在 Windows 10 中啟用或禁用 Credential Guard

已發表: 2018-08-24
在 Windows 10 中啟用或禁用 Credential Guard

在 Windows 10 中啟用或禁用 Credential Guard: Windows Credential Guard 使用基於虛擬化的安全性來隔離機密,以便只有特權系統軟件才能訪問它們。 未經授權訪問這些機密可能會導致憑證盜竊攻擊,例如 Pass-the-Hash 或 Pass-The-Ticket。 Windows Credential Guard 通過保護 NTLM 密碼哈希、Kerberos 票證授予票證以及應用程序存儲為域憑據的憑據來防止這些攻擊。

在 Windows 10 中啟用或禁用 Credential Guard

通過啟用 Windows Credential Guard,可提供以下功能和解決方案:

硬件安全
基於虛擬化的安全性
更好地防禦高級持續性威脅

現在您知道 Credential Guard 的重要性,您絕對應該為您的系統啟用它。 因此,不要浪費任何時間,讓我們在下面列出的教程的幫助下查看如何在 Windows 10 中啟用或禁用 Credential Guard。

內容

  • 在 Windows 10 中啟用或禁用 Credential Guard
  • 方法 1:使用組策略編輯器在 Windows 10 中啟用或禁用 Credential Guard
  • 方法 2:使用註冊表編輯器在 Windows 10 中啟用或禁用 Credential Guard
  • 在 Windows 10 中啟用或禁用 Credential Guard
  • 在 Windows 10 中禁用 Credential Guard

在 Windows 10 中啟用或禁用 Credential Guard

確保創建一個還原點以防萬一出現問題。

方法 1:使用組策略編輯器在 Windows 10 中啟用或禁用 Credential Guard

注意:此方法僅適用於您擁有 Windows Pro、Education 或 Enterprise Edtion。 對於 Windows Home 版本,用戶跳過此方法並遵循下一個方法。

1.按 Windows 鍵 + R 然後鍵入regedit並按 Enter 打開組策略編輯器。

運行命令 regedit

2.導航到以下路徑:

計算機配置 > 管理模板 > 系統 > Device Guard

3.確保選擇Device Guard而不是在右側窗格中雙擊“打開基於虛擬化的安全”策略。

雙擊打開基於虛擬化的安全策略

4.在上述策略的屬性窗口中,確保選擇啟用。

將打開基於虛擬化的安全設置為已啟用

5.現在從“ Select Platform Security Level ”下拉菜單中選擇Secure Boot 或 Secure Boot and DMA Protection。

從選擇平台安全級別下拉列表中選擇安全啟動或安全啟動和 DMA 保護

6.接下來,從“ Credential Guard Configuration ”下拉列表中選擇Enabled with UEFI lock 。 如果要遠程關閉 Credential Guard,請選擇 Enabled without lock 而不是 Enabled with UEFI lock。

7.完成後,單擊應用,然後單擊確定。

8.重新啟動您的 PC 以保存更改。

方法 2:使用註冊表編輯器在 Windows 10 中啟用或禁用 Credential Guard

Credential Guard 使用基於虛擬化的安全功能,必須先從 Windows 功能啟用,然後才能在註冊表編輯器中啟用或禁用 Credential Guard。 確保僅使用下列方法之一來啟用基於虛擬化的安全功能。

使用程序和功能添加基於虛擬化的安全功能

1.按 Windows 鍵 + R 然後鍵入appwiz.cpl並按 Enter 打開程序和功能。

輸入 appwiz.cpl 並按 Enter 打開程序和功能

2.從左側窗口單擊“打開或關閉 Windows 功能”。

打開或關閉 Windows 功能

3.找到並展開Hyper-V ,然後同樣展開Hyper-V Platform。

4.在Hyper-V平台下勾選Hyper-V Hypervisor ”。

在 Hyper-V 平台下選中 Hyper-V 管理程序

5.現在向下滾動並選中“隔離用戶模式” ,然後單擊“確定”。

使用 DISM 將基於虛擬化的安全功能添加到脫機映像

1.按 Windows 鍵 + X 然後選擇命令提示符(管理員)。

具有管理員權限的命令提示符

2.在 cmd 中鍵入以下命令以添加 Hyper-V Hypervisor,然後按 Enter:

 dism /image:<WIM 文件名> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
或者
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

