管理 Windows Defender Credential Guard

适用范围

  • Windows 10
  • Windows Server2016
  • Windows Server 2019

启用 Windows Defender Credential Guard

可使用组策略注册表或 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 可以保护 Hyper-V 虚拟机中的密钥,就像在物理计算机上一样。 用于启用物理计算机上的 Windows Defender Credential Guard 的相同过程还适用于虚拟机。

使用组策略启用 Windows Defender Credential Guard

你可以使用组策略启用 Windows Defender Credential Guard。 这将为你添加和启用基于虚拟化的安全功能(如果需要)。

  1. 在组策略管理控制台上,转到计算机配置 -> 管理模板 -> 系统 -> Device Guard
  2. 双击打开基于虚拟化的安全,然后单击已启用选项。
  3. 选择平台安全级别框中,选择安全启动安全启动和 DMA 保护
  4. Credential Guard 配置框中,单击使用 UEFI 锁定启用,然后单击确定。 如果你希望远程关闭 Windows Defender Credential Guard,请选择在不使用锁定的情况下启用

    Windows Defender Credential Guard 组策略设置

  5. 关闭组策略管理控制台。

若要强制执行组策略,你可以运行 gpupdate /force

使用 Intune 启用 Windows Defender 凭据保护

  1. 在家中单击 " Microsoft Intune "
  2. 单击 "设备配置"
  3. 单击 "配置文件 > "创建配置文件 > 终结点保护 > Windows Defender 凭据保护

备注

它将启用 VBS 和安全启动, 你可以使用或不使用 UEFI 锁执行此操作。 如果你需要远程禁用 Credential Guard, 请在不使用 UEFI 锁定的情况下启用它。

使用注册表启用 Windows Defender Credential Guard

如果你不使用组策略,可以使用注册表启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用基于虚拟化的安全功能,这些功能必须先在某些操作系统上启用。

添加基于虚拟化的安全性功能

从 Windows 10 版本 1607 和 Windows Server 2016 开始,不必启用 Windows 功能来使用基于虚拟化的安全性,可以跳过此步骤。

如果你使用的是 Windows 10 版本 1507 (RTM) 或 Windows 10 版本 1511,必须启用 Windows 功能才能使用基于虚拟化的安全性。 你可以使用控制面板或部署映像服务和管理 (DISM) 工具执行此操作。

备注

如果使用组策略启用 Windows Defender Credential Guard,则不需要通过控制面板或 DISM 启用 Windows 功能的步骤。 组策略将为你安装 Windows 功能。

使用“程序和功能”添加基于虚拟化的安全功能

  1. 打开“程序和功能”控制面板。
  2. 单击打开或关闭 Windows 功能
  3. 转到Hyper-V -> Hyper-V 平台,然后选中 Hyper-V 虚拟机监控程序复选框。
  4. 选择功能选择顶层的隔离用户模式复选框。
  5. 单击确定

使用 DISM 将基于虚拟化的安全性功能添加到离线映像

  1. 打开提升的命令提示符。
  2. 通过运行以下命令添加 Hyper-V 虚拟机监控程序: dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
  3. 通过运行以下命令添加隔离用户模式功能: dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode

备注

还可以通过使用 DISM 或 Configuration Manager 将这些功能添加到联机映像。

启用基于虚拟化的安全性和 Windows Defender Credential Guard

  1. 打开注册表编辑器。
  2. 启用基于虚拟化的安全性:
    • 转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard。
    • 添加名为 EnableVirtualizationBasedSecurity 的新 DWORD 值。 若要启用基于虚拟化的安全性,请将此注册表设置的值设置为 1;若要禁用它,则将此值设置为 0。
    • 添加名为 RequirePlatformSecurityFeatures 的新 DWORD 值。 若要仅使用安全启动,请将此注册表设置的值设置为 1;若要使用安全启动和 DMA 保护,则将此值设置为 3。
  3. 启用 Windows Defender Credential Guard:
    • 转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA。
    • 添加名为 LsaCfgFlags 的新 DWORD 值。 将此注册表设置的值设置为 1 可使用 UEFI 锁定启用 Windows Defender Credential Guard,将其设置 2 可在不使用锁定的情况下启用 Windows Defender Credential Guard,而将其设置为 0 可禁用它。
  4. 打开注册表编辑器。

备注

也可以通过在 FirstLogonCommands 无人参与设置中设置注册表条目来打开 Windows Defender Credential Guard。

使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具启用 Windows Defender Credential Guard

你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具启用 Windows Defender Credential Guard。

DG_Readiness_Tool_v3.5.ps1 -Enable -AutoReboot

重要

在非英语操作系统上运行 Windows Defender Device Guard 和 Windows Defender 凭据防护硬件准备工具时, 请改*$OSArch = $(gwmi win32_operatingsystem).OSArchitecture$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()改为使用该工具, 以使该工具正常工作。 这是一个已知问题。

检查 Windows Defender Credential Guard 性能

Windows Defender Credential Guard 是否正在运行?

