Включить или отключить Credential Guard в Windows 10

Включение или отключение Credential Guard в Windows 10:  (Enable or Disable Credential Guard in Windows 10: )Windows Credential Guard использует безопасность на основе виртуализации для изоляции секретов, чтобы только привилегированное системное программное обеспечение могло получить к ним доступ. Несанкционированный доступ к этим секретам может привести к атакам с целью кражи учетных данных, таким как Pass-the-Hash или Pass-The-Ticket . Windows Credential Guard предотвращает эти атаки, защищая хэши паролей NTLM , билеты Kerberos Ticket Granting Tickets(Kerberos Ticket Granting Tickets) и учетные данные, хранящиеся приложениями в качестве учетных данных домена.

Включить или отключить Credential Guard в Windows 10

При включении Windows Credential Guard предоставляются следующие функции и решения:(By enabling Windows Credential Guard the following features and solutions are provided:)

Аппаратная безопасность Безопасность (Hardware security)
на основе виртуализации (Virtualization-based security)
Улучшенная защита от сложных постоянных угроз(Better protection against advanced persistent threats)

Теперь вы знаете важность Credential Guard , вам обязательно нужно включить его для своей системы. Итак, не теряя времени, давайте посмотрим, как включить или отключить Credential Guard(Disable Credential Guard) в Windows 10 с помощью приведенного ниже руководства.

Включить или отключить Credential Guard в Windows 10

Обязательно  создайте точку восстановления(create a restore point)  на случай, если что-то пойдет не так.

Способ 1: включить или отключить Credential Guard в Windows 10 с помощью редактора групповой политики(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)

Примечание.(Note:) Этот метод работает, только если у вас Windows Pro , Education или Enterprise Edition(Enterprise Edtion) . Для пользователей версии Windows Home пропустите этот метод и выполните следующий.

1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter, чтобы открыть редактор групповой политики.( Group Policy Editor.)

Выполнить команду regedit

2. Перейдите по следующему пути:

Computer Configuration > Administrative Templates > System > Device Guard

3. Обязательно выберите Device Guard , а затем в правой части окна дважды щелкните политику «Включить безопасность на основе виртуализации» .(“Turn On Virtualization Based Security”)

Дважды щелкните «Включить политику безопасности на основе виртуализации».

4. В окне « Свойства(Properties) » вышеуказанной политики обязательно выберите « Включено».(Enabled.)

Установите для параметра «Включить безопасность на основе виртуализации» значение «Включено».

5. Теперь в раскрывающемся списке « Выбор уровня безопасности платформы(Select Platform Security Level) » выберите « Безопасная загрузка» или «Безопасная загрузка и( Secure Boot or Secure Boot and DMA) защита DMA».

В раскрывающемся списке «Выберите уровень безопасности платформы» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA».

6. Далее в раскрывающемся списке « Конфигурация Credential Guard(Credential Guard Configuration) » выберите « Включено с блокировкой UEFI(Enabled with UEFI lock) » . Если вы хотите отключить Credential Guard удаленно, выберите «Включено без блокировки» вместо «Включено с блокировкой UEFI ».

7.После завершения нажмите « Применить(Apply) », а затем «ОК».

8. Перезагрузите компьютер, чтобы сохранить изменения.

Способ 2: включить или отключить Credential Guard в Windows 10 с помощью редактора реестра(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)

Credential Guard использует функции безопасности на основе виртуализации, которые необходимо сначала включить в функции Windows , прежде чем вы сможете включить или отключить Credential Guard в редакторе реестра(Registry Editor) . Обязательно(Make) используйте только один из перечисленных ниже методов для включения функций безопасности на основе виртуализации.

Добавьте функции безопасности на основе виртуализации с помощью программ и компонентов.(Add the virtualization-based security features by using Programs and Features)

1. Нажмите клавишу Windows + R, затем введите appwiz.cpl и нажмите Enter, чтобы открыть « Программы и компоненты».(Program and Features.)

введите appwiz.cpl и нажмите Enter, чтобы открыть программы и компоненты

2. В левом окне нажмите « Включение или отключение компонентов Windows(Turn Windows Features on or off) ».

включить или выключить функции Windows

3. Найдите и разверните Hyper-V, затем аналогичным образом разверните Hyper-V Platform .

4. В разделе « Платформа Hyper (checkmark)-V» отметьте «Гипервизор Hyper-V(Hyper-V Hypervisor) ».

В разделе «Платформа Hyper-V» отметьте гипервизор Hyper-V.

5. Теперь прокрутите вниз и установите флажок «Изолированный режим пользователя»(checkmark “Isolated User Mode”) и нажмите «ОК».

Добавьте функции безопасности на основе виртуализации в автономный образ с помощью DISM.(Add the virtualization-based security features to an offline image by using DISM)

1. Нажмите Windows Key + X , затем выберите «Командная строка (администратор)».(Command Prompt (Admin).)

