在啟用了 Credential Guard 或 Device Guard 的 Windows 10

https://kb.vmware.com/s/article/2146361?lang=zh_CN

https://www.microsoft.com/en-us/download/details.aspx?id=53337

管理 Windows Defender Credential Guard

2018/09/04

作者

Brian Lich olprod

适用範圍

Windows 10

WindowsServer 2016

喜歡視訊？ 請參閱深入探讨 Windows Defender Credential Guard 視訊系列中的 Windows Defender Credential Guard 部署。

啟用 Windows Defender Credential Guard

可使用組政策、系統資料庫或 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬體準備工具啟用 Windows Defender Credential Guard。 Windows Defender Credential Guard 可以保護 Hyper-V 虛拟機中的密鑰，就像在實體計算機上一樣。 用于啟用實體計算機上的 Windows Defender Credential Guard 的相同過程還适用于虛拟機。

使用組政策啟用 Windows Defender Credential Guard

你可以使用組政策啟用 Windows Defender Credential Guard。 這将為你添加和啟用基于虛拟化的安全功能（如果需要）。

在組政策管理控制台上，轉到計算機配置 -> 管理模闆 -> 系統 -> Device Guard。

輕按兩下打開基于虛拟化的安全，然後單擊已啟用選項。

在選擇平台安全級别框中，選擇安全啟動或安全啟動和 DMA 保護。

在 Credential Guard 配置框中，單擊使用 UEFI 鎖定啟用，然後單擊确定。 如果你希望遠端關閉 Windows Defender Credential Guard，請選擇在不使用鎖定的情況下啟用。

Windows Defender Credential Guard 組政策設定

關閉組政策管理控制台。

若要強制執行組政策，你可以運作 gpupdate /force。

使用系統資料庫啟用 Windows Defender Credential Guard

如果你不使用組政策，可以使用系統資料庫啟用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用基于虛拟化的安全功能，這些功能必須先在某些作業系統上啟用。

添加基于虛拟化的安全×××

從 Windows 10 版本 1607 和 Windows Server 2016 開始，不必啟用 Windows 功能來使用基于虛拟化的安全性，可以跳過此步驟。

如果你使用的是 Windows 10 版本 1507 (RTM) 或 Windows 10 版本 1511，必須啟用 Windows 功能才能使用基于虛拟化的安全性。 你可以使用控制台或部署映像服務和管理 (DISM) 工具執行此操作。

備注

如果使用組政策啟用 Windows Defender Credential Guard，則不需要通過控制台或 DISM 啟用 Windows 功能的步驟。 組政策将為你安裝 Windows 功能。

使用“程式和功能”添加基于虛拟化的安全功能

打開“程式和功能”控制台。

單擊打開或關閉 Windows 功能。

轉到Hyper-V -> Hyper-V 平台，然後選中 Hyper-V 虛拟機監控程式複選框。

選擇功能選擇頂層的隔離使用者模式複選框。

單擊确定。

使用 DISM 将基于虛拟化的安全×××添加到離線映像

打開提升的指令提示符。

通過運作以下指令添加 Hyper-V 虛拟機監控程式： dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all

通過運作以下指令添加隔離使用者模式功能： dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode

還可以通過使用 DISM 或 Configuration Manager 将這些功能添加到聯機映像。

啟用基于虛拟化的安全性和 Windows Defender Credential Guard

打開系統資料庫編輯器。

啟用基于虛拟化的安全性：

轉到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard。

添加名為 EnableVirtualizationBasedSecurity 的新 DWORD 值。 若要啟用基于虛拟化的安全性，請将此系統資料庫設定的值設定為 1；若要禁用它，則将此值設定為 0。

添加名為 RequirePlatformSecurityFeatures 的新 DWORD 值。 若要僅使用安全啟動，請将此系統資料庫設定的值設定為 1；若要使用安全啟動和 DMA 保護，則将此值設定為 3。

啟用 Windows Defender Credential Guard：

轉到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA。

添加名為 LsaCfgFlags 的新 DWORD 值。 将此系統資料庫設定的值設定為 1 可使用 UEFI 鎖定啟用 Windows Defender Credential Guard，将其設定 2 可在不使用鎖定的情況下啟用 Windows Defender Credential Guard，而将其設定為 0 可禁用它。

也可以通過在 FirstLogonCommands 無人參與設定中設定系統資料庫條目來打開 Windows Defender Credential Guard。

使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬體準備工具啟用 Windows Defender Credential Guard

你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬體準備工具啟用 Windows Defender Credential Guard。

複制

DG_Readiness_Tool_v3.5.ps1 -Enable -AutoReboot

檢查 Windows Defender Credential Guard 性能

Windows Defender Credential Guard 是否正在運作？

你可以檢視系統資訊以檢查 Windows Defender Credential Guard 是否正在電腦上運作。

單擊開始，鍵入 msinfo32.exe，然後單擊系統資訊。

單擊系統摘要。

确認 Credential Guard 顯示在已配置的基于虛拟化的安全服務旁邊。

下面是一個示例：

系統資訊

你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬體準備工具檢查 Windows Defender Credential Guard 是否在運作。

DG_Readiness_Tool_v3.5.ps1 -Ready

對于運作 Windows 10 1703 的用戶端計算機，不論何時為其他功能啟用基于虛拟化的安全性，LsaIso.exe 都一直運作。

我們建議在裝置加入域前啟用 Windows Defender Credential Guard。 如果 Windows Defender Credential Guard 在加入域後啟用，則使用者和裝置密鑰可能已經洩露。 換言之，啟用 Credential Guard 對保護已經受到威脅的裝置或身份沒有幫助，這就是為何我們建議盡早打開 Credential Guard。

你應該定期檢查已啟用 Windows Defender Credential Guard 的電腦。 此操作可通過安全稽核政策或 WMI 查詢來完成。 以下是要查找的 WinInit 事件 ID 清單：

事件 ID 13 Windows Defender Credential Guard (LsaIso.exe) 已啟動，并将保護 LSA 憑據。

事件 ID 14 Windows Defender Credential Guard (LsaIso.exe) 配置：0x1、0

第一個變量：0x1 表示 Windows Defender Credential Guard 配置為運作。 0x0 表示它未配置為運作。

第二個變量：0 表示它配置為在保護模式下運作。 1 表示它配置為在測試模式下運作。 此變量應始終為 0。

事件 ID 15 Windows Defender Credential Guard (LsaIso.exe) 已配置，但安全核心未運作；将在沒有 Windows Defender Credential Guard 的情況下繼續操作。

事件 ID 16 Windows Defender Credential Guard (LsaIso.exe) 無法啟動：[錯誤代碼]

事件 ID 17 讀取 Windows Defender Credential Guard (LsaIso.exe) UEFI 配置時出錯：[error code] 你還可以通過在 Microsoft -> Windows -> 核心啟動事件源中檢查事件 ID 51 來驗證 TPM 是否用于密鑰保護。 如果使用 TPM 進行運作，TPM PCR 掩碼值将為 0 之外的值。

事件 ID 51 VSM 本地加密密鑰預配。 使用緩存的副本狀态：0x0。 解封緩存的副本狀态：0x1。 新密鑰生成狀态：0x1。 封裝狀态：0x1。 TPM PCR 掩碼：0x0。

禁用 Windows Defender Credential Guard

若要禁用 Windows Defender Credential Guard，你可以使用下面的一組過程或Device Guard 和 Credential Guard 硬體準備工具。 如果使用 UEFI 鎖定啟用 Credential Guard 你必須設定保留在 EFI （固件） 變量以及它将需要在計算機按功能鍵以接受更改實際存在使用以下過程。 如果沒有 UEFI 鎖定啟用 Credential Guard 然後你可以關閉它通過使用組政策。

如果你已使用組政策，請禁用用于啟用 Windows Defender Credential Guard 的組政策設定（計算機配置 -> 管理模闆 -> 系統 -> Device Guard -> 打開基于虛拟化的安全）。

删除以下系統資料庫設定：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

重要

如果你手動删除這些系統資料庫設定，請確定将它們全部删除。 如果不全部删除，裝置可能會進入 BitLocker 恢複狀态。

使用 bcdedit 删除 Windows Defender Credential Guard EFI 變量。 在提升的指令提示符下鍵入以下指令：

syntax

mountvol X: /s

copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y

bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:

mountvol X: /d

重新開機電腦。

接受禁用 Windows Defender Credential Guard 的提示。

或者，你可以禁用基于虛拟化的安全×××來關閉 Windows Defender Credential Guard。

電腦必須一次性通路域控制器才能解密内容，例如使用 EFS 加密的檔案。 如果你希望同時關閉 Windows Defender Credential Guard 和基于虛拟化的安全性，請在關閉所有基于虛拟化的安全組政策和系統資料庫設定後運作以下 bcdedit 指令：bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

有關基于虛拟化的安全性和 Windows Defender Device Guard 的詳細資訊，請參閱 Windows Defender Device Guard 部署指南。

使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬體準備工具禁用 Windows Defender Credential Guard

你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬體準備工具 禁用 Windows Defender Credential Guard。