Credential guard key guard грузит процессор
Защитник Windows Credential Guard можно включить либо с помощью групповой политики, реестра,либо Hypervisor-Protected целостности кода (HVCI) и средства обеспечения готовности Защитник Windows Credential Guard. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.
Известные проблемы, связанные с приложениями сторонних разработчиков
Следующая проблема затрагивает Java GSS API. См. следующую статью базы данных ошибок Oracle:
Если Защитник Windows Credential Guard включен в Windows, API GSS Java не будет использовать проверку подлинности. Это ожидаемое поведение, так как Защитник Windows Credential Guard блокирует определенные возможности проверки подлинности приложения и не предоставляет ключ сеанса TGT приложениям независимо от параметров раздела реестра. Дополнительные сведения см. в разделе "Требования к приложению".
Следующая проблема влияет на Cisco AnyConnect Secure Mobility Client.
*Для доступа к этой статье необходима регистрация.
Следующая проблема влияет на McAfee Application and Change Control (MACC):
-
Windows демонстрирует высокую загрузку ЦП с приложением McAfee и управлением изменениями (MACC), установленным при Защитник Windows Credential Guard включен [1]
Следующая проблема влияет на AppSense Environment Manager. Дополнительные сведения см. в следующей статье базы знаний:
-
на Windows компьютеров приводит к высокой загрузке LSAISO.exe ЦП при Защитник Windows Credential Guard [1] **
Следующая проблема влияет на приложения Citrix.
- Windows компьютеры демонстрируют высокую загрузку ЦП с приложениями Citrix, установленными Защитник Windows Credential Guard. [1]
[1] Продукты, подключаемые к защищенным процессам на основе виртуализации (VBS), могут привести к высокой загрузке ЦП Защитник Windows с поддержкой Credential Guard Windows 10, Windows 11, Windows Server 2016 или Windows Server 2019. Технические сведения и сведения об устранении неполадок см. в следующей статье базы знаний Майкрософт.
Дополнительные технические сведения о LSAISO.exe см. в следующей статье MSDN: Процессы в режиме изолированного пользователя (IUM)
** Для доступа к этой статье необходима регистрация.
1. Отключите учетную защиту от панели управления
Включить Hyper-V
Примечание. Если Hyper-V уже включен, перейдите ко второму шагу ниже.
Отключить учетную охрану
Если проблема не устранена, снова откройте окно «Функции Windows», начиная с шага 1, затем отмените выбор Hyper-V и перезагрузите компьютер.
Оценка работы Credential Guard в Защитнике Windows
Запущен ли Credential Guard в Защитнике Windows?
Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу "Сведения о системе".
Выберите Сводные сведения о системе.
Подтверждение того, что служба безопасности на основе виртуализации отображается рядом с службами безопасности на основе виртуализации.
Вы также можете проверить, работает ли Защитник Windows службы учетных данных с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard.
При запуске средства готовности оборудования HVCI и Защитник Windows Credential Guard на не-английской операционной системе в скрипте необходимо изменить, чтобы средство *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() работало.
Это известная проблема.
На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.
Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже уязвимо, именно поэтому мы рекомендуем включить Credential Guard как можно раньше.
Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Ниже представлен список кодов событий WinInit, которые следует искать.
Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.
Конфигурация event ID 14 Защитник Windows credential Guard (LsaIso.exe): [0x0 | 0x1 | 0x2], 0
Первая переменная: 0x1 или 0x2 означает, что Защитник Windows настраивается для запуска. 0x0 означает, что она не настроена для запуска.
Вторая переменная: 0 означает, что она настроена для работы в режиме защиты. 1 означает, что он настроен для работы в тестовом режиме. Эта переменная всегда должна быть 0.
Код события 15. Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но ядро системы безопасности не запущено. Операция будет продолжена без Credential Guard в Защитнике Windows.
