在 Windows 10 中启用或禁用 Credential Guard

在 Windows 10 中启用或禁用 Credential Guard： Windows Credential Guard 使用基于虚拟化的安全性来隔离机密，以便只有特权系统软件才能访问它们。 未经授权访问这些机密可能会导致凭证盗窃攻击，例如 Pass-the-Hash 或 Pass-The-Ticket。 Windows Credential Guard 通过保护 NTLM 密码哈希、Kerberos 票证授予票证以及应用程序存储为域凭据的凭据来防止这些攻击。

通过启用 Windows Credential Guard，可提供以下功能和解决方案：

硬件安全
基于虚拟化的安全性
更好地防御高级持续性威胁

现在您知道 Credential Guard 的重要性，您绝对应该为您的系统启用它。 因此，不要浪费任何时间，让我们在下面列出的教程的帮助下查看如何在 Windows 10 中启用或禁用 Credential Guard。

在 Windows 10 中启用或禁用 Credential Guard

确保创建一个还原点以防万一出现问题。

方法 1：使用组策略编辑器在 Windows 10 中启用或禁用 Credential Guard

注意：此方法仅适用于您拥有 Windows Pro、Education 或 Enterprise Edtion。 对于 Windows Home 版本，用户跳过此方法并遵循下一个方法。

1.按 Windows 键 + R 然后键入regedit并按 Enter 打开组策略编辑器。

2.导航到以下路径：

计算机配置 > 管理模板 > 系统 > Device Guard

3.确保选择Device Guard而不是在右侧窗格中双击“打开基于虚拟化的安全”策略。

4.在上述策略的属性窗口中，确保选择启用。

5.现在从“ Select Platform Security Level ”下拉菜单中选择Secure Boot 或 Secure Boot and DMA Protection。

6.接下来，从“ Credential Guard Configuration ”下拉列表中选择Enabled with UEFI lock 。 如果要远程关闭 Credential Guard，请选择 Enabled without lock 而不是 Enabled with UEFI lock。

7.完成后，单击应用，然后单击确定。

8.重新启动您的 PC 以保存更改。

方法 2：使用注册表编辑器在 Windows 10 中启用或禁用 Credential Guard

Credential Guard 使用基于虚拟化的安全功能，必须先从 Windows 功能启用，然后才能在注册表编辑器中启用或禁用 Credential Guard。 确保仅使用下列方法之一来启用基于虚拟化的安全功能。

使用程序和功能添加基于虚拟化的安全功能

1.按 Windows 键 + R 然后键入appwiz.cpl并按 Enter 打开程序和功能。

2.从左侧窗口单击“打开或关闭 Windows 功能”。

3.找到并展开Hyper-V ，然后同样展开Hyper-V Platform。

4.在Hyper-V平台下勾选“ Hyper-V Hypervisor ”。

5.现在向下滚动并选中“隔离用户模式” ，然后单击“确定”。

使用 DISM 将基于虚拟化的安全功能添加到脱机映像

1.按 Windows 键 + X 然后选择命令提示符（管理员）。

2.在 cmd 中键入以下命令以添加 Hyper-V Hypervisor，然后按 Enter：

 dism /image:<WIM 文件名> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
或者
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

3.通过运行以下命令添加隔离用户模式功能：

 dism /image:<WIM 文件名> /Enable-Feature /FeatureName:IsolatedUserMode
或者
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

4.完成后，您可以关闭命令提示符。

在 Windows 10 中启用或禁用 Credential Guard

1.按 Windows 键 + R 然后键入regedit并按 Enter 打开注册表编辑器。

2.导航到以下注册表项：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3.右键单击DeviceGuard ，然后选择新建 > DWORD（32 位）值。

4.将此新创建的 DWORD 命名为EnableVirtualizationBasedSecurity并按 Enter。

5.双击 EnableVirtualizationBasedSecurity DWORD 然后将其值更改为：

启用基于虚拟化的安全性： 1
禁用基于虚拟化的安全性：0

6. 现在再次右键单击 DeviceGuard，然后选择新建 > DWORD（32 位）值并将此 DWORD 命名为RequirePlatformSecurityFeatures ，然后按 Enter。

7. 双击 RequirePlatformSecurityFeatures DWORD 并将其值更改为 1 以仅使用安全启动或将其设置为 3 以使用安全启动和 DMA 保护。

8.现在导航到以下注册表项：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9.右键单击 LSA，然后选择新建 > DWORD（32 位）值，然后将此 DWORD 命名为LsaCfgFlags并按 Enter。

10.双击 LsaCfgFlags DWORD 并根据以下内容更改其值：

禁用凭据保护：0
使用 UEFI 锁定启用 Credential Guard：1
启用不带锁的 Credential Guard：2

11.完成后，关闭注册表编辑器。

在 Windows 10 中禁用 Credential Guard

如果在没有 UEFI 锁定的情况下启用 Credential Guard，则可以使用 Device Guard 和 Credential Guard 硬件准备工具或以下方法禁用 Windows Credential Guard ：

1.按 Windows 键 + R 然后键入regedit并按 Enter 打开注册表编辑器。

2.导航并删除以下注册表项：

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures 

3.使用 bcdedit 删除 Windows Credential Guard EFI 变量。 按 Windows 键 + X，然后选择命令提示符（管理员）。

4.在cmd中输入以下命令并回车：

 安装卷 X：/s
复制 %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} 路径“\EFI\Microsoft\Boot\SecConfig.efi”
bcdedit /set {bootmgr} 引导序列 {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} 加载选项禁用-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} 设备分区=X：
安装卷 X：/d

5.完成后，关闭命令提示符并重新启动您的 PC。

6.接受提示以禁用 Windows Credential Guard。

受到推崇的：

• 允许或阻止 Windows 10 主题更改桌面图标
• 在 Windows 10 中启用详细或高度详细的状态消息
• 在 Windows 10 中启用或禁用开发人员模式
• 在 Windows 10 中禁用桌面壁纸 JPEG 质量降低

就是这样，您已经成功学习了如何在 Windows 10 中启用或禁用 Credential Guard，但是如果您对本教程仍有任何疑问，请随时在评论部分询问他们。