如何激活 Microsoft Defender 凭据保护和漏洞利用保护

保护 Windows 系统中的凭据并加强系统防御漏洞 在任何现代商业环境中，安全防护几乎已成为必备技能。诸如哈希传递、票据传递或利用零日漏洞等攻击，会利用配置中的任何疏忽，在网络中横向移动，并在几分钟内控制服务器和工作站。

在这方面， Microsoft Defender 凭据保护和漏洞利用保护技术 （连同 Microsoft Defender 防病毒引擎）是 Windows 10、Windows 11 和 Windows Server 安全策略的关键组件。接下来，我们将逐步详细介绍它们的工作原理、要求，以及如何使用 Intune、组策略、注册表、PowerShell 和其他工具正确激活或停用它们，同时避免不必要的兼容性问题。

什么是 Microsoft Defender Credential Guard？它为什么如此重要？

Windows Defender 凭据保护是一项安全功能。 微软在 Windows 10 企业版和 Windows Server 2016 中引入了这项功能，它依赖于基于虚拟化的安全机制 (VBS) 来隔离身份验证密钥。与本地安全机构 (LSA) 直接管理内存中的凭据不同，VBS 使用一个独立的 LSA 进程。LSAIso.exe在受保护的环境中执行。

由于这种隔离， 只有具有相应权限的系统软件才能访问 NTLM 哈希和 Kerberos 票据 (TGT)。凭据管理器使用的凭据、本地登录凭据以及远程桌面等连接中使用的凭据均已失效。任何试图直接读取传统 LSA 进程内存的恶意代码都会发现这些密钥已丢失。

这种方法大大降低了传统后渗透工具（例如）的有效性。 Mimikatz 用于哈希传递或票据传递攻击这是因为以前很容易提取的哈希值和票据现在存储在内存中的一个隔离容器中，即使恶意软件在受感染的系统上拥有管理员权限，也无法轻易访问这些容器。

值得澄清的是 凭证保护与设备保护并不相同。Credential Guard 用于保护凭据和密钥，而 Device Guard（以及相关的应用程序控制技术）则专注于防止未经授权的代码在计算机上运行。它们相辅相成，但解决的问题各不相同。

即便如此， 凭证防护并非抵御 Mimikatz 攻击或内部攻击者的万全之策。攻击者如果已经控制了终端，就可以在用户输入凭据时将其捕获（例如，使用键盘记录器或在身份验证过程中注入代码）。此外，它也无法阻止拥有合法访问权限的员工复制或窃取数据；凭据保护机制保护的是内存中的凭据，而不是用户行为。

Windows 11 和 Windows Server 中默认启用凭据保护 (Credential Guard)。

在现代版本的 Windows 系统中，Credential Guard 在许多情况下会自动激活。从 Windows 11 22H2 和 Windows Server 2025 开始，满足某些硬件、固件和配置要求的设备将默认启用 VBS 和 Credential Guard，而无需管理员执行任何操作。

在这些系统中， 默认启用操作无需 UEFI 锁定。这意味着，虽然凭据保护功能默认启用，但管理员稍后可以通过组策略、Intune 或其他方法远程禁用它，因为固件中尚未激活锁定选项。

何时 凭证保护已激活，基于虚拟化的安全（VBS）也已启用。VBS 是创建受保护环境的组件，LSA 在该环境中被隔离，密钥也存储在该环境中，因此这两个功能在这些版本中是相辅相成的。

一个重要的细微差别是： 管理员明确配置的值始终优先。 高于默认设置。如果通过 Intune、组策略对象 (GPO) 或注册表启用或禁用凭据保护，则该手动设置会在计算机重启后覆盖默认启用状态。

此外，如果 一台设备在升级到默认启用凭据保护的 Windows 版本之前，已明确禁用凭据保护。更新后，设备将遵守此停用设置，不会自动开机，除非使用管理工具之一再次更改其配置。

