credential Guard.

    • ID evento 16 Impossibile avviare Windows Defender Credential Guard (LsaIso.exe): [codice errore]Event ID 16 Windows Defender Credential Guard (LsaIso.exe) failed to launch: [error code]

    • ID evento 17 Errore di lettura di Windows Defender Credentials Guard (LsaIso.exe) configurazione UEFI: \ [codice di errore ]Event ID 17 Error reading Windows Defender Credential Guard (LsaIso.exe) UEFI configuration: [error code]

      Puoi anche verificare che il TPM venga usato per la protezione delle chiavi controllando l'ID evento 51 Microsoft nell' - > origine eventi kernel di Microsoft Windows - > -boot .You can also verify that TPM is being used for key protection by checking Event ID 51 in the Microsoft -> Windows -> Kernel-Boot event source. In caso di esecuzione con TPM, il valore di maschera PCR TPM sarà diverso da 0.If you are running with a TPM, the TPM PCR mask value will be something other than 0.

    • ID evento 51 Provisioning della chiave di crittografia master VSM.Event ID 51 VSM Master Encryption Key Provisioning. Uso dello stato copia memorizzato nella cache: 0x0.Using cached copy status: 0x0. Annullamento del sealing dello stato della copia memorizzata nella cache: 0x1.Unsealing cached copy status: 0x1. Nuovo stato di generazione chiave: 0x1.New key generation status: 0x1. Stato di sealing: 0x1.Sealing status: 0x1. Maschera di PCR TPM: 0x0.TPM PCR mask: 0x0.

  • Puoi usare Windows PowerShell per determinare se la protezione delle credenziali è in uso in un computer client.You can use Windows PowerShell to determine whether credential guard is running on a client computer. Nel computer in questione aprire una finestra di PowerShell elevata ed eseguire il comando seguente:On the computer in question, open an elevated PowerShell window and run the following command:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    Questo comando genera l'output seguente:This command generates the following output:

    • 0: la protezione delle credenziali di Windows Defender è disabilitata (non in uso)0: Windows Defender Credential Guard is disabled (not running)

    • 1: Windows Defender Credentials Guard è abilitato (in corso)1: Windows Defender Credential Guard is enabled (running)

      Nota

      Il controllo dell'elenco attività o del Task Manager per verificare se LSAISO.exe è in esecuzione non è un metodo consigliato per determinare se la protezione delle credenziali di Windows Defender è in esecuzione.Checking the task list or Task Manager to see if LSAISO.exe is running is not a recommended method for determining whether Windows Defender Credential Guard is running.

Disabilitare Windows Defender Credential GuardDisable Windows Defender Credential Guard

Per disabilitare la protezione delle credenziali di Windows Defender, è possibile usare il set di procedure seguente o lo strumento di preparazione hardware della protezione dei dispositivi e delle credenziali.To disable Windows Defender Credential Guard, you can use the following set of procedures or the Device Guard and Credential Guard hardware readiness tool. Se la protezione delle credenziali è stata abilitata con il blocco UEFI, è necessario usare la procedura seguente perché le impostazioni vengono rese persistenti nelle variabili EFI (firmware) e richiederà la presenza fisica presso il computer per premere un tasto funzione per accettare la modifica.If Credential Guard was enabled with UEFI Lock then you must use the following procedure as the settings are persisted in EFI (firmware) variables and it will require physical presence at the machine to press a function key to accept the change. Se la protezione delle credenziali è stata abilitata senza blocco UEFI, è possibile disattivarla tramite criteri di gruppo.If Credential Guard was enabled without UEFI Lock then you can turn it off by using Group Policy.

  1. Se hai usato Criteri di gruppo, disabilita l'impostazione di Criteri di gruppo usata per abilitare Windows Defender Credential Guard (Configurazione computer -> Modelli amministrativi -> Sistema -> Device Guard -> Attiva sicurezza basata su virtualizzazione).If you used Group Policy, disable the Group Policy setting that you used to enable Windows Defender Credential Guard (Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).

  2. Elimina le impostazioni del Registro di sistema seguenti:Delete the following registry settings:

    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlagsHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY \ _LOCAL \ _MACHINE \Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlagsHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. Se si vuole anche disabilitare la sicurezza basata sulla virtualizzazione, eliminare le impostazioni seguenti del registro di sistema:If you also wish to disable virtualization-based security delete the following registry settings:

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurityHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeaturesHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Importante

      Se rimuovi manualmente queste impostazioni del Registro di sistema, assicurati di eliminarle tutte.If you manually remove these registry settings, make sure to delete them all. Se non le rimuovi tutte, il dispositivo potrebbe passare in modalità di ripristino di BitLocker.If you don't remove them all, the device might go into BitLocker recovery.

  4. Elimina le variabili EFI di Windows Defender Credential Guard usando bcdedit.Delete the Windows Defender Credential Guard EFI variables by using bcdedit. Da un prompt dei comandi con privilegi elevati digita questi comandi:From an elevated command prompt, type the following commands:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. Riavvia il PC.Restart the PC.

  6. Accetta la richiesta di disabilitare Windows Defender Credential Guard.Accept the prompt to disable Windows Defender Credential Guard.

  7. In alternativa, puoi disabilitare la sicurezza basata su virtualizzazione per disattivare Windows Defender Credential Guard.Alternatively, you can disable the virtualization-based security features to turn off Windows Defender Credential Guard.

    Nota

    Il PC deve avere accesso a un controller di dominio una volta per decrittografare il contenuto, ad esempio i file crittografati con EFS.The PC must have one-time access to a domain controller to decrypt content, such as files that were encrypted with EFS. Se si vuole disattivare sia la protezione delle credenziali di Windows Defender che la sicurezza basata sulla virtualizzazione, eseguire i comandi di bcdedit seguenti dopo aver disattivato tutti i criteri di gruppo di sicurezza e le impostazioni del registro di sistema basati sulla virtualizzazione:If you want to turn off both Windows Defender Credential Guard and virtualization-based security, run the following bcdedit commands after turning off all virtualization-based security Group Policy and registry settings:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    

Nota

Le credenziali di protezione e dispositivo di protezione non sono attualmente supportate quando si usano le VM di Azure IaaS.Credential Guard and Device Guard are not currently supported when using Azure IaaS VMs. Queste opzioni verranno messe a disposizione con le VM future gen 2.These options will be made available with future Gen 2 VMs.

Per altre info sulla sicurezza basata sulla virtualizzazione e HVCI, Vedi abilitare la protezione basata sulla virtualizzazione dell'integrità del codice.For more info on virtualization-based security and HVCI, see Enable virtualization-based protection of code integrity.

Disabilitare la protezione delle credenziali di Windows Defender usando lo strumento di conformità hardware della protezione delle credenziali di HVCI e Windows DefenderDisable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool

È anche possibile disabilitare la protezione delle credenziali di Windows Defender usando lo strumento di preparazione hardware della protezione delle credenziali di HVCI e Windows Defender.You can also disable Windows Defender Credential Guard by using the HVCI and Windows Defender Credential Guard hardware readiness tool.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

Importante

Quando si usa lo strumento di conformità hardware per le credenziali di HVCI e Windows Defender in un sistema operativo non inglese, all'interno dello script cambia in *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() modo che lo strumento funzioni.When running the HVCI and Windows Defender Credential Guard hardware readiness tool on a non-English operating system, within the script, change *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture to be $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() instead, in order for the tool to work.

Si tratta di un problema noto.This is a known issue.

Disabilitare Windows Defender Credential Guard per una macchina virtualeDisable Windows Defender Credential Guard for a virtual machine

Dall'host puoi disabilitare Windows Defender Credential Guard per una macchina virtuale:From the host, you can disable Windows Defender Credential Guard for a virtual machine:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true