Код события 16. Не удалось запустить Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]
ID события 17 Чтение ошибок Защитник Windows учетных данных (LsaIso.exe) конфигурации UEFI: [код ошибки]
Вы также можете проверить, используется ли TPM для защиты ключей, проверив код события 51 в источнике событий Microsoft - > Windows - > Kernel-Boot. Если вы используете доверенный платформенный модуль, то значение маски реестра конфигурации платформы доверенного платформенного модуля будет отличным от0.
Код события 51. Подготовка главного ключа шифрования VSM. Использование кэшного состояния копирования: 0x0. Состояние распечатывания кэшированной копии: 0x1. Состояние создания нового ключа: 0x1. Состояние уплотнения: 0x1. Маска PCR TPM: 0x0.
Вы можете использовать Windows PowerShell, чтобы определить, работает ли охранник учетных данных на клиентский компьютер. На компьютере, о чем идет речь, откройте окно PowerShell с повышенными уровнями и запустите следующую команду:
Эта команда создает следующую выходную следующую команду:
0. Защитник Windows учетная точка отключена (не запущена)
1. Защитник Windows включена (запущена) учетная охрана
Проверка списка задач или диспетчера задач, чтобы узнать, LSAISO.exe ли запущена LSAISO.exe, не рекомендуется для определения того, Защитник Windows службы учетных данных.
Включить Защитник Windows учетных данных с помощью Intune
Из доманажмите кнопку Microsoft Intune.
Щелкните Конфигурация устройств.
Щелкните Профили > Создание защиты > конечной точкипрофиля Защитник Windows > учетных данных Guard.
Это позволит включить VBS и безопасную загрузку, и вы можете сделать это с или без блокировки UEFI. Если потребуется отключить Учетную службу удаленно, включай ее без блокировки UEFI.
Вы также можете настроить Credential Guard с помощью профиля защиты учетных записей в безопасности конечной точки. Параметры политики защиты учетных записей для безопасности конечной точки см. в intune.
Отключение Credential Guard в Защитнике Windows
Чтобы отключить Защитник Windows Credential Guard, можно использовать следующий набор процедур или средство готовности оборудования Device Guard и Credential Guard. Если служба credential Guard включена с блокировкой UEFI, необходимо использовать следующую процедуру, так как параметры сохраняются в переменных EFI (прошивка), и для нажатия клавиши функции для пользования изменением потребуется физическое присутствие на компьютере. Если учетная охрана включена без блокировки UEFI, ее можно отключить с помощью групповой политики.
Если вы использовали групповую политику, отключите параметр групповой политики, с помощью которого вы включали Credential Guard в Защитнике Windows (Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard -> Включить средство обеспечения безопасности на основе виртуализации).
Удалите указанные ниже параметры реестра.
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
- HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\\Windows\DeviceGuard\LsaCfgFlags
Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:
Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.
Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:
Ответьте утвердительно на запрос об отключении Credential Guard в Защитнике Windows.
Для отключения Credential Guard в Защитнике Windows также можно отключить функции безопасности на основе виртуализации.
Компьютер должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, которые были зашифрованы с помощью EFS. Если требуется отключить как Защитник Windows, так и безопасность на основе виртуализации, запустите следующие команды bcdedit после отключения всех параметров групповой политики и реестра на основе виртуализации:
Дополнительные сведения о безопасности на основе виртуализации и HVCI см. в дополнительных сведениях о защите целостности кода на основе виртуализации.
Охрана учетных данных и охрана устройств не поддерживаются при использовании VMs Azure Gen 1. Эти параметры доступны только с VMs Gen 2.
Отключение Защитник Windows учетных данных с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard
Вы также можете отключить Защитник Windows credential Guard с помощью средства обеспечения готовности оборудования HVCI и Защитник Windows Credential Guard.
При запуске средства готовности оборудования HVCI и Защитник Windows Credential Guard на не-английской операционной системе в скрипте необходимо изменить, чтобы средство *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() работало.
