https://kb.vmware.com/s/article/2146361?lang=zh_CN
https://www.microsoft.com/en-us/download/details.aspx?id=53337
管理 Windows Defender Credential Guard
2018/09/04
作者
Brian Lich olprod
適用範圍
Windows 10
WindowsServer 2016
喜歡視頻? 請參閱深入探討 Windows Defender Credential Guard 視頻系列中的 Windows Defender Credential Guard 部署。
啓用 Windows Defender Credential Guard
可使用組策略、註冊表或 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件準備工具啓用 Windows Defender Credential Guard。 Windows Defender Credential Guard 可以保護 Hyper-V 虛擬機中的密鑰,就像在物理計算機上一樣。 用於啓用物理計算機上的 Windows Defender Credential Guard 的相同過程還適用於虛擬機。
使用組策略啓用 Windows Defender Credential Guard
你可以使用組策略啓用 Windows Defender Credential Guard。 這將爲你添加和啓用基於虛擬化的安全功能(如果需要)。
在組策略管理控制檯上,轉到計算機配置 -> 管理模板 -> 系統 -> Device Guard。
雙擊打開基於虛擬化的安全,然後單擊已啓用選項。
在選擇平臺安全級別框中,選擇安全啓動或安全啓動和 DMA 保護。
在 Credential Guard 配置框中,單擊使用 UEFI 鎖定啓用,然後單擊確定。 如果你希望遠程關閉 Windows Defender Credential Guard,請選擇在不使用鎖定的情況下啓用。
Windows Defender Credential Guard 組策略設置
關閉組策略管理控制檯。
若要強制執行組策略,你可以運行 gpupdate /force。
使用註冊表啓用 Windows Defender Credential Guard
如果你不使用組策略,可以使用註冊表啓用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用基於虛擬化的安全功能,這些功能必須先在某些操作系統上啓用。
添加基於虛擬化的安全×××
從 Windows 10 版本 1607 和 Windows Server 2016 開始,不必啓用 Windows 功能來使用基於虛擬化的安全性,可以跳過此步驟。
如果你使用的是 Windows 10 版本 1507 (RTM) 或 Windows 10 版本 1511,必須啓用 Windows 功能才能使用基於虛擬化的安全性。 你可以使用控制面板或部署映像服務和管理 (DISM) 工具執行此操作。
備註
如果使用組策略啓用 Windows Defender Credential Guard,則不需要通過控制面板或 DISM 啓用 Windows 功能的步驟。 組策略將爲你安裝 Windows 功能。
使用“程序和功能”添加基於虛擬化的安全功能
打開“程序和功能”控制面板。
單擊打開或關閉 Windows 功能。
轉到Hyper-V -> Hyper-V 平臺,然後選中 Hyper-V 虛擬機監控程序複選框。
選擇功能選擇頂層的隔離用戶模式複選框。
單擊確定。
使用 DISM 將基於虛擬化的安全×××添加到離線映像
打開提升的命令提示符。
通過運行以下命令添加 Hyper-V 虛擬機監控程序: dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
通過運行以下命令添加隔離用戶模式功能: dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
備註
還可以通過使用 DISM 或 Configuration Manager 將這些功能添加到聯機映像。
啓用基於虛擬化的安全性和 Windows Defender Credential Guard
打開註冊表編輯器。
啓用基於虛擬化的安全性:
轉到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard。
添加名爲 EnableVirtualizationBasedSecurity 的新 DWORD 值。 若要啓用基於虛擬化的安全性,請將此註冊表設置的值設置爲 1;若要禁用它,則將此值設置爲 0。
添加名爲 RequirePlatformSecurityFeatures 的新 DWORD 值。 若要僅使用安全啓動,請將此註冊表設置的值設置爲 1;若要使用安全啓動和 DMA 保護,則將此值設置爲 3。
啓用 Windows Defender Credential Guard:
轉到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA。
添加名爲 LsaCfgFlags 的新 DWORD 值。 將此註冊表設置的值設置爲 1 可使用 UEFI 鎖定啓用 Windows Defender Credential Guard,將其設置 2 可在不使用鎖定的情況下啓用 Windows Defender Credential Guard,而將其設置爲 0 可禁用它。
打開註冊表編輯器。
備註
也可以通過在 FirstLogonCommands 無人蔘與設置中設置註冊表條目來打開 Windows Defender Credential Guard。
使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件準備工具啓用 Windows Defender Credential Guard
你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件準備工具啓用 Windows Defender Credential Guard。
複製
DG_Readiness_Tool_v3.5.ps1 -Enable -AutoReboot
檢查 Windows Defender Credential Guard 性能
Windows Defender Credential Guard 是否正在運行?
你可以查看系統信息以檢查 Windows Defender Credential Guard 是否正在電腦上運行。
單擊開始,鍵入 msinfo32.exe,然後單擊系統信息。
單擊系統摘要。
確認 Credential Guard 顯示在已配置的基於虛擬化的安全服務旁邊。
下面是一個示例:
系統信息
你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件準備工具檢查 Windows Defender Credential Guard 是否在運行。
複製
DG_Readiness_Tool_v3.5.ps1 -Ready
備註
對於運行 Windows 10 1703 的客戶端計算機,不論何時爲其他功能啓用基於虛擬化的安全性,LsaIso.exe 都一直運行。
我們建議在設備加入域前啓用 Windows Defender Credential Guard。 如果 Windows Defender Credential Guard 在加入域後啓用,則用戶和設備密鑰可能已經泄露。 換言之,啓用 Credential Guard 對保護已經受到威脅的設備或身份沒有幫助,這就是爲何我們建議儘早打開 Credential Guard。
你應該定期檢查已啓用 Windows Defender Credential Guard 的電腦。 此操作可通過安全審覈策略或 WMI 查詢來完成。 以下是要查找的 WinInit 事件 ID 列表:
事件 ID 13 Windows Defender Credential Guard (LsaIso.exe) 已啓動,並將保護 LSA 憑據。
事件 ID 14 Windows Defender Credential Guard (LsaIso.exe) 配置:0x1、0
第一個變量:0x1 表示 Windows Defender Credential Guard 配置爲運行。 0x0 表示它未配置爲運行。
第二個變量:0 表示它配置爲在保護模式下運行。 1 表示它配置爲在測試模式下運行。 此變量應始終爲 0。
事件 ID 15 Windows Defender Credential Guard (LsaIso.exe) 已配置,但安全內核未運行;將在沒有 Windows Defender Credential Guard 的情況下繼續操作。
事件 ID 16 Windows Defender Credential Guard (LsaIso.exe) 無法啓動:[錯誤代碼]
事件 ID 17 讀取 Windows Defender Credential Guard (LsaIso.exe) UEFI 配置時出錯:[error code] 你還可以通過在 Microsoft -> Windows -> 內核啓動事件源中檢查事件 ID 51 來驗證 TPM 是否用於密鑰保護。 如果使用 TPM 進行運行,TPM PCR 掩碼值將爲 0 之外的值。
事件 ID 51 VSM 本地加密密鑰預配。 使用緩存的副本狀態:0x0。 解封緩存的副本狀態:0x1。 新密鑰生成狀態:0x1。 封裝狀態:0x1。 TPM PCR 掩碼:0x0。
禁用 Windows Defender Credential Guard
若要禁用 Windows Defender Credential Guard,你可以使用下面的一組過程或Device Guard 和 Credential Guard 硬件準備工具。 如果使用 UEFI 鎖定啓用 Credential Guard 你必須設置保留在 EFI (固件) 變量以及它將需要在計算機按功能鍵以接受更改實際存在使用以下過程。 如果沒有 UEFI 鎖定啓用 Credential Guard 然後你可以關閉它通過使用組策略。
如果你已使用組策略,請禁用用於啓用 Windows Defender Credential Guard 的組策略設置(計算機配置 -> 管理模板 -> 系統 -> Device Guard -> 打開基於虛擬化的安全)。
刪除以下註冊表設置:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
重要
如果你手動刪除這些註冊表設置,請確保將它們全部刪除。 如果不全部刪除,設備可能會進入 BitLocker 恢復狀態。
使用 bcdedit 刪除 Windows Defender Credential Guard EFI 變量。 在提升的命令提示符下鍵入以下命令:
syntax
複製
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
重啓電腦。
接受禁用 Windows Defender Credential Guard 的提示。
或者,你可以禁用基於虛擬化的安全×××來關閉 Windows Defender Credential Guard。
備註
電腦必須一次性訪問域控制器才能解密內容,例如使用 EFS 加密的文件。 如果你希望同時關閉 Windows Defender Credential Guard 和基於虛擬化的安全性,請在關閉所有基於虛擬化的安全組策略和註冊表設置後運行以下 bcdedit 命令:bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
有關基於虛擬化的安全性和 Windows Defender Device Guard 的詳細信息,請參閱 Windows Defender Device Guard 部署指南。
使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件準備工具禁用 Windows Defender Credential Guard
你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件準備工具 禁用 Windows Defender Credential Guard。
複製
DG_Readiness_Tool_v3.5.ps1 -Disable -AutoReboot
爲虛擬機禁用 Windows Defender Credential Guard
從主機中,你可以針對虛擬機禁用 Windows Defender Credential Guard:
PowerShell
複製
Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true