Condividi tramite


Configurare Credential Guard

Questo articolo descrive come configurare Credential Guard usando Microsoft Intune, Criteri di gruppo o il registro di sistema.

Abilitazione predefinita

A partire da Windows 11, 22H2 e Windows Server 2025, Credential Guard è abilitato per impostazione predefinita nei dispositivi che soddisfano i requisiti.

Gli amministratori di sistema possono abilitare o disabilitare in modo esplicito Credential Guard usando uno dei metodi descritti in questo articolo. I valori configurati in modo esplicito sovrascrivono lo stato di abilitazione predefinito dopo un riavvio.

Se un dispositivo ha Credential Guard esplicitamente disattivato prima di eseguire l'aggiornamento a una versione più recente di Windows in cui Credential Guard è abilitato per impostazione predefinita, il suddetto rimarrà disabilitato anche dopo l'aggiornamento.

Importante

Per informazioni sui problemi noti relativi all'abilitazione predefinita, vedere Credential Guard: problemi noti.

Abilitare Credential Guard

Credential Guard deve essere abilitato prima che un dispositivo venga aggiunto a un dominio o prima che un utente di dominio acceda per la prima volta. Se Credential Guard viene abilitato su un dispositivo dopo l'aggiunta a un dominio, i segreti dell'utente e del dispositivo potrebbero essere già compromessi.

Per abilitare Credential Guard, è possibile usare:

  • Microsoft Intune/MDM
  • Criteri di gruppo
  • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Configurare Credential Guard con Intune

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Device Guard Credential Guard Selezionare una delle tre opzioni seguenti:
  - Abilitato con blocco UEFI
  - Abilitato senza blocco

Importante

Se si vuole essere in grado di disattivare Credential Guard in remoto, scegliere l'opzione4 Abilitato senza blocco.

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

Suggerimento

È possibile configurare Credential Guard anche utilizzando un profilo di protezione dell'account in Sicurezza endpoint. Per altre informazioni, vedere Impostazioni dei criteri di protezione degli account per la sicurezza degli endpoint in Microsoft Intune.

In alternativa, è possibile configurare i dispositivi utilizzando un criterio personalizzato con il CSP dei criteri DeviceGuard.

Impostazione
Nome impostazione: attivare la Sicurezza basata sulla virtualizzazione
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo di dati: int
Valore: 1
Nome impostazione: Configurazione di Credential Guard
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo di dati: int
Valore:
Abilitato con blocco UEFI: 1
Abilitato senza blocco: 2

Dopo aver applicato i criteri, riavviare il dispositivo.

Verificare se Credential Guard è abilitato

Il controllo di Gestione attività per verificare se LsaIso.exe è in esecuzione non è un metodo consigliato per determinare se Credential Guard è in esecuzione. Usare invece uno dei metodi seguenti:

  • System Information
  • PowerShell
  • Visualizzatore eventi

System Information

È possibile usare Informazioni sul sistema per determinare se Credential Guard sia in esecuzione in un dispositivo.

  1. Selezionare Start, digitare msinfo32.exe e selezionare Informazioni di sistema.
  2. Selezionare Riepilogo sistema.
  3. Confermare che Credential Guard è visualizzato accanto a Servizi di sicurezza basati sulla virtualizzazione in esecuzione.

PowerShell

È possibile usare PowerShell per determinare se Credential Guard sia in esecuzione in un dispositivo. Da una sessione di PowerShell con privilegi elevati, eseguire il comando riportato di seguito:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Questo comando genera l'output seguente:

  • 0: Credential Guard è disabilitato (non in esecuzione)
  • 1: Credential Guard è abilitato (in esecuzione)

Visualizzatore eventi

Eseguire revisioni regolari dei dispositivi con Credential Guard abilitato, usando criteri di controllo di sicurezza o query WMI.
Aprire il Visualizzatore eventi (eventvwr.exe), andare a Windows Logs\System e filtrare le origini eventi per WinInit:

ID evento

Descrizione

13 (Informazioni)

Credential Guard (LsaIso.exe) was started and will protect LSA credentials.

14 (Informazioni)

Credential Guard (LsaIso.exe) configuration: [**0x0** | **0x1** | **0x2**], **0**
  • La prima variabile: 0x1 o 0x2 indica che Credential Guard è configurato per l'esecuzione. 0x0 significa che non è configurato per l'esecuzione.
  • La seconda variabile: 0 indica che è configurato per l'esecuzione in modalità di protezione. 1 significa che è configurato per l'esecuzione in modalità di test. Questa variabile deve essere sempre 0.

