Як вимкнути (увімкнути) Credential Guard у Windows 11

TheCredential GuardФункція безпеки в останніх версіях Windows захищає облікові записи від крадіжки та несанкціонованого використання, включаючи атаки Pass-the-Hash і Pass-the-Ticket. Credential Guard використовує безпеку на основі віртуалізації (VBS), щоб ізолювати конфіденційні облікові дані, такі як хеші паролів NTLM, квитки Kerberos, інші облікові дані та секрети в безпечному віртуальному середовищі (контейнері). Такі апаратні функції, як Secure Boot і Trusted Platform Module (TPM), використовуються для захисту облікових даних. Доступ до цих облікових даних може отримати лише привілейоване системне програмне забезпечення, яке не дозволяє зловмисному програмному забезпеченню або зловмисникам їх викрасти, навіть якщо вони отримують права локального адміністратора.

Windows Defender Credential Guard автоматично вмикається на сумісних пристроях, які відповідають таким вимогам:

• Windows 11 22H2 (або пізнішої версії) з випусками Enterprise або Education (деякі компоненти Credential Guard і Virtualization-Based Security також доступні у випуску Pro) або Windows Server 2025.
• Модуль TPM 1.2 або 2.0
• блокування UEFI
• Безпечне завантаження ввімкнено
• Пристрій підтримує безпеку на основі віртуалізації та має 64-розрядний ЦП із підтримкою розширеної віртуалізації та SLAT (перетворення адрес другого рівня).
• Платформу віртуалізації Hyper-V (HypervisorPlatform) увімкнено в функціях Windows:Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform

Увімкнена Credential Guard може спричинити проблеми в таких випадках:

• Credential Guard запобігає збереженню паролів для підключень RDP, якщо використовується автентифікація NTLM.
• Користувачі не можуть запустити віртуальні машини VMware Workstation (Player) або VirtualBox із помилкою:

  VMware Workstation and Device/Credential Guard are not compatible. 
  VMware Workstation can be run after disabling Device/Credential Guard.

  

• Не рекомендується використовувати Credential Guard на контролерах домену. Це не підвищить безпеку та може спричинити проблеми сумісності з програмами сторонніх розробників.
• Програми, які використовують небезпечні методи автентифікації, такі як NTLMv1 або необмежене делегування Kerberos, не працюватимуть.
• Автентифікація за системою єдиного входу (SSO) не працює на хості служб віддаленого робочого стола (RDS), якщо ввімкнено Credential Guard
• Користувачі не можуть пройти автентифікацію в точках доступу Wi-Fi або на серверах VPN, які використовують протоколи автентифікації MSCHAPv2 (включно з PEAP-MSCHAPv2 і EAP-MSCHAPv2)

Виконайте таку команду PowerShell, щоб перевірити, чи ввімкнено Credential Guard у Windows:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning

• 1– Credential Guard увімкнено
• 0– вимкнено

Щоб вимкнути Credential Guard на комп’ютері, потрібно налаштувати ряд параметрів:

1. Відкрийте локальний редактор GPO (gpedit.msc) і перейдіть до Конфігурація комп’ютера -> Адміністративні шаблони -> Система -> Захист пристрою. ВстановітьУвімкніть безпеку на основі віртуалізаціїпараметр доВимкнено.
2. Створіть два параметри реєстру. Установіть значення0для обох:
   reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
   Це вимикає Credential Guard, коли блокування UEFI не використовується для захисту від змін налаштувань мікропрограми UEFI.
3. Якщо блокування UEFI увімкнено, виконайте наведені нижче команди. Щоб застосувати налаштування, вам знадобиться доступ до консолі комп’ютера. Відкрийте командний рядок від імені адміністратора, підключіть системний розділ EFI та створіть новий тимчасовий запис у конфігурації завантажувача Windows (BCD), щоб запустити завантажувач EFI в режимі з вимкненим Credential Guard і безпекою на основі віртуалізації:
   mountvol X: /s
copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
4. Перезавантажте комп'ютер. Вам буде запропоновано вимкнути Credential Guard під час завантаження комп’ютера:

   Credential Guard Opt-out Tool
   Do you want to disable Credential Guard?
   Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.
   

   

5. ПресF3протягом кількох секунд, щоб підтвердити вимкнення Credential Guard (інакше зміни в завантажувачі буде скасовано).

Переконайтеся, що Credential Guard зараз вимкнено:

Ви також можете використовувати офіційний сценарій PowerShell (Інструмент для перевірки готовності апаратного забезпечення Device Guard і Credential Guard), щоб увімкнути або вимкнути Credential Guard і Device Guard на підтримуваних пристрояхhttps://www.microsoft.com/en-my/download/details.aspx?id=53337)

Завантажитиdgreadiness_v3.6.zipі розпакуйте його в локальний каталог:

cd C:PSdgreadiness_v3.6

Якщо ваші параметри виконання сценарію PowerShell перешкоджають запуску файлів PS1 сторонніх розробників, увімкніть виконання сценарію в поточних сеансах:

Set-ExecutionPolicy -Scope Process RemoteSigned

Перевірте, які функції безпеки Defender увімкнено.

ПОВ'ЯЗАНО:Як увімкнути або вимкнути Credential Guard у Windows 11 за допомогою групової політики

DG_Readiness_Tool_v3.6.ps1 -Ready

Щоб вимкнути Credential Guard, запустіть:

DG_Readiness_Tool_v3.6.ps1 -Disable -CG

Перезавантажте комп'ютер і натиснітьF3щоб підтвердити вимкнення Credential Guard.