Avz Guard как включить
Обновлено: 21.11.2024
Защитник учетных данных Защитника Windows можно включить либо с помощью групповой политики, реестра, либо средства проверки целостности кода, защищенного гипервизором (HVCI), и средства проверки аппаратной готовности Защитника учетных данных Защитника Windows. Credential Guard в Защитнике Windows также может защищать секреты на виртуальной машине Hyper-V так же, как и на физической машине. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических машинах, применим и к виртуальным машинам.
Включить Credential Guard в Защитнике Windows с помощью групповой политики
Для включения Credential Guard в Защитнике Windows можно использовать групповую политику. Это добавит и активирует функции безопасности на основе виртуализации, если это необходимо.
В консоли управления групповыми политиками выберите Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard.
Дважды щелкните «Включить безопасность на основе виртуализации», а затем выберите параметр «Включено».
В поле "Выберите уровень безопасности платформы" выберите "Безопасная загрузка" или "Безопасная загрузка и защита DMA".
В окне «Конфигурация Credential Guard» выберите «Включено с блокировкой UEFI», а затем нажмите «ОК». Если вы хотите удаленно отключить Credential Guard в Защитнике Windows, выберите «Включено без блокировки».
В поле «Конфигурация безопасного запуска» выберите «Не настроено», «Включено» или «Отключено». Подробнее об этом читайте в этой статье.
Закройте консоль управления групповыми политиками.
Чтобы принудительно применить групповую политику, вы можете запустить gpupdate /force .
Включить Credential Guard в Защитнике Windows с помощью Intune
На домашней странице нажмите Microsoft Intune.
Нажмите Конфигурация устройства.
Нажмите Профили > Создать профиль > Защита конечных точек > Credential Guard в Защитнике Windows.
Это включит VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее. Если вам потребуется удаленно отключить Credential Guard, включите его без блокировки UEFI.
Вы также можете настроить Credential Guard, используя профиль защиты учетной записи в Endpoint Security. См. раздел Параметры политики защиты учетной записи для безопасности конечных точек в Intune.
Включить Credential Guard в Защитнике Windows с помощью реестра
Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые необходимо сначала включить в некоторых операционных системах.
Добавить функции безопасности на основе виртуализации
Начиная с Windows 10 версии 1607 и Windows Server 2016 включение функций Windows для использования безопасности на основе виртуализации не требуется, и этот шаг можно пропустить.
Если вы используете Windows 10 версии 1507 (окончательная первоначальная версия) или Windows 10 версии 1511, функции Windows должны быть включены, чтобы использовать безопасность на основе виртуализации. Это можно сделать с помощью панели управления или средства обслуживания образов развертывания и управления ими (DISM).
Если вы включаете Credential Guard в Защитнике Windows с помощью групповой политики, действия по включению функций Windows с помощью панели управления или DISM не требуются. Групповая политика установит для вас компоненты Windows.
Добавьте функции безопасности на основе виртуализации с помощью программ и компонентов
Откройте панель управления "Программы и компоненты".
Нажмите Включить или отключить функцию Windows.
Перейдите в Hyper-V -> Платформа Hyper-V и установите флажок Гипервизор Hyper-V.
Установите флажок «Режим изолированного пользователя» на верхнем уровне выбора функций.
Нажмите "ОК".
Добавьте функции безопасности на основе виртуализации в автономный образ с помощью DISM
Откройте командную строку с повышенными привилегиями.
Добавьте гипервизор Hyper-V, выполнив следующую команду:
Добавьте функцию режима изолированного пользователя, выполнив следующую команду:
В Windows 10 версии 1607 и более поздних функция режима изолированного пользователя была интегрирована в основную операционную систему. Поэтому выполнение команды на шаге 3 выше больше не требуется.
Вы также можете добавить эти функции в онлайн-образ с помощью DISM или Configuration Manager.
Включить безопасность на основе виртуализации и Credential Guard в Защитнике Windows
Откройте редактор реестра.
Включить безопасность на основе виртуализации:
Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
Добавьте новое значение DWORD с именем EnableVirtualizationBasedSecurity. Задайте для этого параметра реестра значение 1, чтобы включить безопасность на основе виртуализации, и значение 0, чтобы отключить ее.
Добавьте новое значение DWORD с именем RequirePlatformSecurityFeatures.Установите для этого параметра реестра значение 1, чтобы использовать только безопасную загрузку, или значение 3, чтобы использовать безопасную загрузку и защиту DMA.
Включить Credential Guard в Защитнике Windows:
Перейдите в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
Добавьте новое значение DWORD с именем LsaCfgFlags. Установите для этого параметра реестра значение 1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, установите для него значение 2, чтобы включить Credential Guard в Защитнике Windows без блокировки, и установите для него значение 0, чтобы отключить его.
Закройте редактор реестра.
Вы также можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической настройки FirstLogonCommands.
Включите Credential Guard в Защитнике Windows с помощью средства проверки готовности оборудования HVCI и Credential Guard в Защитнике Windows
Вы также можете включить Credential Guard в Защитнике Windows с помощью средства проверки аппаратной готовности HVCI и Credential Guard в Защитнике Windows.
При запуске средства проверки готовности оборудования HVCI и Credential Guard в Защитнике Windows в операционной системе, отличной от английской, в сценарии измените $OSArch = $(gwmi win32_operatingsystem).OSArchitecture на $OSArch = $((gwmi win32_operatingsystem). OSArchitecture).tolower(), чтобы инструмент работал.
Это известная проблема.
Проверьте производительность Credential Guard в Защитнике Windows
Запущен ли Credential Guard в Защитнике Windows?
Вы можете просмотреть информацию о системе, чтобы убедиться, что Credential Guard в Защитнике Windows работает на ПК.
Нажмите "Пуск", введите msinfo32.exe и нажмите "Сведения о системе".
Нажмите "Сводка системы".
Убедитесь, что Credential Guard отображается рядом с запущенными службами безопасности на основе виртуализации.
Вот пример:
Вы также можете проверить, работает ли Credential Guard в Защитнике Windows, с помощью средства проверки готовности оборудования HVCI и Credential Guard в Защитнике Windows.
При запуске средства проверки готовности оборудования HVCI и Credential Guard в Защитнике Windows в операционной системе, отличной от англоязычной, в сценарии измените *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture на $OSArch = $((gwmi win32_operatingsystem) .OSArchitecture).tolower(), чтобы инструмент работал.
Это известная проблема.
Для клиентских компьютеров под управлением Windows 10 1703 LsaIso.exe запускается всякий раз, когда для других функций включена безопасность на основе виртуализации.
Мы рекомендуем включить Credential Guard в Защитнике Windows перед присоединением устройства к домену. Если Credential Guard в Защитнике Windows включен после присоединения к домену, секреты пользователя и устройства уже могут быть скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или личность, которые уже были скомпрометированы, поэтому мы рекомендуем включить Credential Guard как можно раньше.
Вы должны регулярно проверять компьютеры, на которых включен Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Вот список идентификаторов событий WinInit, которые нужно искать:
Идентификатор события 13: Credential Guard в Защитнике Windows (LsaIso.exe) был запущен и будет защищать учетные данные LSA.
Идентификатор события 14. Конфигурация Credential Guard в Защитнике Windows (LsaIso.exe): [0x0 | 0x1 | 0x2], 0
Первая переменная: 0x1 или 0x2 означает, что Credential Guard в Защитнике Windows настроен для запуска. 0x0 означает, что он не настроен для запуска.
Вторая переменная: 0 означает, что она настроена на работу в защищенном режиме. 1 означает, что он настроен для работы в тестовом режиме. Эта переменная всегда должна быть равна 0.