Это известная проблема.
Отключение Credential Guard в Защитнике Windows для виртуальной машины
На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:
We have deployed cred guard on our Windows 10 1511 administrator workstations. Great feature but on all systems it consistently uses 10-15% of available CPU. Is this to be expected? It isn't a big deal on quad core systems but it is surprising.
Включение Credential Guard в Защитнике Windows с помощью групповой политики.
Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.
В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard.
Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.
В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.
В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.
В поле Конфигурация безопасного запуска выберите Not Configured, Enabled или Disabled. Дополнительные сведения в этой статье.
Закройте консоль управления групповыми политиками.
Чтобы применить обработку групповой политики, можно запустить gpupdate /force .
All replies
Before we can tell you if it is to be expected we need to find out why it is happening. To that end, if you are inclined, please run a windows performance recorder trace
In order to diagnose your problem we need to run Windows performance toolkit the instructions for which can be found in this wiki
Wanikiya and Dyami--Team Zigzag Windows IT-PRO (MS-MVP)
Is that Firmware is updated ?
Credential Guard requires the secure MOR bit to help prevent certain memory attacks.
Regards, Regin Ravi
Brand new HP Elitedesk, latest firmware/BIOS. Cred guard is enabled and active with DMA and Secure Boot.
Please post back the performance log for our analysis.
Open the installer and follow the wizard to install Performance toolkit:
Then, open Performance Recorder and choose Boot on Performance scenario, and click Start, you will be required to restart the computer:
Upload the etl files onto OneDrive and share the link here.
I've had confirmation from elsewhere that this issue exists. I believe here is little value trying to look at it with tools like performance analyzer as you cannot debug lsaiso.exe because it is in the secure kernel. All you will see is the level of CPU usage which you can see in resource monitor averages 12.5%.
I have the same Problem on Lenovo X230 and X250. The LsaIso-Process Need 25% CPU-Usage!
On Lenovo T560 and a old Helix (Gen1) the process need only 1% CPU.
I have updated the Firmware on all devices, but it doesn’t help.
The Windows 10-Version is 1607 with all updates.
Did anyone have a solution?
Worth noting that if you are using AppSense Environment Manager 8.6 then this is a known issue. They have a knowledge article on excluding lsaiso.exe from EM.
Worth noting that if you are using AppSense Environment Manager 8.6 then this is a known issue. They have a knowledge article on excluding lsaiso.exe from EM.
It also appears to be caused by the Citrix XenDesktop VDA (Virtual Delivery/Desktop Agent). We actually have both AppSense EM and VDA, and I had to remove both before the CPU calmed down.
Worth noting that if you are using AppSense Environment Manager 8.6 then this is a known issue. They have a knowledge article on excluding lsaiso.exe from EM.
Worth noting that issue exists with Lumension (a.k.a. Heat Software) agent versions lower than 5.0.
With Windows 10 LTSB (1607), Windows Defender & Ivanti (AppSense) Client (10.0 - 10.1 R3)
we had the following problem or requirement:
Request: Activate Credential Guard
Problem: Immediately after activating Credential Guard (Reboot)
the CPU usage was 25-70%. The reason for this was:
Credential Guard (LsaIso. exe) 25% CPU
Secure Biometrics (BioIso. exe) 23% CPU
As expected, Secure Biometrics disappeared after some time (10 minutes).
Credential Guard remained permanently between 20-30% CPU load.
Deactivating Appsense (Appsense Client Communications, Appsense User Virtualization, Appsense Watchdog Service) has no effect on the high utilization rate even after a restart. Only the complete uninstallation has brought the CPU down to 0-1% with enabled Credential Guard.
We then used Appsense to create a whitelist for these two processes for AppSense file scanners as well as for the antivirus (Windows Defender). After a reboot the CPU load for both processes was reduced to 0-1%.
