Как отключить (включить) Credential Guard в Windows 11: пошаговое руководство

Как отключить (включить) Credential Guard в Windows 11: пошаговое руководство

Что такое Credential Guard и как его отключить в Windows 11 и Server 2025

Credential Guard — это функция безопасности в последних версиях Windows, которая защищает учётные записи от кражи и несанкционированного использования, включая атаки типа Pass-the-Hash и Pass-the-Ticket. Credential Guard использует виртуализацию для обеспечения безопасности (virtualization-based security, VBS), чтобы изолировать важные учётные данные, такие как хэши паролей NTLM, Kerberos-токены, другие ключи и секреты, в защищённой виртуальной среде (контейнере). Для защиты данных применяются аппаратные технологии, такие как Secure Boot и Модуль доверенной платформы (Trusted Platform Module, TPM). Доступ к этим учётным данным имеет только привилегированное системное ПО, что предотвращает их кражу вредоносными программами или злоумышленниками, даже при наличии локальных прав администратора.

В каких случаях Credential Guard включается автоматически

Windows Defender Credential Guard включается автоматически на совместимых устройствах, отвечающих следующим требованиям:

  • Windows 11 22H2 (или выше) в редакциях Enterprise или Education (частично компоненты Credential Guard и Virtualization-Based Security доступны и в Pro), либо Windows Server 2025.
  • Наличие модуля TPM версии 1.2 или 2.0.
  • Блокировка настроек UEFI (UEFI lock).
  • Включён Secure Boot.
  • Устройство поддерживает виртуализацию для обеспечения безопасности, а процессор 64-битный с поддержкой расширенных функций виртуализации и SLAT (Second Level Address Translation).
  • Включена платформа виртуализации Hyper-V (HypervisorPlatform) в компонентах Windows: Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform.

Потенциальные проблемы при включённом Credential Guard

Активированный Credential Guard может вызывать следующие неудобства и ошибки:

  • Credential Guard блокирует сохранение паролей для подключений RDP при использовании NTLM-аутентификации.
  • Пользователи не смогут запускать виртуальные машины VMware Workstation или VirtualBox и увидят ошибку: 
    VMware Workstation and Device/Credential Guard are not compatible. 
VMware Workstation can be run after disabling Device/Credential Guard.

    VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.

  • Не рекомендуется использовать Credential Guard на контроллерах домена — это не повысит уровень безопасности, зато может вызвать проблемы с совместимостью сторонних приложений.
  • Приложения, использующие устаревшие или небезопасные методы аутентификации, например NTLMv1 или неограниченную делегацию Kerberos, перестанут работать.
  • При включённом Credential Guard на RDS-хосте не работает аутентификация с Single Sign-On (SSO).
  • Пользователи не смогут пройти аутентификацию на точках доступа Wi-Fi или VPN-серверах, использующих протоколы аутентификации MSCHAPv2 (включая PEAP-MSCHAPv2 и EAP-MSCHAPv2).

Как проверить, включён ли Credential Guard в Windows

Для проверки статуса Credential Guard запустите следующую команду PowerShell:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

  • 1 — Credential Guard активен
  • 0 — Credential Guard отключён

Подробная инструкция по отключению Credential Guard

Чтобы отключить Credential Guard, потребуется выполнить несколько шагов:

  1. Откройте редактор локальной групповой политики (gpedit.msc) и перейдите в раздел: Computer Configuration → Administrative Templates → System → Device Guard. Установите параметр Turn on Virtualization Based Security в значение Disabled.

    2. GPO option: Turn on Virtualization Based Security = disabled

  2. Создайте или измените два параметра реестра. Значение для обоих должно быть 0: 
    reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0

    Registry LsaCfgFlags - disable Credential Guard

    Это отключит Credential Guard, если UEFI lock не используется для защиты настроек прошивки UEFI от изменений.
  3. Если на устройстве активирован UEFI lock, выполните следующие команды из консоли с правами администратора. Для этого откройте командную строку, смонтируйте раздел системы EFI и создайте временную запись в конфигурации загрузчика Windows (BCD), который позволит загрузиться с отключённым Credential Guard и VBS: 
    mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d
  4. Перезагрузите компьютер. При загрузке появится запрос на отключение Credential Guard: 
    Credential Guard Opt-out Tool
Do you want to disable Credential Guard?
Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

    Credential Guard Opt-out Tool Do you want to disable Credential Guard?

  5. В течение нескольких секунд нажмите F3 для подтверждения отключения Credential Guard. Если не нажать F3, изменения загрузчика будут отменены.

Как проверить, отключён ли Credential Guard

После перезагрузки убедитесь, что Credential Guard отключён, снова выполнив команду из PowerShell:

Check if Credential Guard disabled on Windows

Использование официального скрипта для управления Credential Guard

Для упрощения управления Credential Guard и Device Guard можно воспользоваться официальным PowerShell-скриптом Device Guard and Credential Guard hardware readiness tool, доступным на сайте Microsoft: https://www.microsoft.com/en-my/download/details.aspx?id=53337

Скачайте архив dgreadiness_v3.6.zip, распакуйте его в удобное место, например:

cd C:\PS\dgreadiness_v3.6\

Если в вашей системе установлены ограничения на выполнение сторонних скриптов PowerShell, временно включите выполнение скриптов в текущем сеансе:

Set-ExecutionPolicy -Scope Process RemoteSigned

Чтобы увидеть список включённых функций безопасности Defender, выполните команду:

DG_Readiness_Tool_v3.6.ps1 -Ready

DG_Readiness script - Device Guard and Credential Guard hardware readiness tool

Для отключения Credential Guard с помощью этого скрипта выполните команду:

DG_Readiness_Tool_v3.6.ps1 -Disable -CG

Перезагрузите компьютер и нажмите F3 для подтверждения отключения Credential Guard.

Поделиться

Похожие записи

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *