Управление Credential Guard в Защитнике Windows

Область применения

  • Windows 10
  • Windows 11
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Включение Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows можно включить с помощью групповой политики, реестра или средства проверки целостности кода с защитой гипервизора (HVCI) и средства подготовки оборудования Credential Guard в Защитнике Windows. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.

Включение Credential Guard в Защитнике Windows с помощью групповой политики.

Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.

  1. В консоли управления групповыми политиками перейдите к административным > шаблонам конфигурациикомпьютера > System > Device Guard.

  2. Выберите "Включить безопасность на основе виртуализации", а затем выберите параметр "Включено ".

  3. В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.

  4. В поле конфигурации Credential Guard выберите " Включено с блокировкой UEFI". Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.

  5. В окне "Конфигурация безопасного запуска" выберите "Не настроено", "Включено" или "Отключено". Дополнительные сведения см. в разделе "Безопасный запуск System Guard" и "Защита SMM".

    Параметр групповой политики Credential Guard в Защитнике Windows.

  6. Нажмите кнопку " ОК", а затем закройте консоль управления групповыми политиками.

Чтобы применить обработку групповой политики, можно запустить gpupdate /force.

Включение Credential Guard в Защитнике Windows с помощью Intune

  1. На домашней странице выберите Microsoft Intune.

  2. Выберите Настройка устройства.

  3. Выберите profiles > Create Profile > Endpoint Protection > Windows Defender Credential Guard.

    Примечание

    Он включает VBS и безопасную загрузку, и это можно сделать с помощью или без блокировки UEFI. Если необходимо отключить Credential Guard удаленно, включите его без блокировки UEFI.

Совет

Вы также можете настроить Credential Guard с помощью профиля защиты учетной записи в безопасности конечных точек. Дополнительные сведения см. в разделе параметров политики защиты учетных записей для безопасности конечных точек в Intune.

Включение Credential Guard в Защитнике Windows с помощью реестра

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.

Добавление функций безопасности на основе виртуализации

Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).

Примечание

Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.

Добавление функций безопасности на основе виртуализации с помощью раздела "Программы и компоненты"
  1. Откройте раздел Панели управления "Программы и компоненты".

  2. Выберите "Включить или отключить функцию Windows".

  3. Перейдите на платформу Hyper-V > Hyper-V и установите флажок гипервизора Hyper-V .

  4. Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.

  5. Нажмите ОК.

Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM
  1. Откройте командную строку с повышенными привилегиями.

  2. Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
    
  3. Добавьте режим изолированного пользователя с помощью следующей команды:

    dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
    

    Примечание

    В Windows 10 версии 1607 и более поздних версиях функция изолированного пользовательского режима была интегрирована в основную операционную систему. Поэтому выполнение команды на шаге 3 выше больше не требуется.

Совет

Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.

Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows

  1. Откройте редактор реестра.

  2. Включите средство обеспечения безопасности на основе виртуализации.

    1. Перейти на страницу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.

    2. Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.

    3. Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.

  3. Включение Credential Guard в Защитнике Windows:

    1. Перейти на страницу HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Добавьте новый параметр типа DWORD с именем LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.

  4. Закройте редактор реестра.

Примечание

Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.

Включение Credential Guard в Защитнике Windows с помощью средства подготовки оборудования HVCI и Credential Guard в Защитнике Windows

Вы также можете включить Credential Guard в Защитнике Windows с помощью средства подготовки оборудования HVCI и Credential Guard в Защитнике Windows.

DG_Readiness_Tool.ps1 -Enable -AutoReboot

Важно!

При запуске средства проверки готовности оборудования HVCI и Credential Guard в операционной системе, отличной от английского, $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() в скрипте измените его на вместо этого, чтобы средство совмещено с работой.

Это известная проблема.

Оценка работы Credential Guard в Защитнике Windows

Запущен ли Credential Guard в Защитнике Windows?

Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу "Сведения о системе".

  1. Нажмите кнопку " Пуск ** ",msinfo32.exe**и выберите "Сведения о системе".

  2. Выберите "Сводка по системе".

  3. Убедитесь, что Credential Guard отображается рядом с запущенными службами безопасности на основе виртуализации.

    Запись &quot;Запущенные службы безопасности на основе виртуализации&quot; содержит credential Guard в сведениях о системе (msinfo32.exe).

Вы также можете проверить, работает ли Credential Guard в Защитнике Windows, с помощью средства подготовки оборудования HVCI и Credential Guard в Защитнике Windows.

DG_Readiness_Tool_v3.6.ps1 -Ready

Важно!