Pro-версия Windows поставляется с Hyper-V , встроенным в Windows решением для виртуальных машин от Microsoft. Однако если вы включите Hyper-V, он также включит Защиту учетных данных Защитника Windows.
А что если вы хотите отключить Credential Guard в Windows 10?
От вас может потребоваться отключить Credential Guard, чтобы убедиться, что другие решения для виртуальных машин, такие как VMware, работают нормально, что невозможно при работающей Credential Guard.
В этой статье мы расскажем, как отключить Credential Guard в Windows 10 для запуска VMware и Hyper-V.
2. Надежный Hyper-V с помощью команды PowerShell
- Если вы получаете «WMware Player и устройство / Credential Guard, несовместимы. VMware Player может быть запущен после отключения Device / Credential Guard »; Первый метод должен помочь.
- Однако, если проблема сохраняется, вы можете отключить Hyper-V с помощью команды PowerShell.
- Щелкните правой кнопкой мыши « Пуск» и выберите « Windows PowerShell (Admin)».
- В окне PowerShell введите следующую команду, чтобы отключить Hyper-V.
bcdedit / отключить тип гипервизора - Теперь попробуйте перезапустить VMware и проверьте, устранена ли ошибка.
Включить Hyper-V с помощью PowerShell
- Если вы хотите включить Hyper-V, используйте следующую команду.
bcdedit / установить автозапуск гипервизора - Это включит Hyper-V на вашем компьютере.
Первый способ отключить Credential Guard рекомендуется, если вы хотите запускать виртуальные машины Hyper-V и VMware на своем компьютере.
Однако команда PowerShell может отключить Hyper-V без необходимости устанавливать / удалять его из компонентов Windows.
Credential Guard в Защитнике Windows имеет определенные требования к приложениям. Credential Guard в Защитнике Windows блокирует некоторые возможности проверки подлинности. Поэтому приложения, для которых требуются такие возможности, не будут работать, если они включены. Дополнительные сведения см. в разделе "Требования к приложению".
При включении аудита NTLM на контроллере домена регистрируется событие с идентификатором 8004 с неопределенным форматом имени пользователя. Вы также получите аналогичное имя пользователя в событии сбоя входа пользователя 4625 с ошибкой 0xC0000064 на самом компьютере. Пример:
Имя журнала: Microsoft-Windows-NTLM/Operational
Источник: Microsoft-Windows-Security-Netlogon
Идентификатор события: 8004
Категория задач: аудит NTLM
Уровень: сведения
Описание:
Заблокированный аудит контроллера домена: аудит проверки подлинности NTLM на этом контроллере домена.
Имя защищенного канала:
Имя пользователя:
@@CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAgDA2AQQAMEAwAANAgDA1AQLAIEADBQRAADAtAANAYEA1AwQA0CA5AAOAMEAyAQLAYDAxAwQAEDAEBwMAMEAwAgMAMDACBgRA0HA
Доменное имя: NULL
- Это событие происходит из запланированной задачи, выполняемой в контексте локального пользователя с накопительным обновлением безопасности за ноябрь 2017 г . или более поздней версии, и происходит при включении Credential Guard.
- Имя пользователя отображается в необычном формате, так как локальные учетные записи не защищены Credential Guard. Задача также не выполняется.
- В качестве обходного решения выполните запланированную задачу под пользователем домена или учетной записью SYSTEM компьютера.
Нижеперечисленные проблемы были устранены в рамках обслуживающих выпусков, которые стали доступными в накопительных пакетах обновлений для системы безопасности в апреле 2017 г.
Эта проблема может привести к непредвиденной блокировке учетных записей. См. также статьи KB4015219 и KB4015221 в базе знаний Microsoft®.
Включить Защитник Windows учетных данных с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard
Вы также можете включить Защитник Windows credential Guard с помощью средства готовности оборудования HVCI и Защитник Windows Credential Guard.