系统、硬件、固件和许可要求

这样，凭证卫士才能提供真正的保护。该设备必须满足特定的硬件、固件和软件要求。平台性能越强，可实现的安全级别就越高。

首先， 必须使用 64 位 CPU。 以及与基于虚拟化的安全机制的兼容性。这意味着处理器和主板必须支持相应的虚拟化扩展，并且需要在UEFI/BIOS中激活这些功能。

另一个关键因素是 安全启动（安全启动）安全启动确保系统启动时仅加载受信任的、经过签名的固件和软件。VBS 和 Credential Guard 使用安全启动来防止攻击者修改启动组件，从而禁用或篡改保护机制。

虽然并非强制要求，但强烈建议配备一个。 可信平台模块 (TPM) 版本 1.2 或 2.0无论是独立的还是基于固件的，TPM 都允许将加密密钥与硬件关联起来，这增加了一层额外的安全保障，使得任何试图在其他设备上携带或重复使用这些密钥的人都面临着严重的安全隐患。

强烈建议启用 UEFI 锁定用于 Credential Guard这样可以防止任何拥有系统访问权限的人通过修改注册表项或策略来禁用此保护。启用锁定后，禁用凭据保护需要更加严格和明确的步骤。

在许可领域， 并非所有版本的 Windows 都提供凭据保护功能。一般来说，企业版和教育版都支持此功能：Windows 企业版和 Windows 教育版都支持此功能，而 Windows 专业版或专业教育版/SE 默认情况下不包含此功能。

MGI Credential Guard 的使用权限与特定的订阅许可证绑定。例如 Windows 企业版 E3 和 E5，以及 Windows 教育版 A3 和 A5。专业版虽然运行相同的操作系统二进制文件，但在许可方面，它们不享有这些高级功能。

应用程序兼容性和锁定功能

在大规模部署 Credential Guard 之前建议对依赖特定身份验证机制的应用程序和服务进行全面审查。并非所有旧版软件都能很好地兼容这些保护措施，某些协议甚至会被直接阻止。

启用凭据保护后，被认为有风险的功能将被禁用，以便： 依赖于它们的应用程序将停止正常工作。这些被称为应用要求：如果您想继续无故障地使用 Credential Guard，则必须避免这些条件。

这些特点包括 它们被直接屏蔽了。 包括：

• 兼容Kerberos DES加密。
• 无限制地委派 Kerberos 权限。
• 从 LSA 的 Kerberos 中提取 TGT。
• NTLMv1协议。

另外， 有些功能虽然并非完全禁止，但却会带来额外的风险。 如果与 Credential Guard 结合使用，依赖隐式身份验证、凭据委派、MS-CHAPv2 或 CredSSP 的应用程序尤其敏感，因为如果配置不当，它们可能会不安全地泄露凭据。

他们还观察到 应用程序在尝试绑定或直接与隔离进程交互时会出现性能问题。 LSAIso.exe由于该过程受到保护和隔离，任何重复的访问尝试都可能增加开销或在某些情况下导致速度减慢。

好是 使用 Kerberos 作为标准的现代服务和协议访问 SMB 共享资源或正确配置的远程桌面等功能将继续正常运行，并且不受凭据保护激活的影响，只要它们不依赖于上述旧版功能。

如何启用凭据保护：Intune、GPO 和注册表

激活凭证保护的最佳方式取决于您的环境规模和管理方式。对于拥有现代化管理系统的组织而言，Microsoft Intune（移动设备管理）非常便捷；而在传统的 Active Directory 域中，组策略仍然被广泛使用。对于更精确的调整或特定的自动化操作，注册表仍然是一个可行的选择。

首先，至关重要的是要理解这一点： 在将计算机加入域之前，必须启用凭据保护功能。 或者在域用户首次登录之前激活。如果稍后激活，用户和机器密钥可能已经泄露，从而降低保护的实际效果。

一般来说，您可以通过以下方式启用凭据保护：

• Microsoft Intune/MDM 管理。
• Active Directory 中的组策略 (GPO) 或本地策略编辑器。
• 直接修改Windows注册表。

通过应用这些设置中的任何一项， 请记住，重启设备是必须的。 要使更改生效，Credential Guard、VBS 和所有隔离组件都会在启动时初始化，因此仅仅更改策略是不够的。

