如果您希望在Windows系统中启用Credential Guard以防止NTLM哈希被窃取攻击,则需确保硬件与系统配置满足基于虚拟化的安全性(VBS)前提,并通过指定方式显式启用该功能。以下是多种可行的启用方法:
一、通过组策略启用Credential Guard
组策略是域环境中集中管理Credential Guard的标准方式,适用于已加入Active Directory域的设备。该方法将强制应用配置,并在重启后生效。
1、以管理员身份运行“gpedit.msc”,打开本地组策略编辑器。
2、导航至:计算机配置 → 管理模板 → 系统 → Device Guard。
3、双击“启用虚拟化基于安全性的凭据保护”策略项。
4、选择“已启用”,并在下方下拉菜单中选择“启用带有UEFI锁定”或“启用而不带UEFI锁定”。
5、点击“确定”,关闭策略编辑器。
6、以管理员身份运行命令提示符,执行:gpupdate /force刷新组策略。
二、通过注册表手动启用Credential Guard
注册表方式适用于未部署域控或需快速验证配置的场景。修改前请务必备份注册表,且必须确保VBS已就绪(如Secure Boot开启、TPM 2.0可用、HVCI兼容驱动存在)。
1、以管理员身份运行regedit.exe。
2、定位至路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA。
3、新建一个DWORD(32位)值,命名为LsaCfgFlags。
4、双击该值,将其数值数据设为1(启用Credential Guard且不启用UEFI锁定)或2(启用Credential Guard并启用UEFI锁定)。
5、关闭注册表编辑器,重启计算机使设置生效。
三、使用PowerShell命令启用Credential Guard
PowerShell提供自动化脚本支持,适合批量部署或集成到配置管理流程中。该方法依赖于Enable-CredentialGuard cmdlet,仅在Windows 10 1607+及Windows Server 2016+中可用。
1、以管理员身份启动Windows PowerShell。
2、执行命令检查当前状态:Get-CredentialGuardStatus。
3、若返回“NotRunning”且硬件就绪,执行启用命令:Enable-CredentialGuard -VirtualizationBasedSecurityEnabled $true -LsaIsoEnabled $true。
4、若需启用UEFI锁定,追加参数:-CredGuardPolicy “UEFILock”。
5、执行完毕后,系统将提示需重启,输入Y确认。
四、通过Microsoft Intune配置Credential Guard
Intune适用于云管理模式下的企业设备,尤其适合Windows Pro/Enterprise版本的现代工作场所。该方式支持远程启用与策略回滚能力。
1、登录Microsoft Endpoint Manager admin center。
2、进入Devices → Windows → Configuration profiles → 创建配置文件。
3、选择平台为“Windows 10 and later”,类型为“Settings catalog”。
4、在“Settings”中搜索“Credential Guard”,展开Device Guard类别。
5、将“Credential Guard”设置为Enabled without UEFI lock或Enabled with UEFI lock。
6、完成创建后,将配置文件分配给目标设备组。
7、设备接收策略后将在下次策略同步时应用,重启后生效。
五、验证Credential Guard是否成功启用
无论采用何种启用方式,均需独立验证其运行状态,避免因硬件不兼容或策略冲突导致实际未激活。
1、重启完成后,以管理员身份运行PowerShell。
2、执行:Get-CredentialGuardStatus。
3、检查输出中“IsRunning”字段是否为True,“VirtualizationBasedSecurityStatus”是否为Running。
4、同时确认进程lsaiso.exe正在运行,且其内存空间受VSM隔离保护。
5、若“IsRunning”为False,请检查事件查看器中“System”日志下ID为1639或1640的错误事件,定位具体失败原因。
评论(0)