При запуске средства готовности оборудования HVCI и Защитник Windows Credential Guard на не-английской операционной системе в скрипте необходимо изменить, чтобы средство $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() работало.
Это известная проблема.
LSAISO процесс высокой загрузки ЦП
Процесс службы подсистемы локального администратора безопасности (LSASS) отвечает за управление локальной системной политикой, аутентификацию пользователей и аудит, а также за обработку конфиденциальных данных безопасности, таких как хэши паролей и ключи Kerberos.
Чтобы использовать преимущества безопасности VSM, трастлет LSAISO, который запускается в VTL1 связывается через канал RPC с процессом LSAISO, который выполняется в VTL0. Секреты LSAISO зашифровываются перед отправкой в LSASS, а страницы LSAISO защищены от любого вредоносного кода, работающего в VTL0.
Возможная причина высокой загрузки ЦП процессом LSAISO
В Windows 10 LSAISO процесс работает как Изолированный пользовательский режим (IUM) в новой среде безопасности, известной как Виртуальный безопасный режим (VSM).
Приложения и драйверы, которые пытаются загрузить DLL (библиотеку динамической компоновки) в процесс IUM, внедрить поток или доставить APC пользовательского режима, могут дестабилизировать всю систему. Эта дестабилизация может вызвать высокую загрузку ЦП LSAISO в Windows 10.
Чтобы решить эту проблему, Microsoft рекомендует использовать один из следующих методов.
- Используйте процесс исключения.
- Проверьте наличие APC в очереди.
Теперь давайте подробно рассмотрим два рекомендуемых решения.
1]Используйте процесс исключения
Некоторые приложения (например, антивирусные программы) часто внедряют библиотеки DLL или ставят APC в очередь в процесс LSAISO. Это приводит к высокой загрузке ЦП процессом LSAISO.
В этом сценарии «процесс устранения”Метод устранения неполадок требует, чтобы вы отключили приложения и драйверы до тех пор, пока скачок ЦП не будет уменьшен. После того, как вы определите, какое программное обеспечение вызывает проблему, обратитесь к поставщику за обновлением программного обеспечения.
2]Проверить наличие APC в очереди
В этом случае вам необходимо сначала загрузить бесплатный инструмент отладки Windows (WinDbg). В инструмент также включен в Комплект драйверов Windows (WDK).
После загрузки инструмента WinDbg вы можете продолжить действия, описанные ниже, чтобы определить, какой драйвер ставит APC в очередь на LSAISO.
Порядок действий следующий:
1. Пока вы воспроизводите скачок ЦП, сгенерируйте дамп памяти ядра, используя NotMyFault.exe — инструмент, входящий в комплект Sysinternals.
Примечание: Полный дамп памяти не рекомендуется, поскольку он потребует дешифрования, если в системе включен VSM.
Чтобы включить дамп ядра, сделайте следующее:
- Нажмите клавишу Windows + R. В диалоговом окне «Выполнить» введите система контроля, нажмите Enter, чтобы открыть Система апплет на панели управления, а затем выберите Расширенные настройки системы.
- На Передовой вкладка Свойства системы диалоговое окно выберите Настройки в Запуск и восстановление площадь.
- в Запуск и восстановление диалоговое окно выберите Дамп памяти ядра в Напишите отладочную информацию выпадающий список.
- Обратите внимание на Файл дампа место для использования в шаг 5, а затем щелкните Ok.
2. Щелкните значок Начинать кнопку, найдите и щелкните Комплекты Windows в меню «Пуск», затем выберите WinDbg (x64 / x86) для запуска инструмента.
3. О Файл меню, щелкните Путь к файлу символа, добавьте адресный путь ниже для Microsoft Symbol Server в Путь к символу поле и щелкните OK.
4. Далее на Файл меню, щелкните Открыть аварийный дамп.
5. Перейдите в папку с файлом дампа ядра, отмеченную на шаге 1, и выберите Открыть. Проверьте дату на .dmp файл, чтобы убедиться, что он был создан заново во время этого сеанса устранения неполадок.