командная строка с правами администратора

2. Введите следующую команду в cmd, чтобы добавить гипервизор Hyper-V,(Hyper-V Hypervisor) и нажмите Enter :

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

Добавьте функции безопасности на основе виртуализации в автономный образ с помощью DISM.

3. Добавьте функцию режима изолированного пользователя(Isolated User Mode) , выполнив следующую команду:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

Добавьте функцию режима изолированного пользователя.

4.После завершения вы можете закрыть командную строку.

Включить или отключить Credential Guard в Windows 10(Enable or Disable Credential Guard in Windows 10)

1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter, чтобы открыть редактор реестра.(Registry Editor.)

Выполнить команду regedit

2. Перейдите к следующему разделу реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. Щелкните правой кнопкой мыши DeviceGuard и(DeviceGuard) выберите « New > DWORD (32-bit) Value.

Щелкните правой кнопкой мыши DeviceGuard, затем выберите «Новое значение DWORD (32-разрядное)».

4. Назовите этот вновь созданный DWORD как EnableVirtualizationBasedSecurity и нажмите Enter.

Назовите этот вновь созданный DWORD как EnableVirtualizationBasedSecurity и нажмите Enter.

5. Дважды щелкните EnableVirtualizationBasedSecurity DWORD , затем измените его значение на:

Чтобы включить безопасность на основе виртуализации: 1 (To Enable Virtualization-based Security: 1)
Чтобы отключить безопасность на основе виртуализации: 0(To Disable Virtualization-based Security: 0)

Чтобы включить безопасность на основе виртуализации, измените значение DWORD на 1.

6. Теперь снова щелкните правой кнопкой мыши DeviceGuard, затем выберите « New > DWORD (32-bit) Value » и назовите этот DWORD как RequirePlatformSecurityFeatures , затем нажмите Enter.

Назовите этот DWORD как RequirePlatformSecurityFeatures, затем нажмите Enter.

7. Дважды щелкните RequirePlatformSecurityFeatures DWORD и измените его значение на 1, чтобы использовать только безопасную загрузку, или  (change it’s value to 1 to use Secure Boot only or )установите его на 3, чтобы использовать безопасную загрузку и защиту DMA.(set it to 3 to use Secure Boot and DMA protection.)

Измените его значение на 1, чтобы использовать только безопасную загрузку, или установите его на 3, чтобы использовать безопасную загрузку и защиту DMA.

8. Теперь перейдите к следующему разделу реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. Щелкните правой кнопкой мыши LSA, затем выберите « New > DWORD (32-bit) Value », затем назовите этот DWORD как LsaCfgFlags и нажмите Enter.

Щелкните правой кнопкой мыши LSA, затем выберите «Создать», затем «Значение DWORD (32-разрядное)».

10. Дважды щелкните LsaCfgFlags DWORD и измените его значение в соответствии с:

Отключить Credential Guard: 0 (Disable Credential Guard: 0)
Включить Credential Guard с блокировкой UEFI: 1 (Enable Credential Guard with UEFI lock: 1)
Включить Credential Guard без блокировки: 2(Enable Credential Guard without lock: 2)

Дважды щелкните LsaCfgFlags DWORD и измените его значение в соответствии с

11.По завершении закройте редактор реестра(Registry Editor) .

Отключить Credential Guard в Windows 10(Disable Credential Guard in Windows 10)

Если Credential Guard был включен без блокировки UEFI(UEFI Lock) , вы можете  отключить Windows Credential Guard( Disable Windows Credential Guard) с помощью средства проверки готовности оборудования Device Guard и Credential Guard(Device Guard and Credential Guard hardware readiness tool) или следующим способом:

1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter, чтобы открыть редактор реестра.( Registry Editor.)

Выполнить команду regedit

2. Найдите и удалите следующие разделы реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

Отключить защиту учетных данных Windows

3. Удалите переменные EFI Windows Credential Guard с помощью bcdedit(Delete the Windows Credential Guard EFI variables by using bcdedit) . Нажмите клавишу Windows Key + X затем выберите «Командная строка (администратор)».(Command Prompt (Admin).)

командная строка с правами администратора

4. Введите следующую команду в cmd и нажмите Enter :

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.После завершения закройте командную строку и перезагрузите компьютер.

6. Примите приглашение отключить Windows Credential Guard .

Рекомендуемые:(Recommended:)

Вот и все, вы успешно узнали , как включить или отключить Credential Guard в Windows 10(How to Enable or Disable Credential Guard in Windows 10) , но если у вас все еще есть какие-либо вопросы относительно этого руководства, не стесняйтесь задавать их в разделе комментариев.



About the author

Я профессиональный аудиотехник и клавишник с опытом работы более 10 лет. Я работал в корпоративном мире в качестве консультанта и менеджера по продуктам, а в последнее время — инженером-программистом. Мои навыки и опыт позволяют мне работать над различными типами проектов от малого бизнеса до крупных компаний. Я также являюсь экспертом по Windows 11 и работаю над новой операционной системой уже более двух лет.



Related posts