При запуске средства проверки готовности оборудования HVCI и Credential Guard в операционной системе, отличной от английского, *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() в скрипте измените его на вместо этого, чтобы средство совмещено с работой.

Это известная проблема.

Примечание

На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.

  • Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже уязвимо, именно поэтому мы рекомендуем включить Credential Guard как можно раньше.

  • Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Ниже представлен список кодов событий WinInit, которые следует искать.

    • Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.

    • Идентификатор события 14 Конфигурация Credential Guard в Защитнике Windows (LsaIso.exe): [0x0 | 0x1 | 0x2], 0

      • Первая переменная: 0x1 или 0x2 означает, что Credential Guard в Защитнике Windows настроен для запуска. 0x0 означает, что он не настроен для запуска.

      • Вторая переменная: 0 означает, что она настроена для работы в режиме защиты. 1 означает, что он настроен для запуска в тестовом режиме. Значение этой переменной всегда должно быть равно 0.

    • Код события 15. Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но ядро системы безопасности не запущено. Операция будет продолжена без Credential Guard в Защитнике Windows.

    • Код события 16. Не удалось запустить Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]

    • Идентификатор события 17 Ошибка при чтении конфигурации UEFI Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]

  • Вы также можете проверить, используется ли TPM для защиты ключей, проверив идентификатор события 51 в журналах приложений и служб > Microsoft > Windows > Журнал событий загрузки ядра. Полный текст события будет выглядеть следующим образом: VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0. если вы работаете с TPM, значение маски PCR доверенного платформенного модуля будет не равно 0.

  • С помощью Windows PowerShell можно определить, выполняется ли credential guard на клиентском компьютере. На указанном компьютере откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:

    (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
    

    Эта команда создает следующие выходные данные:

    • 0: Credential Guard в Защитнике Windows отключен (не запущен)

    • 1. Credential Guard в Защитнике Windows включен (работает)

      Примечание

      Проверка списка задач или диспетчера задач на наличие LSAISO.exe не рекомендуется для определения того, запущен ли Credential Guard в Защитнике Windows.

Отключение Credential Guard в Защитнике Windows

Чтобы отключить Credential Guard в Защитнике Windows, можно использовать следующий набор процедур или средство подготовки оборудования HVCI и Credential Guard в Защитнике Windows. Если credential Guard был включен с блокировкой UEFI, необходимо использовать следующую процедуру, так как параметры сохраняются в переменных EFI (встроенное ПО) и потребуется физическое присутствие на компьютере, чтобы нажать клавишу функции, чтобы принять изменение. Если Credential Guard был включен без блокировки UEFI, его можно отключить с помощью групповой политики.

  1. Если вы использовали групповую политику, отключите параметр групповой политики, который использовался для включения Credential Guard в Защитнике Windows ( > **** > административные шаблоны конфигурации компьютераSystem > Device Guard > включите безопасность на основе виртуализации).

  2. Удалите указанные ниже параметры реестра.

    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags

  3. Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

      Важно!

      Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.

  4. Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. Перезагрузите компьютер.

  6. Ответьте утвердительно на запрос об отключении Credential Guard в Защитнике Windows.

  7. Для отключения Credential Guard в Защитнике Windows также можно отключить функции безопасности на основе виртуализации.

    Примечание

    Компьютер должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, которые были зашифрованы с помощью EFS. Если вы хотите отключить credential Guard в Защитнике Windows и безопасность на основе виртуализации, выполните следующие команды bcdedit после отключения всех параметров групповой политики безопасности и реестра на основе виртуализации:

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
    bcdedit /set vsmlaunchtype off
    

Дополнительные сведения о безопасности на основе виртуализации и HVCI см. в разделе "Включение защиты целостности кода на основе виртуализации ".

Примечание

Credential Guard и Device Guard не поддерживаются при использовании виртуальных машин Azure 1-го поколения. Эти параметры доступны только для виртуальных машин 2-го поколения.

Отключение Credential Guard в Защитнике Windows с помощью средства подготовки оборудования HVCI и Credential Guard в Защитнике Windows

Вы также можете отключить Credential Guard в Защитнике Windows с помощью средства подготовки оборудования HVCI и Credential Guard в Защитнике Windows.

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

Важно!

При запуске средства проверки готовности оборудования HVCI и Credential Guard в операционной системе, отличной от английского, *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() в скрипте измените его на вместо этого, чтобы средство совмещено с работой.

Это известная проблема.

Отключение Credential Guard в Защитнике Windows для виртуальной машины

На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true