Идентификатор события 15: Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но защищенное ядро не запущено; продолжение без Credential Guard в Защитнике Windows.
Идентификатор события 16: Credential Guard в Защитнике Windows (LsaIso.exe) не удалось запустить: [код ошибки]
Идентификатор события 17. Ошибка чтения конфигурации UEFI Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]
Вы также можете убедиться, что TPM используется для защиты ключа, проверив событие с идентификатором 51 в источнике событий Microsoft -> Windows -> Kernel-Boot. Если вы работаете с TPM, значение маски PCR TPM будет отличным от 0.
Идентификатор события 51: Предоставление главного ключа шифрования VSM. Состояние использования кэшированной копии: 0x0. Состояние распечатывания кэшированной копии: 0x1. Статус генерации нового ключа: 0x1. Состояние уплотнения: 0x1. Маска TPM PCR: 0x0.
Вы можете использовать Windows PowerShell, чтобы определить, работает ли Credential Guard на клиентском компьютере. На рассматриваемом компьютере откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:
Эта команда генерирует следующий вывод:
0: Credential Guard в Защитнике Windows отключен (не запущен)
1: Credential Guard в Защитнике Windows включен (работает)
Проверка списка задач или диспетчера задач, чтобы узнать, запущен ли LSAISO.exe, не является рекомендуемым методом для определения того, запущен ли Credential Guard в Защитнике Windows.
Отключить Credential Guard в Защитнике Windows
Чтобы отключить Credential Guard в Защитнике Windows, можно использовать следующий набор процедур или средство проверки готовности оборудования Device Guard и Credential Guard. Если Credential Guard был включен с блокировкой UEFI, вы должны использовать следующую процедуру, так как настройки сохраняются в переменных EFI (микропрограммы) и потребуется физическое присутствие на компьютере, чтобы нажать функциональную клавишу, чтобы принять изменение. Если Credential Guard был включен без блокировки UEFI, вы можете отключить его с помощью групповой политики.
Если вы использовали групповую политику, отключите параметр групповой политики, который вы использовали для включения Credential Guard в Защитнике Windows (Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard -> Включить безопасность на основе виртуализации).
Удалите следующие параметры реестра:
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:
Если вы вручную удаляете эти параметры реестра, обязательно удалите их все. Если вы не удалите их все, устройство может перейти в режим восстановления BitLocker.
Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:
Примите запрос на отключение Credential Guard в Защитнике Windows.
Кроме того, вы можете отключить функции безопасности на основе виртуализации, чтобы отключить Credential Guard в Защитнике Windows.
ПК должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, зашифрованных с помощью EFS. Если вы хотите отключить Credential Guard в Защитнике Windows и безопасность на основе виртуализации, выполните следующие команды bcdedit после отключения всех параметров групповой политики безопасности на основе виртуализации и параметров реестра:
Дополнительную информацию о безопасности на основе виртуализации и HVCI см. в разделе Включение защиты целостности кода на основе виртуализации.
Credential Guard и Device Guard не поддерживаются при использовании виртуальных машин Azure 1-го поколения. Эти параметры доступны только для виртуальных машин 2-го поколения.
Отключите Credential Guard в Защитнике Windows с помощью средства проверки готовности оборудования HVCI и Credential Guard в Защитнике Windows
Вы также можете отключить Credential Guard в Защитнике Windows с помощью средства проверки аппаратной готовности HVCI и Credential Guard в Защитнике Windows.
При запуске средства проверки готовности оборудования HVCI и Credential Guard в Защитнике Windows в операционной системе, отличной от англоязычной, в сценарии измените *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture на $OSArch = $((gwmi win32_operatingsystem) .OSArchitecture).tolower(), чтобы инструмент работал.
Это известная проблема.
Отключить Credential Guard в Защитнике Windows для виртуальной машины
С хоста можно отключить Credential Guard в Защитнике Windows для виртуальной машины:
Читайте также: