Защита учетных данных (Credential Guard) в Windows: что это и как отключить
Функция безопасности Credential Guard в последних версиях Windows защищает учетные записи от кражи и несанкционированного использования, включая атаки Pass-the-Hash и Pass-the-Ticket. Credential Guard использует виртуализацию на базе безопасности (Virtualization-Based Security, VBS), чтобы изолировать чувствительные данные — такие как хэши паролей NTLM, Kerberos-билеты, другие учетные данные и секреты — в защищенной виртуальной среде (контейнере). Для защиты данных применяются аппаратные технологии, включая Secure Boot и Trusted Platform Module (TPM). К этим учетным данным может получить доступ только привилегированный системный софт, что предотвращает возможность кражи вредоносными программами или злоумышленниками, даже если те получили права локального администратора.
Автоматическое включение Windows Defender Credential Guard
Credential Guard автоматически активируется на совместимых устройствах, отвечающих следующим требованиям:
- Windows 11 22H2 (или более поздняя версия) в редакциях Enterprise или Education (некоторые компоненты Credential Guard и VBS также доступны в Pro-версии), либо Windows Server 2025.
- Модуль TPM версии 1.2 или 2.0.
- Блокировка UEFI (UEFI lock).
- Включенная функция Secure Boot.
- Поддержка виртуализации на базе безопасности и 64-битный процессор с расширенной виртуализацией и функцией SLAT (Second Level Address Translation).
- Включенная виртуализационная платформа Hyper-V (HypervisorPlatform) через компоненты Windows:
Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform
Возможные проблемы при включенном Credential Guard
Включенный Credential Guard может привести к следующим трудностям:
- Credential Guard препятствует сохранению паролей для RDP-подключений при использовании NTLM аутентификации.
- Пользователи не смогут запускать виртуальные машины VMware Workstation (Player) или VirtualBox — появится ошибка:
VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.
- Не рекомендуется использовать Credential Guard на контроллерах домена — это не повысит безопасность и может вызвать проблемы совместимости с программами сторонних производителей.
- Программы с небезопасными методами аутентификации, например NTLMv1 или ограниченной делегацией Kerberos, будут работать некорректно.
- При включенном Credential Guard не работает аутентификация Single Sign-On (SSO) на хостах Remote Desktop Services (RDS).
- Невозможно пройти аутентификацию на Wi-Fi точках доступа и VPN-серверах с использованием протоколов MSCHAPv2 (включая PEAP-MSCHAPv2 и EAP-MSCHAPv2).
Как проверить, включен ли Credential Guard в Windows
Для проверки статуса Credential Guard в Windows выполните следующую команду PowerShell:
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
1– Credential Guard включен0– Credential Guard отключен
Как отключить Credential Guard
Для выключения Credential Guard необходимо настроить несколько параметров:
- Откройте редактор локальной групповой политики (
gpedit.msc) и перейдите в раздел Конфигурация компьютера → Административные шаблоны → Система → Device Guard. Параметр Turn on Virtualization Based Security установите в положение Disabled.
- Создайте два параметра в реестре и задайте им значение 0:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
Эти параметры отключают Credential Guard, если не используется UEFI lock для защиты от изменений в настройках прошивки UEFI. - Если UEFI lock включен, выполните следующие команды. Для этого необходимо работать с консолью компьютера: запустите командную строку от имени администратора, подключите системный раздел EFI и создайте новый временный загрузочный элемент, который будет запускать загрузчик EFI с отключенным Credential Guard и виртуализационной безопасностью:
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d - Перезагрузите компьютер. При загрузке вас спросит, хотите ли вы отключить Credential Guard:
Credential Guard Opt-out Tool Вы хотите отключить Credential Guard? Отказ от этой функции может позволить вредоносным программам получить доступ к паролям и другим данным всех пользователей, вошедших в Windows. Для правильного решения в вашей организации обратитесь к администратору перед отключением защиты.
- Для подтверждения отключения Credential Guard нажмите
F3в течение нескольких секунд (если не успеть, изменения в загрузчике отменятся).
Проверка, что Credential Guard отключен
После перезагрузки проверьте, что Credential Guard действительно отключен:
Использование официального скрипта PowerShell для управления Credential Guard
Можно использовать официальный PowerShell-скрипт Device Guard and Credential Guard hardware readiness tool для включения или отключения Credential Guard и Device Guard на поддерживаемых устройствах. Скачать его можно с сайта Microsoft: https://www.microsoft.com/en-my/download/details.aspx?id=53337
Скачайте архив dgreadiness_v3.6.zip и распакуйте в локальную папку:
cd C:\PS\dgreadiness_v3.6\
Если в PowerShell не разрешен запуск сторонних скриптов, временно включите выполнение скриптов в текущей сессии:
Set-ExecutionPolicy -Scope Process RemoteSigned
Проверьте, какие из функций защиты Defender включены:
DG_Readiness_Tool_v3.6.ps1 -Ready
Для отключения Credential Guard выполните команду:
DG_Readiness_Tool_v3.6.ps1 -Disable -CG
Перезапустите компьютер и во время загрузки нажмите F3 для подтверждения отключения Credential Guard.