設定 Credential Guard

本文說明如何使用 Microsoft Intune、群組原則 或登錄來設定 Credential Guard。

默認啟用

Windows 11 22H2 版開始,預設會在符合需求的裝置上開啟 Credential Guard。 默認啟用 沒有 UEFI 鎖定,這可讓系統管理員視需要從遠端停用 Credential Guard。

如果在裝置更新為 Windows 11 版本 22H2 或更新版本之前停用 Credential Guard 或 VBS,默認啟用不會覆寫現有的設定。

雖然 Credential Guard 的默認狀態已變更,但系統管理員可以使用本文所述的其中一種方法 來啟 用或 用它。

重要

如需與默認啟用相關的已知問題資訊,請參閱 Credential Guard:已知問題

注意

執行 Windows 11 專業版/Pro Edu 22H2 或更新版本的裝置,如果 VBS) 和/或 Credential Guard 符合預設啟用的其他需求,且先前已執行 Credential Guard,則可能會自動啟用虛擬化型安全性 (VBS。 例如,如果在稍後降級為 Pro 的企業裝置上啟用 Credential Guard。

若要判斷 Pro 裝置是否處於此狀態,請檢查下列登錄機碼是否存在: Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\IsolatedCredentialsRootSecret。 在此案例中,如果您想要停用 VBS 和 Credential Guard,請依照指示停用 虛擬化型安全性。 如果您只想要停用 Credential Guard,而不停用 VBS,請使用停用 Credential Guard 的程式。

啟用 Credential Guard

在裝置加入網域之前或網域使用者第一次登入之前,應該先啟用 Credential Guard。 如果在加入網域之後啟用 Credential Guard,使用者和裝置秘密可能已經遭到入侵。

若要啟用 Credential Guard,您可以使用:

  • Microsoft Intune/MDM
  • 群組原則
  • 登錄

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

使用 Intune 設定 Credential Guard

若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:

類別 設定名稱
Device Guard Credential Guard 選取其中一個選項:
 - 使用 UEFI 鎖定啟用
 - 在不使用鎖定的情況下啟用

重要

如果您想要能夠從遠端關閉 Credential Guard,請選擇 [ 啟用但不鎖定] 選項。

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

提示

您也可以在端點安全性中使用 帳戶保護 配置檔來設定 Credential Guard。 如需詳細資訊,請參閱 Microsoft Intune 中端點安全性的帳戶保護原則設定

或者,您可以使用 自定義 原則搭配 DeviceGuard 原則 CSP 來設定裝置。

設定
設定名稱:開啟虛擬化型安全性
OMA-URI./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
數據類型:int
1
設定名稱:Credential Guard 組態
OMA-URI./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
數據類型:int

使用 UEFI 鎖定啟用1
在不使用鎖定的情況下開啟2

套用原則之後,請重新啟動裝置。

確認 Credential Guard 是否已啟用

檢查任務管理員是否 LsaIso.exe 正在執行不是判斷 Credential Guard 是否正在執行的建議方法。 請改用下列其中一種方法:

  • 系統資訊
  • PowerShell
  • 事件檢視器

系統資訊

您可以使用 系統資訊 來判斷 Credential Guard 是否正在裝置上執行。

  1. 取 [開始],輸入 msinfo32.exe,然後選 取 [系統資訊]
  2. 取系統摘要
  3. 確認 Credential Guard 顯示在執行中的虛擬化安全性服務旁邊

PowerShell

您可以使用 PowerShell 來判斷 Credential Guard 是否正在裝置上執行。 從提升許可權的 PowerShell 工作階段中,使用下列命令:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

命令會產生下列輸出:

  • 0:Credential Guard 已停用, (未執行)
  • 1:執行) (啟用 Credential Guard

事件查看器

使用安全性審核策略或WMI查詢,定期檢閱已啟用 Credential Guard 的裝置。
開啟 事件檢視器 (eventvwr.exe) ,然後移至Windows Logs\System並篩選 WinInit 的事件來源:

事件識別碼

描述

13 (資訊)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (資訊)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • 第一個變數: 0x10x2 表示 Credential Guard 已設定為執行。 0x0 表示未設定為執行。
  • 第二個變數: 0 表示它已設定為以保護模式執行。 1 表示已設定為在測試模式中執行。 此變數應一律為 0

15 (警告)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (警告)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

下列事件指出 TPM 是否用於金鑰保護。 路徑: Applications and Services logs > Microsoft > Windows > Kernel-Boot

事件識別碼

描述

51 (資訊)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

如果您使用 TPM 執行,TPM PCR 遮罩值會是 0 以外的值。

停用 Credential Guard

有不同的選項可停用 Credential Guard。 您選擇的選項取決於 Credential Guard 的設定方式:

  • 主機可以停用在虛擬機中執行的 Credential Guard
  • 如果使用 UEFI 鎖定啟用 Credential Guard,請遵循停用 Credential Guard with UEFI Lock 中所述的程式
  • 如果在不使用 UEFI 鎖定的情況下啟用 Credential Guard,或在 Windows 11 版本 22H2 更新中自動啟用時,請使用下列其中一個選項加以停用:
    • Microsoft Intune/MDM
    • 群組原則
    • 登錄

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

使用 Intune 停用 Credential Guard

如果 Credential Guard 是透過 Intune 啟用,而且沒有 UEFI 鎖定,則停用相同的原則設定會停用 Credential Guard。

若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:

類別 設定名稱
Device Guard Credential Guard 停用

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者,您可以使用 自定義 原則搭配 DeviceGuard 原則 CSP 來設定裝置。

設定
設定名稱:Credential Guard 組態
OMA-URI./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
數據類型:int
0

套用原則之後,請重新啟動裝置。

如需停用虛擬化型安全性 (VBS) 的相關信息,請參閱 停用虛擬化型安全性

停用具有 UEFI 鎖定的 Credential Guard

如果使用 UEFI 鎖定啟用 Credential Guard,請遵循此程式,因為設定會保存在 EFI (韌體) 變數中。

注意

此案例需要計算機上的實體存在,才能按下函式密鑰以接受變更。

  1. 遵循停用 Credential Guard 中的步驟

  2. 使用 bcdedit 來刪除 Credential Guard EFI 變數。 從提升權限的命令提示字元中,輸入下列命令:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  3. 重新開機裝置。 操作系統開機之前,會出現提示,通知 UEFI 已修改,並要求確認。 必須確認提示,變更才會保存。

停用虛擬機的 Credential Guard

您可以使用下列命令,從主機停用虛擬機的 Credential Guard:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

停用虛擬化型安全性

如果您停用虛擬化型安全性 (VBS) ,則會自動停用 Credential Guard 和其他依賴 VBS 的功能。

重要

Credential Guard 旁邊的其他安全性功能則依賴 VBS。 停用 VBS 可能會有非預期的副作用。

使用下列其中一個選項來停用 VBS:

  • Microsoft Intune/MDM
  • 群組原則
  • 登錄

下列指示提供如何設定裝置的詳細數據。 選取最符合您需求的選項。

使用 Intune 停用 VBS

如果 VBS 是透過 Intune 啟用,而且沒有 UEFI 鎖定,則停用相同的原則設定會停用 VBS。

若要使用 Microsoft Intune 設定裝置,請建立 [設定] 目錄原則,並使用下列設定:

類別 設定名稱
Device Guard 啟用虛擬化型安全性 停用

將原則指派給包含 為您要設定之裝置或用戶成員的群組。

或者,您可以使用 自定義 原則搭配 DeviceGuard 原則 CSP 來設定裝置。

設定
設定名稱:開啟虛擬化型安全性
OMA-URI./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
數據類型:int
0

套用原則之後,請重新啟動裝置。

如果使用 UEFI 鎖定啟用 Credential Guard,則必須使用 命令 bcdedit.exe來清除儲存在韌體中的 EFI 變數。 從提升權限的命令提示字元中,執行下列命令:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

後續步驟