使用 DISM 將基於虛擬化的安全功能添加到脫機映像

3.通過運行以下命令添加隔離用戶模式功能:

 dism /image:<WIM 文件名> /Enable-Feature /FeatureName:IsolatedUserMode
或者
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

添加隔離用戶模式功能

4.完成後,您可以關閉命令提示符。

在 Windows 10 中啟用或禁用 Credential Guard

1.按 Windows 鍵 + R 然後鍵入regedit並按 Enter 打開註冊表編輯器。

運行命令 regedit

2.導航到以下註冊表​​項:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3.右鍵單擊DeviceGuard ,然後選擇新建 > DWORD(32 位)值。

右鍵單擊 DeviceGuard,然後選擇新建 DWORD(32 位)值

4.將此新創建的 DWORD 命名為EnableVirtualizationBasedSecurity並按 Enter。

將此新創建的 DWORD 命名為 EnableVirtualizationBasedSecurity 並按 Enter

5.雙擊 EnableVirtualizationBasedSecurity DWORD 然後將其值更改為:

啟用基於虛擬化的安全性: 1
禁用基於虛擬化的安全性:0

要啟用基於虛擬化的安全性,請將 DWORD 的值更改為 1

6. 現在再次右鍵單擊 DeviceGuard,然後選擇新建 > DWORD(32 位)值並將此 DWORD 命名為RequirePlatformSecurityFeatures ,然後按 Enter。

將此 DWORD 命名為 RequirePlatformSecurityFeatures 然後按 Enter

7. 雙擊 RequirePlatformSecurityFeatures DWORD 並將其值更改為 1 以僅使用安全啟動或將其設置為 3 以使用安全啟動和 DMA 保護。

將其值更改為 1 以僅使用安全啟動或將其設置為 3 以使用安全啟動和 DMA 保護。

8.現在導航到以下註冊表​​項:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9.右鍵單擊 LSA,然後選擇新建 > DWORD(32 位)值,然後將此 DWORD 命名為LsaCfgFlags並按 Enter。

右鍵單擊 LSA,然後選擇新建,然後選擇 DWORD(32 位)值

10.雙擊 LsaCfgFlags DWORD 並根據以下內容更改其值:

禁用憑據保護:0
使用 UEFI 鎖定啟用 Credential Guard:1
啟用不帶鎖的 Credential Guard:2

雙擊 LsaCfgFlags DWORD 並根據

11.完成後,關閉註冊表編輯器。

在 Windows 10 中禁用 Credential Guard

如果在沒有 UEFI 鎖定的情況下啟用 Credential Guard,則可以使用 Device Guard 和 Credential Guard 硬件準備工具或以下方法禁用 Windows Credential Guard

1.按 Windows 鍵 + R 然後鍵入regedit並按 Enter 打開註冊表編輯器。

運行命令 regedit

2.導航並刪除以下註冊表​​項:

 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

禁用 Windows Credential Guard

3.使用 bcdedit 刪除 Windows Credential Guard EFI 變量。 按 Windows 鍵 + X,然後選擇命令提示符(管理員)。

具有管理員權限的命令提示符

4.在cmd中輸入以下命令並回車:

 安裝卷 X:/s
複製 %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} 路徑“\EFI\Microsoft\Boot\SecConfig.efi”
bcdedit /set {bootmgr} 引導序列 {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} 加載選項禁用-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} 設備分區=X:
安裝卷 X:/d

5.完成後,關閉命令提示符並重新啟動您的 PC。

6.接受提示以禁用 Windows Credential Guard。

受到推崇的:

  • 允許或阻止 Windows 10 主題更改桌面圖標
  • 在 Windows 10 中啟用詳細或高度詳細的狀態消息
  • 在 Windows 10 中啟用或禁用開發人員模式
  • 在 Windows 10 中禁用桌面壁紙 JPEG 質量降低

就是這樣,您已經成功學習瞭如何在 Windows 10 中啟用或禁用 Credential Guard,但是如果您對本教程仍有任何疑問,請隨時在評論部分詢問他們。