使用 Microsoft Intune 激活凭据保护

如果您使用 Intune 管理设备，则有两种方法可供选择。 主要选项：使用端点安全模板或使用通过 OMA-URI 配置 DeviceGuard CSP 的自定义策略。

在 Intune 门户上， 您可以前往“终端安全 > 帐户保护” 并创建一个新的帐户保护策略。选择平台“Windows 10 及更高版本”和配置文件类型“帐户保护”（根据可用版本，可选择不同的变体）。

配置设置时， 将“启用凭据保护”选项设置为“启用并锁定UEFI”。 如果您希望防止远程轻易禁用保护，Credential Guard 会“锚定”在固件中，从而提高设备的物理和逻辑安全级别。

参数定义完成后， 将策略分配给包含要保护的设备或用户对象的组。该策略将在设备与 Intune 同步时应用，并在相应的重启后激活凭据保护。

如果您更喜欢掌控细节， 您可以使用基于 DeviceGuard CSP 的自定义策略。为此，需要创建具有适当名称和值的 OMA-URI 条目，例如：

组态
名称 启用基于虚拟化的安全 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity 资料类型: 整数 勇气: 1
名称 凭证保护配置 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags 资料类型: 整数 勇气: 启用 UEFI 锁: 1 已启用，不阻塞: 2

应用此自定义策略并重启后， 设备启动时将启用 VBS 和 Credential Guard。系统凭证将在隔离容器中受到保护。

使用组策略配置凭据保护

在采用传统 Active Directory 的环境中批量启用凭据保护最自然的方式是通过组策略对象 (GPO)。您可以在单台计算机上的本地策略编辑器中进行操作，也可以在域级别的组策略管理器中进行操作。

要配置策略，请打开相应的 GPO 编辑器并导航到该路径。 计算机配置 > 管理模板 > 系统 > 设备保护在该部分中，您将找到“启用基于虚拟化的安全”策略。

本指令确立了 选择“启用”，然后从下拉列表中选择所需的凭据保护设置。您可以根据想要应用的物理保护级别，选择“启用 UEFI 锁定”或“启用但不锁定”。

GPO配置完成后， 将其链接到目标计算机所在的组织单元或域您可以使用安全组筛选或 WMI 筛选器来微调其应用，使其仅应用于某些类型的设备（例如，仅适用于具有兼容硬件的企业笔记本电脑）。

当机器接收到指令并重新启动时， 将根据 GPO 配置激活凭据保护功能。利用领域基础设施以标准化的方式进行部署。

通过修改 Windows 注册表启用凭据保护

如果您需要非常精细的控制或使用脚本自动部署您可以使用注册表项直接配置凭据保护。此方法需要精确配置，因为错误的值可能会导致系统处于意外状态。

要使基于虚拟化的安全性和凭证保护功能生效， 您必须在特定路径下创建或修改多个条目。要点如下：

组态
鲁塔: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 名称 : EnableVirtualizationBasedSecurity TIPO: REG_DWORD 勇气: 1 （支持基于虚拟化的安全机制）
鲁塔: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 名称 : RequirePlatformSecurityFeatures TIPO: REG_DWORD 勇气: 1 （使用安全启动） 3 （安全启动+DMA保护）
鲁塔: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 名称 : LsaCfgFlags TIPO: REG_DWORD 勇气: 1 （启用带有 UEFI 锁定的凭据保护） 2 （启用凭证保护功能，无需锁定）

应用这些数值后， 重启计算机，以便 Windows 虚拟机管理程序和隔离的 LSA 进程开始运行。如果没有重置，注册表更改实际上不会激活内存保护。

如何检查凭据保护是否已启用并正常工作

看看这个过程是否顺利。 LsaIso.exe 它出现在任务管理器中。 这或许能提供一些线索，但微软并不认为这是确认 Credential Guard 是否正常运行的可靠方法。基于系统内置工具，还有更可靠的方法。

