在启用了 Credential Guard 或 Device Guard 的 Windows 10-Eric Li-运维网 博客

lxy777

　　https://kb.vmware.com/s/article/2146361?lang=zh_CN
　　https://www.microsoft.com/en-us/download/details.aspx?id=53337
　　管理 Windows Defender Credential Guard
　　2018/09/04
　　作者
　　Brian Lich  olprod
　　适用范围
　　Windows 10
　　WindowsServer 2016
　　喜欢视频？ 请参阅深入探讨 Windows Defender Credential Guard 视频系列中的 Windows Defender Credential Guard 部署。
　　启用 Windows Defender Credential Guard
　　可使用组策略、注册表或 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 可以保护 Hyper-V 虚拟机中的密钥，就像在物理计算机上一样。 用于启用物理计算机上的 Windows Defender Credential Guard 的相同过程还适用于虚拟机。
　　使用组策略启用 Windows Defender Credential Guard
　　你可以使用组策略启用 Windows Defender Credential Guard。 这将为你添加和启用基于虚拟化的安全功能（如果需要）。
　　在组策略管理控制台上，转到计算机配置 -> 管理模板 -> 系统 -> Device Guard。
　　双击打开基于虚拟化的安全，然后单击已启用选项。
　　在选择平台安全级别框中，选择安全启动或安全启动和 DMA 保护。
　　在 Credential Guard 配置框中，单击使用 UEFI 锁定启用，然后单击确定。 如果你希望远程关闭 Windows Defender Credential Guard，请选择在不使用锁定的情况下启用。
　　Windows Defender Credential Guard 组策略设置
　　关闭组策略管理控制台。
　　若要强制执行组策略，你可以运行 gpupdate /force。
　　使用注册表启用 Windows Defender Credential Guard
　　如果你不使用组策略，可以使用注册表启用 Windows Defender Credential Guard。 Windows Defender Credential Guard 使用基于虚拟化的安全功能，这些功能必须先在某些操作系统上启用。
　　添加基于虚拟化的安全×××
　　从 Windows 10 版本 1607 和 Windows Server 2016 开始，不必启用 Windows 功能来使用基于虚拟化的安全性，可以跳过此步骤。
　　如果你使用的是 Windows 10 版本 1507 (RTM) 或 Windows 10 版本 1511，必须启用 Windows 功能才能使用基于虚拟化的安全性。 你可以使用控制面板或部署映像服务和管理 (DISM) 工具执行此操作。
　　备注
　　如果使用组策略启用 Windows Defender Credential Guard，则不需要通过控制面板或 DISM 启用 Windows 功能的步骤。 组策略将为你安装 Windows 功能。
　　使用“程序和功能”添加基于虚拟化的安全功能
　　打开“程序和功能”控制面板。
　　单击打开或关闭 Windows 功能。
　　转到Hyper-V -> Hyper-V 平台，然后选中 Hyper-V 虚拟机监控程序复选框。
　　选择功能选择顶层的隔离用户模式复选框。
　　单击确定。
　　使用 DISM 将基于虚拟化的安全×××添加到离线映像
　　打开提升的命令提示符。
　　通过运行以下命令添加 Hyper-V 虚拟机监控程序： dism /image: /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
　　通过运行以下命令添加隔离用户模式功能： dism /image: /Enable-Feature /FeatureName:IsolatedUserMode
　　备注
　　还可以通过使用 DISM 或 Configuration Manager 将这些功能添加到联机映像。
　　启用基于虚拟化的安全性和 Windows Defender Credential Guard
　　打开注册表编辑器。
　　启用基于虚拟化的安全性：
　　转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard。
　　添加名为 EnableVirtualizationBasedSecurity 的新 DWORD 值。 若要启用基于虚拟化的安全性，请将此注册表设置的值设置为 1；若要禁用它，则将此值设置为 0。
　　添加名为 RequirePlatformSecurityFeatures 的新 DWORD 值。 若要仅使用安全启动，请将此注册表设置的值设置为 1；若要使用安全启动和 DMA 保护，则将此值设置为 3。
　　启用 Windows Defender Credential Guard：
　　转到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA。
　　添加名为 LsaCfgFlags 的新 DWORD 值。 将此注册表设置的值设置为 1 可使用 UEFI 锁定启用 Windows Defender Credential Guard，将其设置 2 可在不使用锁定的情况下启用 Windows Defender Credential Guard，而将其设置为 0 可禁用它。
　　打开注册表编辑器。
　　备注
　　也可以通过在 FirstLogonCommands 无人参与设置中设置注册表条目来打开 Windows Defender Credential Guard。
　　使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具启用 Windows Defender Credential Guard
　　你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具启用 Windows Defender Credential Guard。
　　复制
　　DG_Readiness_Tool_v3.5.ps1 -Enable -AutoReboot
　　检查 Windows Defender Credential Guard 性能
　　Windows Defender Credential Guard 是否正在运行？
　　你可以查看系统信息以检查 Windows Defender Credential Guard 是否正在电脑上运行。
　　单击开始，键入 msinfo32.exe，然后单击系统信息。
　　单击系统摘要。
　　确认 Credential Guard 显示在已配置的基于虚拟化的安全服务旁边。
　　下面是一个示例：
　　系统信息
　　你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具检查 Windows Defender Credential Guard 是否在运行。
　　复制
　　DG_Readiness_Tool_v3.5.ps1 -Ready
　　备注
　　对于运行 Windows 10 1703 的客户端计算机，不论何时为其他功能启用基于虚拟化的安全性，LsaIso.exe 都一直运行。
　　我们建议在设备加入域前启用 Windows Defender Credential Guard。 如果 Windows Defender Credential Guard 在加入域后启用，则用户和设备密钥可能已经泄露。 换言之，启用 Credential Guard 对保护已经受到威胁的设备或身份没有帮助，这就是为何我们建议尽早打开 Credential Guard。

　　你应该定期检查已启用 Windows Defender Credential Guard 的电脑。 此操作可通过安全审核策略或 WMI 查询来完成。 以下是要查找的 WinInit 事件>
　　事件>
　　事件>　　第一个变量：0x1 表示 Windows Defender Credential Guard 配置为运行。 0x0 表示它未配置为运行。
　　第二个变量：0 表示它配置为在保护模式下运行。 1 表示它配置为在测试模式下运行。 此变量应始终为 0。

　　事件>
　　事件>
　　事件>
　　事件>　　禁用 Windows Defender Credential Guard
　　若要禁用 Windows Defender Credential Guard，你可以使用下面的一组过程或Device Guard 和 Credential Guard 硬件准备工具。 如果使用 UEFI 锁定启用 Credential Guard 你必须设置保留在 EFI （固件） 变量以及它将需要在计算机按功能键以接受更改实际存在使用以下过程。 如果没有 UEFI 锁定启用 Credential Guard 然后你可以关闭它通过使用组策略。
　　如果你已使用组策略，请禁用用于启用 Windows Defender Credential Guard 的组策略设置（计算机配置 -> 管理模板 -> 系统 -> Device Guard -> 打开基于虚拟化的安全）。
　　删除以下注册表设置：
　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
　　HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
　　HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
　　重要
　　如果你手动删除这些注册表设置，请确保将它们全部删除。 如果不全部删除，设备可能会进入 BitLocker 恢复状态。
　　使用 bcdedit 删除 Windows Defender Credential Guard EFI 变量。 在提升的命令提示符下键入以下命令：
　　syntax
　　复制
　　mountvol X: /s
　　copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
　　bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
　　bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
　　bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
　　bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
　　bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
　　mountvol X: /d
　　重启电脑。
　　接受禁用 Windows Defender Credential Guard 的提示。
　　或者，你可以禁用基于虚拟化的安全×××来关闭 Windows Defender Credential Guard。
　　备注
　　电脑必须一次性访问域控制器才能解密内容，例如使用 EFS 加密的文件。 如果你希望同时关闭 Windows Defender Credential Guard 和基于虚拟化的安全性，请在关闭所有基于虚拟化的安全组策略和注册表设置后运行以下 bcdedit 命令：bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
　　有关基于虚拟化的安全性和 Windows Defender Device Guard 的详细信息，请参阅 Windows Defender Device Guard 部署指南。
　　使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具禁用 Windows Defender Credential Guard
　　你也可以使用 Windows Defender Device Guard 和 Windows Defender Credential Guard 硬件准备工具 禁用 Windows Defender Credential Guard。
　　复制
　　DG_Readiness_Tool_v3.5.ps1 -Disable -AutoReboot
　　为虚拟机禁用 Windows Defender Credential Guard
　　从主机中，你可以针对虚拟机禁用 Windows Defender Credential Guard：
　　PowerShell
　　复制
　　Set-VMSecurity -VMName  -VirtualizationBasedSecurityOptOut $true