Настройка Credential Guard

В этой статье описывается настройка Credential Guard с помощью Microsoft Intune, групповая политика или реестра.

Включение по умолчанию

Начиная с Windows 11 версии 22H2 Credential Guard по умолчанию включен на устройствах, соответствующих требованиям. По умолчанию используется без блокировки UEFI, что позволяет администраторам при необходимости удаленно отключить Credential Guard.

Если Credential Guard или VBS отключены до обновления устройства до Windows 11 версии 22H2 или более поздней, включение по умолчанию не перезаписывает существующие параметры.

Хотя состояние Credential Guard по умолчанию изменилось, системные администраторы могут включить или отключить его с помощью одного из методов, описанных в этой статье.

Важно.

Сведения об известных проблемах, связанных с включением по умолчанию, см. в разделе Credential Guard: известные проблемы.

Примечание.

Устройства под управлением Windows 11 Pro/Pro Edu 22H2 или более поздней версии могут автоматически включать безопасность на основе виртуализации (VBS) и (или) Credential Guard, если они соответствуют другим требованиям для включения по умолчанию и ранее запускали Credential Guard. Например, если Credential Guard был включен на корпоративном устройстве, которое позже было понижено до Pro.

Чтобы определить, находится ли устройство Pro в этом состоянии, проверка, существует ли следующий раздел реестра: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret. В этом сценарии, если вы хотите отключить VBS и Credential Guard, следуйте инструкциям, чтобы отключить безопасность на основе виртуализации. Если вы хотите отключить только Credential Guard, не отключая VBS, используйте процедуры для отключения Credential Guard.

Включение Credential Guard

Credential Guard необходимо включить перед присоединением устройства к домену или перед первым входом пользователя домена. Если Credential Guard включен после присоединения к домену, секреты пользователя и устройства уже могут быть скомпрометированы.

Чтобы включить Credential Guard, можно использовать:

  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Настройка Credential Guard с помощью Intune

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Device Guard Credential Guard Выберите один из вариантов:
 - Включена блокировка UEFI
 - Включено без блокировки

Важно.

Если вы хотите удаленно отключить Credential Guard, выберите параметр Включено без блокировки.

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Совет

Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечных точек. Дополнительные сведения см. в статье Параметры политики защиты учетных записей для безопасности конечных точек в Microsoft Intune.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Тип данных: int
Значение: 1
Имя параметра: Конфигурация Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Тип данных: int
Значение:
Включена блокировка UEFI: 1
Включено без блокировки: 2

После применения политики перезапустите устройство.

Проверка включения Credential Guard

Проверка запуска диспетчера LsaIso.exe задач не рекомендуется для определения того, работает ли Credential Guard. Вместо этого используйте один из следующих методов:

  • Сведения о системе
  • PowerShell
  • Просмотр событий

Сведения о системе

Вы можете использовать сведения о системе , чтобы определить, работает ли Credential Guard на устройстве.

  1. Нажмите кнопку Пуск, введите msinfo32.exeи выберите Сведения о системе.
  2. Выбор сводки по системе
  3. Убедитесь, что Credential Guard отображается рядом с пунктом Запущенные службы безопасности на основе виртуализации.

PowerShell

Вы можете использовать PowerShell, чтобы определить, работает ли Credential Guard на устройстве. В сеансе PowerShell с повышенными привилегиями используйте следующую команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Команда создает следующие выходные данные:

  • 0: Credential Guard отключен (не выполняется)
  • 1: Credential Guard включен (выполняется)

Средство просмотра событий

Регулярно проверяйте устройства с включенным Credential Guard, используя политики аудита безопасности или запросы WMI.
Откройте Просмотр событий (eventvwr.exe), перейдите к Windows Logs\System и отфильтруйте источники событий для WinInit:

Код события

Описание

13 (информация)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Информация)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • Первая переменная: 0x1 или 0x2 означает, что Credential Guard настроен для запуска. 0x0 означает, что он не настроен для запуска.
  • Вторая переменная: 0 означает, что она настроена для запуска в режиме защиты. 1 означает, что он настроен для запуска в тестовом режиме. Эта переменная всегда должна иметь значение 0.

15 (Предупреждение)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Предупреждение)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

Следующее событие указывает, используется ли TPM для защиты ключей. Путь: Applications and Services logs > Microsoft > Windows > Kernel-Boot

Код события

Описание

51 (информация)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

Если вы работаете с TPM, значение маски PCR доверенного платформенного модуля отличается от 0.

Отключение Credential Guard

Существуют различные варианты отключения Credential Guard. Выбранный параметр зависит от того, как настроен Credential Guard:

  • Credential Guard, работающий на виртуальной машине, может быть отключен узлом
  • Если Credential Guard включен с блокировкой UEFI, выполните процедуру, описанную в разделе Отключение Credential Guard с блокировкой UEFI.
  • Если Credential Guard включен без блокировки UEFI или в рамках автоматического включения в обновлении Windows 11 версии 22H2, используйте один из следующих параметров, чтобы отключить его:
    • Microsoft Intune/MDM
    • Групповая политика
    • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Отключение Credential Guard с помощью Intune

Если Credential Guard включен через Intune и без блокировки UEFI, отключение того же параметра политики отключает Credential Guard.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Device Guard Credential Guard Отключено

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: Конфигурация Credential Guard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Тип данных: int
Значение: 0

После применения политики перезапустите устройство.

Сведения об отключении безопасности на основе виртуализации (VBS) см. в разделе Отключение безопасности на основе виртуализации.

Отключение Credential Guard с блокировкой UEFI

Если Credential Guard включена с блокировкой UEFI, выполните эту процедуру, так как параметры сохраняются в переменных EFI (встроенного ПО).

Примечание.

Для этого сценария требуется физическое присутствие на компьютере, чтобы нажать функциональную клавишу, чтобы принять изменения.

  1. Выполните действия, описанные в разделе Отключение Credential Guard.

  2. Удалите переменные EFI Credential Guard с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

  3. Перезагрузите устройство. Перед загрузкой ОС появится запрос с уведомлением об изменении UEFI и запросом подтверждения. Запрос должен быть подтвержден для сохранения изменений.

Отключение Credential Guard для виртуальной машины

На узле можно отключить Credential Guard для виртуальной машины с помощью следующей команды:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Отключение безопасности на основе виртуализации

Если отключить безопасность на основе виртуализации (VBS), вы автоматически отключите Credential Guard и другие функции, использующие VBS.

Важно.

Другие функции безопасности, кроме Credential Guard, зависят от VBS. Отключение VBS может иметь непреднамеренные побочные эффекты.

Используйте один из следующих параметров, чтобы отключить VBS:

  • Microsoft Intune/MDM
  • Групповая политика
  • Реестр

Ниже приведены инструкции по настройке устройств. Выберите вариант, который лучше всего соответствует вашим потребностям.

Отключение VBS с помощью Intune

Если VBS включен через Intune и без блокировки UEFI, отключение того же параметра политики отключает VBS.

Чтобы настроить устройства с помощью Microsoft Intune, создайте политику каталога параметров и используйте следующие параметры:

Категория Имя параметра Значение
Device Guard Включение безопасности на основе виртуализации Отключено

Назначьте политику группе, содержащей в качестве участников устройства или пользователей, которые вы хотите настроить.

Кроме того, можно настроить устройства с помощью настраиваемой политики с помощью поставщика CSP политики DeviceGuard.

Параметр
Имя параметра: включение безопасности на основе виртуализации
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Тип данных: int
Значение: 0

После применения политики перезапустите устройство.

Если Credential Guard включена с блокировкой UEFI, переменные EFI, хранящиеся в встроенном ПО, должны быть очищены с помощью команды bcdedit.exe. В командной строке с повышенными привилегиями выполните следующие команды:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Дальнейшие действия