你可以查看系统信息以检查 Windows Defender Credential Guard 是否正在电脑上运行。

  1. 单击开始,键入 msinfo32.exe,然后单击系统信息
  2. 单击系统摘要
  3. 确认 Credential Guard 显示在已配置的基于虚拟化的安全服务旁边。

    下面是一个示例:

    系统信息

你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具检查 Windows Defender Credential Guard 是否在运行。

DG_Readiness_Tool_v3.5.ps1 -Ready

重要

在非英语操作系统上运行 Windows Defender Device Guard 和 Windows Defender 凭据防护硬件准备工具时, 请改*$OSArch = $(gwmi win32_operatingsystem).OSArchitecture$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()改为使用该工具, 以使该工具正常工作。 这是一个已知问题。

备注

对于运行 Windows 10 1703 的客户端计算机,不论何时为其他功能启用基于虚拟化的安全性,LsaIso.exe 都一直运行。

  • 我们建议在设备加入域前启用 Windows Defender Credential Guard。 如果 Windows Defender Credential Guard 在加入域后启用,则用户和设备密钥可能已经泄露。 换言之,启用 Credential Guard 对保护已经受到威胁的设备或身份没有帮助,这就是为何我们建议尽早打开 Credential Guard。

  • 你应该定期检查已启用 Windows Defender Credential Guard 的电脑。 此操作可通过安全审核策略或 WMI 查询来完成。 以下是要查找的 WinInit 事件 ID 列表:

    • 事件 ID 13 Windows Defender Credential Guard (LsaIso.exe) 已启动,并将保护 LSA 凭据。
    • 事件 ID 14 Windows Defender Credential Guard (LsaIso.exe) 配置:0x1、0
      • 第一个变量:0x1 表示 Windows Defender Credential Guard 配置为运行。 0x0 表示它未配置为运行。
      • 第二个变量:0 表示它配置为在保护模式下运行。 1 表示它配置为在测试模式下运行。 此变量应始终为 0。
    • 事件 ID 15 Windows Defender Credential Guard (LsaIso.exe) 已配置,但安全内核未运行;将在没有 Windows Defender Credential Guard 的情况下继续操作。
    • 事件 ID 16 Windows Defender Credential Guard (LsaIso.exe) 无法启动:[错误代码]
    • 事件 ID 17 读取 Windows Defender Credential Guard (LsaIso.exe) UEFI 配置时出错:[error code] 你还可以通过在 Microsoft -> Windows -> 内核启动事件源中检查事件 ID 51 来验证 TPM 是否用于密钥保护。 如果使用 TPM 进行运行,TPM PCR 掩码值将为 0 之外的值。
      • 事件 ID 51 VSM 本地加密密钥预配。 使用缓存的副本状态:0x0。 解封缓存的副本状态:0x1。 新密钥生成状态:0x1。 封装状态:0x1。 TPM PCR 掩码:0x0。

禁用 Windows Defender Credential Guard

若要禁用 Windows Defender 凭据防护, 你可以使用以下过程集或Device guard 和 Credential guard 硬件准备工具。 如果使用 UEFI 锁启用 Credential Guard, 则必须使用以下过程, 因为这些设置在 EFI (固件) 变量中保留, 并且在计算机上需要物理状态以接受更改。 如果已启用 Credential Guard 而不使用 UEFI 锁, 则可以通过使用组策略将其关闭。

  1. 如果你已使用组策略,请禁用用于启用 Windows Defender Credential Guard 的组策略设置(计算机配置 -> 管理模板 -> 系统 -> Device Guard -> 打开基于虚拟化的安全)。
  2. 删除以下注册表设置:
    • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
  3. 如果你还希望禁用基于虚拟化的安全, 请删除以下注册表设置:

    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
    • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures > [!IMPORTANT] > 如果你手动删除这些注册表设置,请确保将它们全部删除。 如果不全部删除,设备可能会进入 BitLocker 恢复状态。
  4. 使用 bcdedit 删除 Windows Defender Credential Guard EFI 变量。 在提升的命令提示符下键入以下命令:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  5. 重启电脑。

  6. 接受禁用 Windows Defender Credential Guard 的提示。
  7. 或者,你可以禁用基于虚拟化的安全性功能来关闭 Windows Defender Credential Guard。

备注

电脑必须一次性访问域控制器才能解密内容,例如使用 EFS 加密的文件。 如果想要关闭 Windows Defender 凭据防护和基于虚拟化的安全, 请在关闭所有基于虚拟化的安全组策略和注册表设置后运行以下 bcdedit 命令:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

备注

Credential Guard 和 Device Guard 在使用 Azure IaaS Vm 时目前不受支持。 这些选项将在未来的第2代虚拟机上提供。

有关基于虚拟化的安全性和 Windows Defender Device Guard 的详细信息,请参阅 Windows Defender Device Guard 部署指南

使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具禁用 Windows Defender Credential Guard

你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具 禁用 Windows Defender Credential Guard。

DG_Readiness_Tool_v3.6.ps1 -Disable -AutoReboot

重要

在非英语操作系统上运行 Windows Defender Device Guard 和 Windows Defender 凭据防护硬件准备工具时, 请改*$OSArch = $(gwmi win32_operatingsystem).OSArchitecture$OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower()改为使用该工具, 以使该工具正常工作。 这是一个已知问题。

为虚拟机禁用 Windows Defender Credential Guard

从主机中,你可以针对虚拟机禁用 Windows Defender Credential Guard:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true