Включение или отключение Credential Guard в Windows 10:  ^{(Enable or Disable Credential Guard in Windows 10: )}Windows Credential Guard использует безопасность на основе виртуализации для изоляции секретов, чтобы только привилегированное системное программное обеспечение могло получить к ним доступ. Несанкционированный доступ к этим секретам может привести к атакам с целью кражи учетных данных, таким как Pass-the-Hash или Pass-The-Ticket . Windows Credential Guard предотвращает эти атаки, защищая хэши паролей NTLM , билеты Kerberos Ticket Granting Tickets^{(Kerberos Ticket Granting Tickets)} и учетные данные, хранящиеся приложениями в качестве учетных данных домена.

При включении Windows Credential Guard предоставляются следующие функции и решения:^{(By enabling Windows Credential Guard the following features and solutions are provided:)}

Аппаратная безопасность Безопасность ^{(Hardware security)}
на основе виртуализации ^{(Virtualization-based security)}
Улучшенная защита от сложных постоянных угроз^{(Better protection against advanced persistent threats)}

Теперь вы знаете важность Credential Guard , вам обязательно нужно включить его для своей системы. Итак, не теряя времени, давайте посмотрим, как включить или отключить Credential Guard^{(Disable Credential Guard)} в Windows 10 с помощью приведенного ниже руководства.

Включить или отключить Credential Guard в Windows 10

Обязательно  создайте точку восстановления^{(create a restore point)}  на случай, если что-то пойдет не так.

Способ 1: включить или отключить Credential Guard в Windows 10 с помощью редактора групповой политики^{(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)}

Примечание.^(Note:) Этот метод работает, только если у вас Windows Pro , Education или Enterprise Edition^{(Enterprise Edtion)} . Для пользователей версии Windows Home пропустите этот метод и выполните следующий.

1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter, чтобы открыть редактор групповой политики.^{( Group Policy Editor.)}

2. Перейдите по следующему пути:

Computer Configuration > Administrative Templates > System > Device Guard

3. Обязательно выберите Device Guard , а затем в правой части окна дважды щелкните политику «Включить безопасность на основе виртуализации» .^{(“Turn On Virtualization Based Security”)}

4. В окне « Свойства^(Properties) » вышеуказанной политики обязательно выберите « Включено».^(Enabled.)

5. Теперь в раскрывающемся списке « Выбор уровня безопасности платформы^{(Select Platform Security Level)} » выберите « Безопасная загрузка» или «Безопасная загрузка и^{( Secure Boot or Secure Boot and DMA)} защита DMA».

6. Далее в раскрывающемся списке « Конфигурация Credential Guard^{(Credential Guard Configuration)} » выберите « Включено с блокировкой UEFI^{(Enabled with UEFI lock)} » . Если вы хотите отключить Credential Guard удаленно, выберите «Включено без блокировки» вместо «Включено с блокировкой UEFI ».

7.После завершения нажмите « Применить^(Apply) », а затем «ОК».

8. Перезагрузите компьютер, чтобы сохранить изменения.

Способ 2: включить или отключить Credential Guard в Windows 10 с помощью редактора реестра^{(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)}

Credential Guard использует функции безопасности на основе виртуализации, которые необходимо сначала включить в функции Windows , прежде чем вы сможете включить или отключить Credential Guard в редакторе реестра^{(Registry Editor)} . Обязательно^(Make) используйте только один из перечисленных ниже методов для включения функций безопасности на основе виртуализации.

Добавьте функции безопасности на основе виртуализации с помощью программ и компонентов.^{(Add the virtualization-based security features by using Programs and Features)}

1. Нажмите клавишу Windows + R, затем введите appwiz.cpl и нажмите Enter, чтобы открыть « Программы и компоненты».^{(Program and Features.)}

2. В левом окне нажмите « Включение или отключение компонентов Windows^{(Turn Windows Features on or off)} ».

3. Найдите и разверните Hyper-V, затем аналогичным образом разверните Hyper-V Platform .

4. В разделе « Платформа Hyper ^(checkmark)-V» отметьте «Гипервизор Hyper-V^{(Hyper-V Hypervisor)} ».

5. Теперь прокрутите вниз и установите флажок «Изолированный режим пользователя»^{(checkmark “Isolated User Mode”)} и нажмите «ОК».

Добавьте функции безопасности на основе виртуализации в автономный образ с помощью DISM.^{(Add the virtualization-based security features to an offline image by using DISM)}

1. Нажмите Windows Key + X , затем выберите «Командная строка (администратор)».^{(Command Prompt (Admin).)}

2. Введите следующую команду в cmd, чтобы добавить гипервизор Hyper-V,^{(Hyper-V Hypervisor)} и нажмите Enter :

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

3. Добавьте функцию режима изолированного пользователя^{(Isolated User Mode)} , выполнив следующую команду:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

4.После завершения вы можете закрыть командную строку.