6. В Командование окно, тип ! apc, нажмите Enter.
Вы получите результат, аналогичный показанному ниже.
7. Найдите результаты для LsaIso.exe. Если драйвер с именем « .sys»Указан в LsaIso.exe, как показано в выходных данных выше — обратитесь к поставщику, а затем отсылайте его к этому Документ Microsoft для рекомендуемого смягчения последствий для процессов изолированного режима пользователя (IUM).
Если в Lsaiso.exe нет драйверов, это означает, что процесс LSAISO не имеет APC в очереди.
Включение Credential Guard в Защитнике Windows с помощью групповой политики.
Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.
В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard.
Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.
В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.
В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.
В поле Конфигурация безопасного запуска выберите Not Configured, Enabled или Disabled. Дополнительные сведения в этой статье.
Закройте консоль управления групповыми политиками.
Чтобы применить обработку групповой политики, можно запустить gpupdate /force .
Включение Credential Guard в Защитнике Windows с помощью реестра
Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.
Добавление функций безопасности на основе виртуализации
Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.
Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).
Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.
Добавление функций безопасности на основе виртуализации с помощью раздела "Программы и компоненты"
Откройте раздел Панели управления "Программы и компоненты".
Выберите Включение или отключение компонентов Windows.
Перейдите в раздел Hyper-V -> Платформа Hyper-V и установите флажок Низкоуровневая оболочка Hyper-V.
Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.
Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM
Откройте командную строку с повышенными привилегиями.
Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды:
Добавьте режим изолированного пользователя с помощью следующей команды:
В Windows 10 версии 1607 и более поздней версии функция Изолированный режим пользователя была интегрирована в основную операционную систему. Поэтому запуск команды на шаге 3 выше больше не требуется.
Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.
Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows
Откройте редактор реестра.
Включите средство обеспечения безопасности на основе виртуализации.
Откройте раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard.
Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.
Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.
Включение Credential Guard в Защитнике Windows:
Откройте раздел реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA.
Добавьте новый параметр типа DWORD с именем LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.
Закройте редактор реестра.
Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.
Поддержка поставщика
Информацию о поддержке Citrix безопасной загрузки см. в следующей статье.
Защитник Windows Credential Guard не поддерживается следующими продуктами, версиями продуктов, компьютерными системами или Windows 10 версиями:
Дополнительные Защитник Windows Credential Guard на Windows с продуктами шифрования McAfee см. в статье о поддержке целостности кода Hypervisor-Protected и Защитник Windows Credential Guard в Windows с продуктами шифрования McAfee
Для Защитник Windows Credential Guard на Windows с узлом VMWare Workstation Windows происходит сбой при запуске рабочей станции VMWare при Защитник Windows Credential Guard
Для Защитник Windows Credential Guard на Windows с определенными версиями Lenovo ThinkPad ThinkPad поддерживает целостность кода Hypervisor-Protected и Защитник Windows Credential Guard в Microsoft Windows — ThinkPad
Это не полный список. Проверьте, поддерживает ли поставщик продукта, версия продукта или компьютерная система Защитник Windows Credential Guard в системах, Windows или определенных версиях Windows. Определенные модели компьютерных систем могут быть несовместимы с Credential Guard в Защитнике Windows.
Корпорация Майкрософт просит сторонних поставщиков поучаствовать в улучшении этой статьи путем предоставления сведений о поддержке соответствующих продуктов и добавления ссылок к своим собственным заявлениям о поддержке продуктов.
Некоторые пользователи могут столкнуться с проблемой, при которой LSAISO.exe (Изолированный LSA) процесс сильно загружает ЦП на компьютере с Windows 10. Процесс связан с Credential Guard и Key Guard. В этом посте мы рассмотрим возможную причину и рекомендуемое решение этой проблемы.
Читайте также: