TheStrażnik poświadczeńfunkcja bezpieczeństwa w najnowszych wersjach systemu Windows chroni konta przed kradzieżą i nieautoryzowanym użyciem, w tym atakami typu Pass-the-Hash i Pass-the-Ticket. Credential Guard wykorzystuje zabezpieczenia oparte na wirtualizacji (VBS) do izolowania wrażliwych poświadczeń, takich jak skróty haseł NTLM, bilety Kerberos, inne poświadczenia i sekrety w bezpiecznym środowisku wirtualnym (kontenerze). Funkcje sprzętowe, takie jak Secure Boot i moduł Trusted Platform Module (TPM), służą do ochrony poświadczeń. Dostęp do tych poświadczeń może uzyskać jedynie uprzywilejowane oprogramowanie systemowe, które zapobiega ich kradzieży przez złośliwe oprogramowanie lub osoby atakujące, nawet jeśli uzyskają uprawnienia administratora lokalnego.
Funkcja Windows Defender Credential Guard jest automatycznie włączana na zgodnych urządzeniach spełniających następujące wymagania:
- Windows 11 22H2 (lub nowszy) w wersji Enterprise lub Education (niektóre komponenty Credential Guard i Virtualization-Based Security są również dostępne w wersji Pro) lub Windows Server 2025.
- Moduł TPM 1.2 lub 2.0
- Blokada UEFI
- Bezpieczny rozruch jest włączony
- Urządzenie obsługuje zabezpieczenia oparte na wirtualizacji i ma 64-bitowy procesor z obsługą zaawansowanej wirtualizacji i SLAT (tłumaczenie adresów drugiego poziomu).
- Platforma wirtualizacji Hyper-V (HypervisorPlatform) jest włączona w funkcjach systemu Windows:
Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform
Włączona funkcja Credential Guard może powodować problemy w następujących przypadkach:
- Credential Guard zapobiega zapisywaniu haseł dla połączeń RDP, jeśli używane jest uwierzytelnianie NTLM.
- Użytkownicy nie mogą uruchamiać maszyn wirtualnych VMware Workstation (Player) ani VirtualBox z błędem:
VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.
- Nie zaleca się używania funkcji Credential Guard na kontrolerach domeny. Nie zwiększy to bezpieczeństwa i może powodować problemy ze zgodnością z aplikacjami innych firm.
- Aplikacje korzystające z niepewnych metod uwierzytelniania, takich jak NTLMv1 lub nieograniczone delegowanie protokołu Kerberos, nie będą działać.
- Uwierzytelnianie za pomocą pojedynczego logowania (SSO) nie działa na hoście usług pulpitu zdalnego (RDS), gdy włączona jest funkcja Credential Guard
- Użytkownicy nie mogą uwierzytelniać się w punktach dostępu Wi-Fi ani na serwerach VPN korzystających z protokołów uwierzytelniania MSCHAPv2 (w tym PEAP-MSCHAPv2 i EAP-MSCHAPv2)
Uruchom następujące polecenie programu PowerShell, aby sprawdzić, czy funkcja Credential Guard jest włączona w systemie Windows:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning
1– Włączono funkcję Credential Guard0- wyłączony
Aby wyłączyć funkcję Credential Guard na komputerze, należy skonfigurować szereg ustawień:
- Otwórz lokalny edytor GPO (
gpedit.msc) i przejdź do Konfiguracja komputera -> Szablony administracyjne -> System -> Ochrona urządzeń. UstawWłącz zabezpieczenia oparte na wirtualizacjiparametr doWyłączony.
- Utwórz dwa parametry rejestru. Ustaw wartość na0dla obu:
reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
Wyłącza to funkcję Credential Guard, gdy blokada UEFI nie jest używana do ochrony przed zmianami w ustawieniach oprogramowania sprzętowego UEFI. - Jeśli blokada UEFI jest włączona, uruchom następujące polecenia. Aby zastosować ustawienia, musisz uzyskać dostęp do konsoli komputera. Otwórz wiersz poleceń jako administrator, zamontuj partycję systemową EFI i utwórz nowy wpis tymczasowy w konfiguracji modułu ładującego rozruchu systemu Windows (BCD), aby uruchomić moduł ładujący EFI w trybie z wyłączoną funkcją Credential Guard i zabezpieczeniami opartymi na wirtualizacji:
mountvol X: /s
copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d - Uruchom ponownie komputer. Podczas uruchamiania komputera zostaniesz poproszony o wyłączenie modułu Credential Guard:
Credential Guard Opt-out Tool Do you want to disable Credential Guard? Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.
- Naciskać
F3w ciągu kilku sekund, aby potwierdzić wyłączenie funkcji Credential Guard (w przeciwnym razie zmiany w programie ładującym zostaną anulowane).
Sprawdź, czy funkcja Credential Guard jest teraz wyłączona:
Możesz także użyć oficjalnego skryptu PowerShell (Narzędzie do sprawdzania gotowości sprzętu Device Guard i Credential Guard), aby włączyć lub wyłączyć funkcję Credential Guard i Device Guard na obsługiwanych urządzeniachhttps://www.microsoft.com/en-my/download/details.aspx?id=53337)
Pobieraćdgreadiness_v3.6.zipi wyodrębnij go do katalogu lokalnego:
cd C:PSdgreadiness_v3.6
Jeśli ustawienia wykonywania skryptów programu PowerShell uniemożliwiają uruchamianie plików PS1 innych firm, włącz wykonywanie skryptów w bieżących sesjach:
Set-ExecutionPolicy -Scope Process RemoteSigned
Sprawdź, które funkcje bezpieczeństwa Defendera są włączone.
POWIĄZANY:Jak włączyć lub wyłączyć funkcję Credential Guard w systemie Windows 11 przy użyciu zasad grupy
DG_Readiness_Tool_v3.6.ps1 -Ready
Aby wyłączyć funkcję Credential Guard, uruchom:
DG_Readiness_Tool_v3.6.ps1 -Disable -CG
Uruchom ponownie komputer i naciśnijF3aby potwierdzić wyłączenie funkcji Credential Guard.