Включить или отключить Credential Guard в Windows 10^{(Enable or Disable Credential Guard in Windows 10)}

1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter, чтобы открыть редактор реестра.^{(Registry Editor.)}

2. Перейдите к следующему разделу реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. Щелкните правой кнопкой мыши DeviceGuard и^{(DeviceGuard)} выберите « New > DWORD (32-bit) Value.

4. Назовите этот вновь созданный DWORD как EnableVirtualizationBasedSecurity и нажмите Enter.

5. Дважды щелкните EnableVirtualizationBasedSecurity DWORD , затем измените его значение на:

Чтобы включить безопасность на основе виртуализации: 1 ^{(To Enable Virtualization-based Security: 1)}
Чтобы отключить безопасность на основе виртуализации: 0^{(To Disable Virtualization-based Security: 0)}

6. Теперь снова щелкните правой кнопкой мыши DeviceGuard, затем выберите « New > DWORD (32-bit) Value » и назовите этот DWORD как RequirePlatformSecurityFeatures , затем нажмите Enter.

7. Дважды щелкните RequirePlatformSecurityFeatures DWORD и измените его значение на 1, чтобы использовать только безопасную загрузку, или  ^{(change it’s value to 1 to use Secure Boot only or )}установите его на 3, чтобы использовать безопасную загрузку и защиту DMA.^{(set it to 3 to use Secure Boot and DMA protection.)}

8. Теперь перейдите к следующему разделу реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. Щелкните правой кнопкой мыши LSA, затем выберите « New > DWORD (32-bit) Value », затем назовите этот DWORD как LsaCfgFlags и нажмите Enter.

10. Дважды щелкните LsaCfgFlags DWORD и измените его значение в соответствии с:

Отключить Credential Guard: 0 ^{(Disable Credential Guard: 0)}
Включить Credential Guard с блокировкой UEFI: 1 ^{(Enable Credential Guard with UEFI lock: 1)}
Включить Credential Guard без блокировки: 2^{(Enable Credential Guard without lock: 2)}

11.По завершении закройте редактор реестра^{(Registry Editor)} .

Отключить Credential Guard в Windows 10^{(Disable Credential Guard in Windows 10)}

Если Credential Guard был включен без блокировки UEFI^{(UEFI Lock)} , вы можете  отключить Windows Credential Guard^{( Disable Windows Credential Guard)} с помощью средства проверки готовности оборудования Device Guard и Credential Guard^{(Device Guard and Credential Guard hardware readiness tool)} или следующим способом:

1. Нажмите клавишу Windows + R, затем введите regedit и нажмите Enter, чтобы открыть редактор реестра.^{( Registry Editor.)}

2. Найдите и удалите следующие разделы реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

3. Удалите переменные EFI Windows Credential Guard с помощью bcdedit^{(Delete the Windows Credential Guard EFI variables by using bcdedit)} . Нажмите клавишу Windows Key + X затем выберите «Командная строка (администратор)».^{(Command Prompt (Admin).)}

4. Введите следующую команду в cmd и нажмите Enter :

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.После завершения закройте командную строку и перезагрузите компьютер.

6. Примите приглашение отключить Windows Credential Guard .

Рекомендуемые:^{(Recommended:)}

• Разрешить или запретить темам Windows 10 изменять значки рабочего стола^{(Allow or Prevent Windows 10 Themes to Change Desktop Icons)}
• Включить подробные или подробные сообщения о состоянии в Windows 10^{(Enable Verbose or Highly Detailed Status Messages in Windows 10)}
• Включить или отключить режим разработчика в Windows 10^{(Enable or Disable Developer Mode in Windows 10)}
• Отключить снижение качества JPEG обоев рабочего стола в Windows 10^{(Disable Desktop Wallpaper JPEG Quality Reduction in Windows 10)}

Вот и все, вы успешно узнали , как включить или отключить Credential Guard в Windows 10^{(How to Enable or Disable Credential Guard in Windows 10)} , но если у вас все еще есть какие-либо вопросы относительно этого руководства, не стесняйтесь задавать их в разделе комментариев.

Enable or Disable Credential Guard in Windows 10

Enable or Disable Credential Guard in Windows 10: Windows Credential Guard uses virtualization-based security to isolate secrets so that only privileged system software can access them. Unauthorized access to these secrets can lead to credential theft attacks, such as Pass-the-Hash or Pass-The-Ticket. Windows Credential Guard prevents these attacks by protecting NTLM password hashes, Kerberos Ticket Granting Tickets, and credentials stored by applications as domain credentials.

By enabling Windows Credential Guard the following features and solutions are provided:

Hardware security
Virtualization-based security
Better protection against advanced persistent threats

Now you know the importance of the Credential Guard, you should definitely enable this for your system. So without wasting any time let’s see How to Enable or Disable Credential Guard in Windows 10 with the help of the below-listed tutorial.

Enable or Disable Credential Guard in Windows 10

Make sure to create a restore point just in case something goes wrong.

Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor

Note: This method only works if you have Windows Pro, Education, or Enterprise Edtion. For Windows Home version users skip this method and follow the next one.

1.Press Windows Key + R then type regedit and hit Enter to open Group Policy Editor.

