如何使用组策略在 Windows 11 中启用或禁用 Credential Guard

Credential Guard 是 Windows 11 中的一项强大安全功能，可保护您的域凭据免受潜在黑客和恶意软件的侵害。通过在安全环境中隔离凭证信息，可以显着降低未经授权访问企业网络的风险。本指南将引导您完成在 Windows 11 中使用组策略启用或禁用 Credential Guard 的过程。

在开始之前，请确保您的系统满足以下要求：

• Windows 11 企业版（Credential Guard 在专业版或教育版中不可用）
• 支持虚拟化的 64 位处理器
• 具有安全启动功能的 UEFI 固件
• 可信平台模块 (TPM) 2.0

通过组策略启用 Credential Guard

步骤一：按打开组策略编辑器Win + R, 打字gpedit.msc，然后按 Enter 键。

步骤2：导航到计算机配置 > 管理模板 > 系统 > Device Guard。

步骤3：双击“打开基于虚拟化的安全性”。

第4步：在新窗口中，选择“已启用”以打开基于虚拟化的安全性。

第5步：在“选择平台安全级别”选项下，选择“安全启动”或“安全启动和 DMA 保护”。后者提供了额外的安全性，但可能并不与所有硬件兼容。

阅读更多：如何修复 Credential Guard 无法在 Windows 11 中运行

第6步：在“Credential Guard 配置”框中，选择以下选项之一：

• “通过 UEFI 锁启用”- 此设置提供最高的安全性，但需要对计算机进行物理访问才能禁用 Credential Guard。
• “无锁启用” – 这允许远程禁用 Credential Guard，这对于故障排除很有用，但安全性较低。

第7步：单击“应用”，然后单击“确定”保存更改。

步骤8：重新启动计算机以使更改生效。

通过组策略禁用 Credential Guard

如果您需要禁用 Credential Guard，请按照以下步骤操作：

步骤一：如前所述打开组策略编辑器。

步骤2：导航到同一位置：计算机配置 > 管理模板 > 系统 > Device Guard。

步骤3：双击“打开基于虚拟化的安全性”。

第4步：选择“禁用”并单击“应用”，然后单击“确定”。

第5步：重新启动计算机以应用更改。

验证 Credential Guard 状态

要确认 Credential Guard 是否正在您的系统上运行：

步骤一：按Win + R， 类型msinfo32.exe，然后按 Enter 键打开“系统信息”。

步骤2：在“系统摘要”部分中，查找“正在运行的基于虚拟化的安全服务”。如果您看到此处列出“Credential Guard”，则表示该功能已激活并正在运行。

替代方法：通过注册表启用 Credential Guard

对于高级用户或在组策略不可用的情况下，您可以使用注册表编辑器启用 Credential Guard：

步骤一：按打开注册表编辑器Win + R, 打字regedit，然后按 Enter 键。

步骤2：导航到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuard。

步骤3：右键单击右侧窗格，选择新建 > DWORD（32 位）值，并将其命名为“EnableVirtualizationBasedSecurity”。

第4步：将值设置为 1 以启用基于虚拟化的安全性。

第5步：创建另一个名为“RequirePlatformSecurityFeatures”的 DWORD 值，并将其设置为 1（仅适用于安全启动），或设置为 3（适用于安全启动和 DMA 保护）。

第6步：导航到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa。

第7步：创建一个名为“LsaCfgFlags”的新 DWORD 值。将其设置为 1 以启用带 UEFI 锁定的 Credential Guard，或设置为 2 以启用不带 UEFI 锁定的功能。

步骤8：关闭注册表编辑器并重新启动计算机。

通过执行以下步骤，您已在 Windows 11 系统上成功配置 Credential Guard。请记住，虽然 Credential Guard 显着提高了安全性，但它只是全面安全策略的一部分。让您的系统和软件保持最新状态，并始终遵循密码管理和网络安全的最佳实践。