如何使用組策略在 Windows 11 中啟用或禁用 Credential Guard

Credential Guard 是 Windows 11 中的一項強大安全功能，可保護您的域憑據免受潛在黑客和惡意軟件的侵害。通過在安全環境中隔離憑證信息，可以顯著降低未經授權訪問企業網絡的風險。本指南將引導您完成在 Windows 11 中使用組策略啟用或禁用 Credential Guard 的過程。

在開始之前，請確保您的系統滿足以下要求：

• Windows 11 企業版（Credential Guard 在專業版或教育版中不可用）
• 支持虛擬化的 64 位處理器
• 具有安全啟動功能的 UEFI 固件
• 可信平台模塊 (TPM) 2.0

通過組策略啟用 Credential Guard

步驟一：按打開組策略編輯器Win + R, 打字gpedit.msc，然後按 Enter 鍵。

步驟2：導航到計算機配置 > 管理模板 > 系統 > Device Guard。

步驟3：雙擊“打開基於虛擬化的安全性”。

第4步：在新窗口中，選擇“已啟用”以打開基於虛擬化的安全性。

第5步：在“選擇平台安全級別”選項下，選擇“安全啟動”或“安全啟動和 DMA 保護”。後者提供了額外的安全性，但可能並不與所有硬件兼容。

閱讀更多：如何修復 Credential Guard 無法在 Windows 11 中運行

第6步：在“Credential Guard 配置”框中，選擇以下選項之一：

• “通過 UEFI 鎖啟用”- 此設置提供最高的安全性，但需要對計算機進行物理訪問才能禁用 Credential Guard。
• “無鎖啟用” – 這允許遠程禁用 Credential Guard，這對於故障排除很有用，但安全性較低。

第7步：單擊“應用”，然後單擊“確定”保存更改。

步驟8：重新啟動計算機以使更改生效。

通過組策略禁用 Credential Guard

如果您需要禁用 Credential Guard，請按照以下步驟操作：

步驟一：如前所述打開組策略編輯器。

步驟2：導航到同一位置：計算機配置 > 管理模板 > 系統 > Device Guard。

步驟3：雙擊“打開基於虛擬化的安全性”。

第4步：選擇“禁用”並單擊“應用”，然後單擊“確定”。

第5步：重新啟動計算機以應用更改。

驗證 Credential Guard 狀態

要確認 Credential Guard 是否正在您的系統上運行：

步驟一：按Win + R， 類型msinfo32.exe，然後按 Enter 鍵打開“系統信息”。

步驟2：在“系統摘要”部分中，查找“正在運行的基於虛擬化的安全服務”。如果您看到此處列出“Credential Guard”，則表示該功能已激活並正在運行。

替代方法：通過註冊表啟用 Credential Guard

對於高級用戶或在組策略不可用的情況下，您可以使用註冊表編輯器啟用 Credential Guard：

步驟一：按打開註冊表編輯器Win + R, 打字regedit，然後按 Enter 鍵。

步驟2：導航到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlDeviceGuard。

步驟3：右鍵單擊右側窗格，選擇新建 > DWORD（32 位）值，並將其命名為“EnableVirtualizationBasedSecurity”。

第4步：將值設置為 1 以啟用基於虛擬化的安全性。

第5步：創建另一個名為“RequirePlatformSecurityFeatures”的 DWORD 值，並將其設置為 1（僅適用於安全啟動），或設置為 3（適用於安全啟動和 DMA 保護）。

第6步：導航到 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa。

第7步：創建一個名為“LsaCfgFlags”的新 DWORD 值。將其設置為 1 以啟用帶 UEFI 鎖定的 Credential Guard，或設置為 2 以啟用不帶 UEFI 鎖定的功能。

步驟8：關閉註冊表編輯器並重新啟動計算機。

通過執行以下步驟，您已在 Windows 11 系統上成功配置 Credential Guard。請記住，雖然 Credential Guard 顯著提高了安全性，但它只是全面安全策略的一部分。讓您的系統和軟件保持最新狀態，並始終遵循密碼管理和網絡安全的最佳實踐。