2.Navigate to the following path:

Computer Configuration > Administrative Templates > System > Device Guard

3.Make sure to select Device Guard than in right window pane double-click on “Turn On Virtualization Based Security” policy.

4.In the Properties window of the above policy make sure to select Enabled.

5.Now from the “Select Platform Security Level” drop-down select Secure Boot or Secure Boot and DMA Protection.

6.Next, from “Credential Guard Configuration” drop-down select Enabled with UEFI lock. If you want to turn off Credential Guard remotely, choose Enabled without lock instead of Enabled with UEFI lock.

7.Once finished, click Apply followed by OK.

8.Reboot your PC to save changes.

Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor

Credential Guard uses virtualization-based security features which have to be enabled first from Windows feature before you can enable or disable Credential Guard in Registry Editor. Make sure to only use one of the below-listed methods to enable virtualization-based security features.

Add the virtualization-based security features by using Programs and Features

1.Press Windows Key + R then type appwiz.cpl and hit Enter to open Program and Features.

2.From the left-hand window click on “Turn Windows Features on or off“.

3.Find and expand Hyper-V then similarly expand Hyper-V Platform.

4.Under Hyper-V Platform checkmark “Hyper-V Hypervisor“.

5.Now scroll down and checkmark “Isolated User Mode” and click OK.

Add the virtualization-based security features to an offline image by using DISM

1.Press Windows Key + X then select Command Prompt (Admin).

2.Type the following command into cmd to add the Hyper-V Hypervisor and hit Enter:

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

3.Add the Isolated User Mode feature by running the following command:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

4.Once finished, you can close the command prompt.

Enable or Disable Credential Guard in Windows 10

1.Press Windows Key + R then type regedit and hit Enter to open Registry Editor.

2.Navigate to the following registry key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3.Right-click on DeviceGuard then select New > DWORD (32-bit) Value.

4.Name this newly created DWORD as EnableVirtualizationBasedSecurity and hit Enter.

5.Double-click on EnableVirtualizationBasedSecurity DWORD then change its value to:

To Enable Virtualization-based Security: 1
To Disable Virtualization-based Security: 0

6.Now again right-click on DeviceGuard then select New > DWORD (32-bit) Value and name this DWORD as RequirePlatformSecurityFeatures then hit Enter.

7.Double-click on RequirePlatformSecurityFeatures DWORD and change it’s value to 1 to use Secure Boot only or set it to 3 to use Secure Boot and DMA protection.

8.Now navigate to the following registry key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9.Right-click on LSA then select New > DWORD (32-bit) Value then name this DWORD as LsaCfgFlags and hit Enter.

10.Double-click on LsaCfgFlags DWORD and change its value according to:

Disable Credential Guard: 0
Enable Credential Guard with UEFI lock: 1
Enable Credential Guard without lock: 2

11.Once finished, close Registry Editor.

Disable Credential Guard in Windows 10

If Credential Guard was enabled without UEFI Lock then you can Disable Windows Credential Guard using the Device Guard and Credential Guard hardware readiness tool or the following method:

1.Press Windows Key + R then type regedit and hit Enter to open Registry Editor.

2.Navigate and delete the following registry keys:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

3.Delete the Windows Credential Guard EFI variables by using bcdedit. Press Windows Key + X then select Command Prompt (Admin).

4.Type the following command into cmd and hit Enter:

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5.Once finished, close command prompt and reboot your PC.

6.Accept the prompt to disable Windows Credential Guard.

Recommended:

• Allow or Prevent Windows 10 Themes to Change Desktop Icons
• Enable Verbose or Highly Detailed Status Messages in Windows 10
• Enable or Disable Developer Mode in Windows 10
• Disable Desktop Wallpaper JPEG Quality Reduction in Windows 10

That’s it you have successfully learned How to Enable or Disable Credential Guard in Windows 10 but if you still have any queries regarding this tutorial then feel free to ask them in the comment’s section.

Related posts

• Отключить Zoom Feature в Windows 10

• Создание Full System Image Backup в Windows 10 [Ultimate Guide]

• Как создать System Image Backup в Windows 10

• Как удалить Volume or Drive Partition в Windows 10

• Как отключить Sticky Corners в Windows 10

• Как запустить JAR Files на Windows 10

• Как поделиться Setup Network Files на Windows 10

• Включить или отключить встроенный Administrator Account в Windows 10

• Fix Task Host Window Prevents Shut Down в Windows 10

• Fix Microsoft Compatibility Telemetry High Disk Usage в Windows 10

• Fix Black Desktop Background в Windows 10

• Как включить Wallpaper Slideshow в Windows 10

• Добавить Printer в Windows 10 [Руководство]

• Fix Unable до Delete Temporary Files в Windows 10

• Включить или отключить Cortana на Windows 10 Lock Screen

• Allow or Prevent Devices, чтобы разбудить Computer в Windows 10

• 3 Ways до Add Album Art до MP3 в Windows 10

• Fix Alt+Tab не работает в Windows 10

• Отключить User Account Control (UAC) в Windows 10

• Как Fix Scaling для Blurry Apps в Windows 10