15 (Avviso)

Credential Guard (LsaIso.exe) is configured but the secure kernel isn't running;
continuing without Credential Guard.

16 (Avviso)

Credential Guard (LsaIso.exe) failed to launch: [error code]

17

Error reading Credential Guard (LsaIso.exe) UEFI configuration: [error code]

L'evento seguente indica se il TPM viene usato per la protezione delle chiavi. Percorso: Applications and Services logs > Microsoft > Windows > Kernel-Boot

ID evento

Descrizione

51 (Informazioni)

VSM Master Encryption Key Provisioning. Using cached copy status: 0x0. Unsealing cached copy status: 0x1. New key generation status: 0x1. Sealing status: 0x1. TPM PCR mask: 0x0.

In caso di esecuzione con TPM, il valore di maschera PCR TPM è diverso da 0.

Disabilitare Credential Guard

Sono disponibili varie opzioni per disabilitare Credential Guard. L'opzione scelta dipende dalla configurazione di Credential Guard:

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Disabilitare Credential Guard con Intune

Se Credential Guard è abilitato tramite Intune e senza blocco UEFI, la disabilitazione della stessa impostazione dei criteri disabilita Credential Guard.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Device Guard Credential Guard Disabilitato

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

In alternativa, è possibile configurare i dispositivi utilizzando un criterio personalizzato con il CSP dei criteri DeviceGuard.

Impostazione
Nome impostazione: Configurazione di Credential Guard
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags
Tipo di dati: int
Valore: 0

Dopo aver applicato i criteri, riavviare il dispositivo.

Per informazioni sulla disabilitazione della Sicurezza basata sulla virtualizzazione (VBS), vedere disabilitare la Sicurezza basata sulla virtualizzazione.

Disabilitare Credential Guard con blocco UEFI

Se Credential Guard è abilitato con il blocco UEFI, seguire questa procedura perché le impostazioni sono persistenti nelle variabili EFI (firmware).

Nota

Questo scenario richiede la presenza fisica presso il computer così da premere un tasto funzione per accettare la modifica.

  1. Seguire la procedura descritta in Disabilitare Credential Guard

  2. Elimina le variabili EFI di Credential Guard usando bcdedit. Da un prompt dei comandi con privilegi elevati digita questi comandi:

    mountvol X: /s
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
    
  3. Riavvia il dispositivo. Prima dell'avvio del sistema operativo, viene visualizzato un messaggio che informa che la UEFI è stata modificata e richiede conferma. Per applicare le modifiche è necessario confermare la richiesta.

Disabilitare Credential Guard per una macchina virtuale

Dall'host è possibile disabilitare Credential Guard per una macchina virtuale con il comando seguente:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Disabilitare la Sicurezza basata sulla virtualizzazione

Se si disabilita la Sicurezza basata sulla virtualizzazione (VBS), si disabiliterà automaticamente Credential Guard e altre funzionalità che si basano su VBS.

Importante

Altre funzionalità di sicurezza accanto a Credential Guard si basano sulla VBS. La disabilitazione della VBS può avere effetti collaterali imprevisti.

Scegliere una delle opzioni seguenti per disabilitare la VBS:

  • Microsoft Intune/MDM
  • Criteri di gruppo
  • Registro di sistema

Le istruzioni seguenti forniscono informazioni dettagliate su come configurare i dispositivi. Seleziona l'opzione più adatta alle tue esigenze.

Disabilitare la VBS con Intune

Se la VBS è abilitata tramite Intune e senza blocco UEFI, la disabilitazione della stessa impostazione dei criteri disabilita VBS.

Per configurare i dispositivi con Microsoft Intune, creare un criterio del catalogo impostazioni e usare le impostazioni seguenti:

Categoria Nome dell'impostazione Valore
Device Guard Abilitare la Sicurezza basata sulla virtualizzazione Disabilitato

Assegnare il criterio a un gruppo che contenga come membri i dispositivi o gli utenti da configurare.

In alternativa, è possibile configurare i dispositivi utilizzando un criterio personalizzato con il CSP dei criteri DeviceGuard.

Impostazione
Nome impostazione: attivare la Sicurezza basata sulla virtualizzazione
URI OMA: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity
Tipo di dati: int
Valore: 0

Dopo aver applicato i criteri, riavviare il dispositivo.

Se Credential Guard è abilitato con blocco UEFI, le variabili EFI archiviate nel firmware devono essere cancellate usando il comando bcdedit.exe. Da un prompt dei comandi con privilegi elevati eseguire i comandi seguenti:

bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
bcdedit /set vsmlaunchtype off

Passaggi successivi