在 Windows 10 中启用或禁用 Credential Guard

在 Windows 10 中启用或禁用 Credential Guard:  (Enable or Disable Credential Guard in Windows 10: )Windows Credential Guard使用基于虚拟化的安全性来隔离机密,以便只有特权系统软件才能访问它们。未经授权访问这些机密可能会导致凭证盗窃攻击,例如Pass-the-HashPass-The-TicketWindows Credential Guard通过保护NTLM密码哈希、Kerberos Ticket Granting Tickets以及应用程序存储为域凭据的凭据来防止这些攻击。

在 Windows 10 中启用或禁用 Credential Guard

通过启用 Windows Credential Guard,可提供以下功能和解决方案:(By enabling Windows Credential Guard the following features and solutions are provided:)

硬件安全(Hardware security)
基于虚拟化的安全(Virtualization-based security)
更好地防御高级持续性威胁(Better protection against advanced persistent threats)

现在您知道Credential Guard(Credential Guard)的重要性,您绝对应该为您的系统启用它。因此,不要浪费任何时间,让我们在下面列出的教程的帮助下查看如何在Windows 10中启用或(Windows 10)禁用 Credential Guard 。(Disable Credential Guard)

Windows 10中启用或禁用 Credential Guard

确保 创建一个还原点(create a restore point) 以防万一出现问题。

方法 1:使用组策略编辑器在 Windows 10 中启用或禁用 Credential Guard(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)

注意:(Note:)此方法仅适用于您拥有 Windows ProEducationEnterprise Edtion的情况。对于Windows Home版本,用户跳过此方法并遵循下一个方法。

1.按 Windows 键 + R 然后键入regedit并按 Enter 打开组策略编辑器。( Group Policy Editor.)

运行命令 regedit

2.导航到以下路径:

Computer Configuration > Administrative Templates > System > Device Guard

3.确保选择Device Guard而不是在右侧窗格中双击“打开基于虚拟化的安全”(“Turn On Virtualization Based Security”)策略。

双击打开基于虚拟化的安全策略

4.在上述策略的属性(Properties)窗口中,确保选择启用。(Enabled.)

将打开基于虚拟化的安全设置为已启用

5.现在从“ Select Platform Security Level ”下拉菜单中选择Secure Boot 或 Secure Boot and DMA( Secure Boot or Secure Boot and DMA) Protection。

从选择平台安全级别下拉列表中选择安全启动或安全启动和 DMA 保护

6.接下来,从“ Credential Guard Configuration ”下拉列表中选择Enabled with UEFI lock。如果要远程关闭Credential Guard,请选择 Enabled without lock 而不是 Enabled with UEFI lock。

7.完成后,单击应用(Apply),然后单击确定。

8.重新启动您的 PC 以保存更改。

方法 2:使用注册表编辑器在 Windows 10 中启用或禁用 Credential Guard(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)

Credential Guard使用基于虚拟化的安全功能,必须先从Windows功能启用,然后才能在注册表编辑器(Registry Editor)中启用或禁用 Credential Guard确保(Make)仅使用下列方法之一来启用基于虚拟化的安全功能。

使用程序和功能添加基于虚拟化的安全功能(Add the virtualization-based security features by using Programs and Features)

1.按 Windows 键 + R 然后键入appwiz.cpl并按 Enter 打开程序和功能。(Program and Features.)

输入 appwiz.cpl 并按 Enter 打开程序和功能

2.从左侧窗口单击“打开或关闭 Windows 功能(Turn Windows Features on or off)”。

打开或关闭 Windows 功能

3.找到并展开Hyper-V然后同样展开Hyper-V Platform

4.在Hyper-V平台下勾选(checkmark)Hyper-V Hypervisor ”。

在 Hyper-V 平台下选中 Hyper-V 管理程序

5.现在向下滚动并选中“隔离用户模式”(checkmark “Isolated User Mode”),然后单击“确定”。

使用 DISM 将基于虚拟化的安全功能添加到脱机映像(Add the virtualization-based security features to an offline image by using DISM)

1.按Windows Key + X然后选择命令提示符(管理员)。(Command Prompt (Admin).)

具有管理员权限的命令提示符

2.在 cmd 中键入以下命令以添加Hyper-V Hypervisor并按Enter

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

使用 DISM 将基于虚拟化的安全功能添加到脱机映像

3.通过运行以下命令添加隔离用户模式功能:(Isolated User Mode)

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

添加隔离用户模式功能

4.完成后,您可以关闭命令提示符。

在 Windows 10 中启用或禁用 Credential Guard(Enable or Disable Credential Guard in Windows 10)

1.按 Windows 键 + R 然后键入regedit并按 Enter 打开注册表编辑器。(Registry Editor.)

运行命令 regedit

2.导航到以下注册表项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3.右键单击DeviceGuard ,然后选择New > DWORD (32-bit) Value.

右键单击 DeviceGuard,然后选择新建 DWORD(32 位)值

4.将此新创建的 DWORD 命名为EnableVirtualizationBasedSecurity并按 Enter。

将此新创建的 DWORD 命名为 EnableVirtualizationBasedSecurity 并按 Enter

5.双击EnableVirtualizationBasedSecurity DWORD然后将其值更改为:

启用基于虚拟化的安全性:1(To Enable Virtualization-based Security: 1)
禁用基于虚拟化的安全性:0(To Disable Virtualization-based Security: 0)

要启用基于虚拟化的安全性,请将 DWORD 的值更改为 1

6. 现在再次右键单击DeviceGuard ,然后选择 New > DWORD (32-bit) Value并将此 DWORD 命名为RequirePlatformSecurityFeatures ,然后按 Enter。

将此 DWORD 命名为 RequirePlatformSecurityFeatures 然后按 Enter

7. 双击RequirePlatformSecurityFeatures DWORD并将其值更改为 1 以仅使用安全启动或 (change it’s value to 1 to use Secure Boot only or )将其设置为 3 以使用安全启动和 DMA 保护。(set it to 3 to use Secure Boot and DMA protection.)

将其值更改为 1 以仅使用安全启动或将其设置为 3 以使用安全启动和 DMA 保护。

8.现在导航到以下注册表项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9.右键单击 LSA,然后选择 New > DWORD (32-bit) Value,然后将此 DWORD 命名为LsaCfgFlags并按 Enter。

右键单击 LSA,然后选择新建,然后选择 DWORD(32 位)值

10.双击LsaCfgFlags DWORD并根据以下内容更改其值:

禁用 Credential Guard:0(Disable Credential Guard: 0)
启用带 UEFI 锁的 Credential Guard:1(Enable Credential Guard with UEFI lock: 1)
启用不带锁的 Credential Guard:2(Enable Credential Guard without lock: 2)

双击 LsaCfgFlags DWORD 并根据

11.完成后,关闭注册表编辑器(Registry Editor)

在 Windows 10 中禁用 Credential Guard(Disable Credential Guard in Windows 10)

如果在没有UEFI 锁定(UEFI Lock)的情况下启用Credential Guard ,则可以使用Device Guard 和 Credential Guard 硬件准备工具(Device Guard and Credential Guard hardware readiness tool)或以下方法 禁用 Windows Credential Guard :( Disable Windows Credential Guard)

1.按 Windows 键 + R 然后键入regedit并按 Enter 打开注册表编辑器。( Registry Editor.)

运行命令 regedit

2.导航并删除以下注册表项:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

禁用 Windows Credential Guard

3.使用 bcdedit 删除 Windows Credential Guard EFI 变量(Delete the Windows Credential Guard EFI variables by using bcdedit)。按Windows Key + X,然后选择命令提示符(管理员)。(Command Prompt (Admin).)

具有管理员权限的命令提示符

4.在 cmd 中键入以下命令并按Enter

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.完成后,关闭命令提示符并重新启动您的 PC。

6.接受提示以禁用Windows Credential Guard

受到推崇的:(Recommended:)

就是这样,您已经成功学习了如何在 Windows 10 中启用或禁用 Credential Guard,(How to Enable or Disable Credential Guard in Windows 10)但是如果您对本教程仍有任何疑问,请随时在评论部分询问他们。



About the author

我是一名专业的音频工程师,拥有超过 10 年的经验。我参与过各种各样的项目,从小型家庭音响系统到大型商业制作。我的技能在于创造出色的配乐和声音处理工具,让音乐听起来很棒。我对 Windows 10 也非常有经验,可以帮助您充分利用您的计算机系统。



Related posts