如何在 Windows 11 中禁用(启用)Credential Guard
这凭证卫士最新版本 Windows 中的安全功能可保护帐户免遭盗窃和未经授权的使用,包括哈希传递和票证传递攻击。 Credential Guard 使用基于虚拟化的安全性 (VBS) 在安全的虚拟环境(容器)中隔离敏感凭据,例如 NTLM 密码哈希、Kerberos 票证、其他凭据和机密。安全启动和可信平台模块 (TPM) 等硬件功能用于保护凭据。这些凭据只能由特权系统软件访问,这可以防止恶意软件或攻击者窃取它们,即使他们获得了本地管理员权限。
Windows Defender Credential Guard 会在满足以下要求的兼容设备上自动启用:
- Windows 11 22H2(或更高版本)的企业版或教育版(一些 Credential Guard 和基于虚拟化的安全组件也可在专业版中使用)或 Windows Server 2025。
- TPM 1.2 或 2.0 模块
- UEFI锁
- 安全启动已启用
- 该设备支持基于虚拟化的安全性,并具有 64 位 CPU,支持高级虚拟化和 SLAT(二级地址转换)。
- Windows功能中启用了Hyper-V虚拟化平台(HypervisorPlatform):
Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform
启用 Credential Guard 在以下情况下可能会导致问题:
- 如果使用 NTLM 身份验证,Credential Guard 会阻止保存 RDP 连接的密码。
- 用户无法运行 VMware Workstation (Player) 或 VirtualBox 虚拟机并出现错误:
VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.
- 不建议在域控制器上使用 Credential Guard。这不会提高安全性,并且可能会导致与第三方应用程序的兼容性问题。
- 使用不安全身份验证方法(例如 NTLMv1 或不受约束的 Kerberos 委派)的应用程序将无法运行。
- 启用 Credential Guard 后,单点登录 (SSO) 身份验证在远程桌面服务 (RDS) 主机上不起作用
- 用户无法在使用 MSCHAPv2 身份验证协议(包括 PEAP-MSCHAPv2 和 EAP-MSCHAPv2)的 Wi-Fi 接入点或 VPN 服务器上进行身份验证
运行以下 PowerShell 命令来检查 Windows 中是否启用了 Credential Guard:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning
更多阅读:如何修复 Credential Guard 无法在 Windows 11 中运行
1– 启用凭证保护0– 禁用
为了在计算机上禁用 Credential Guard,需要配置许多设置:
- 打开本地 GPO 编辑器(
gpedit.msc)并转到计算机配置 -> 管理模板 -> 系统 -> Device Guard。设置打开基于虚拟化的安全性参数为残疾人。
- 创建两个注册表参数。将值设置为0对于两者:
reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0
reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
当不使用 UEFI 锁来防止 UEFI 固件设置发生更改时,这会禁用 Credential Guard。 - 如果启用了 UEFI 锁,请运行以下命令。要应用设置,您将需要访问计算机的控制台。以管理员身份打开命令提示符,挂载 EFI 系统分区,然后在 Windows 引导加载程序配置 (BCD) 中创建新的临时条目,以在禁用 Credential Guard 和基于虚拟化的安全性的模式下运行 EFI 引导加载程序:
mountvol X: /s
copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d - 重新启动计算机。计算机启动期间系统将提示您禁用 Credential Guard:
Credential Guard Opt-out Tool Do you want to disable Credential Guard? Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.
- 按
F3在几秒钟内确认禁用 Credential Guard(否则,对引导加载程序的更改将被取消)。
检查 Credential Guard 现已禁用:
您还可以使用官方 PowerShell 脚本(Device Guard 和 Credential Guard 硬件准备工具),在支持的设备上启用或禁用 Credential Guard 和 Device Guardhttps://www.microsoft.com/en-my/download/details.aspx?id=53337)
下载dgreadiness_v3.6.zip并将其解压到本地目录:
cd C:PSdgreadiness_v3.6
如果您的 PowerShell 脚本执行设置阻止第三方 PS1 文件运行,请在当前会话中启用脚本执行:
Set-ExecutionPolicy -Scope Process RemoteSigned
检查启用了哪些 Defender 安全功能。
DG_Readiness_Tool_v3.6.ps1 -Ready
要禁用 Credential Guard,请运行:
DG_Readiness_Tool_v3.6.ps1 -Disable -CG
重新启动计算机并按F3 确认 Credential Guard 的禁用。