在推荐选项中， 检查凭证保护状态 这些方法包括系统信息、PowerShell 和事件查看器。每种方法都提供不同的视角，因此值得您全部熟悉。

最直观的方法是…… 系统信息（msinfo32.exe)从“开始”菜单运行此工具，选择“系统摘要”，然后检查“正在运行的基于虚拟化的安全服务”部分，以确认“Credential Guard”显示为活动服务。

如果你更喜欢可编写脚本的东西， PowerShell 是您的盟友在具有提升权限的控制台中，您可以运行以下命令：

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

该命令的输出结果使用数字代码指示： 该机器上是否启用了凭据保护？价值 0 表示凭据保护功能已禁用。而 1 表示已激活并正在运行。 作为基于虚拟化的安全服务的一部分。

最后， 事件查看器允许您查看 Credential Guard 的历史行为。开场 eventvwr.exe 通过导航到“Windows 日志 > 系统”，您可以按“WinInit”事件源进行筛选，并查找与 Device Guard 和 Credential Guard 服务初始化相关的消息，这对于定期审核非常有用。

禁用凭据保护并管理 UEFI 锁定

虽然通常建议保持凭证保护功能处于激活状态。 在所有支持此功能的系统中，在某些非常特殊的情况下，可能需要禁用此功能，以解决与旧版应用程序的不兼容性或执行某些诊断任务。

的确切程序 禁用凭据保护取决于其初始配置方式。如果启用该功能时未启用 UEFI 锁定，只需还原 Intune、GPO 或注册表策略并重启即可。但是，如果启用该功能时启用了 UEFI 锁定，则需要执行其他步骤，因为部分配置存储在固件的 EFI 变量中。

在具体情况下 启用凭据保护和 UEFI 锁定首先，您必须按照标准禁用流程（还原指令或注册表值）进行操作，然后使用以下命令删除相关的 EFI 变量： bcdedit 和效用 SecConfig.efi 使用高级脚本。

典型流程包括 挂载临时 EFI 驱动器，复制 SecConfig.efi创建一个新的充电器输入 bcdedit配置选项以禁用隔离 LSA，并通过 Windows 启动管理器设置临时启动顺序，并在过程结束时卸载驱动器。

使用此配置重启计算机后， Windows 启动前，会显示一条消息，警告 UEFI 发生了更改。确认此消息是必要的，这样更改才能持久生效，并且才能真正禁用固件中的 Credential Guard EFI 锁定。

如果您需要的是 禁用特定 Hyper-V 虚拟机上的凭据保护您可以使用 PowerShell 从主机执行此操作，而无需操作虚拟机。一个典型的命令是：

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

经过这样的调整，虚拟机 它停止使用 VBS，因此也停止运行 Credential Guard。 即使客户操作系统支持该功能，该功能在非常特定的实验室或测试环境中也可能很有用。

Hyper-V 虚拟机上的凭证保护

证件保管不仅限于实体设备。它还可以保护在 Hyper-V 环境中运行 Windows 的虚拟机内的凭据，提供与裸机硬件类似的隔离级别。

在这种情况下， 凭证防护功能可保护密钥免受来自虚拟机内部的攻击。换句话说，如果攻击者破坏了虚拟机内的系统进程，VBS 保护将继续隔离 LSA 并减少哈希值和票据的暴露。

但是，明确限制条件非常重要： Credential Guard 无法保护虚拟机免受来自主机的攻击。 凭借提升的权限，虚拟机管理程序和宿主机系统实际上对虚拟机拥有完全控制权，因此恶意宿主机管理员可以绕过这些安全屏障。

为了使凭证保护功能在这些类型的部署中正常运行， Hyper-V 主机必须具有 IOMMU （输入/输出内存管理单元）允许隔离对内存和设备的访问，虚拟机必须是 第二代，带UEFI固件从而实现安全启动和其他必要功能。

在这些要求到位的情况下， 在虚拟机上使用 Credential Guard 的体验与在物理机上使用非常相似。包括相同的激活方法（Intune、GPO、注册表）和验证方法（msinfo32、PowerShell、事件查看器）。

Exploit Guard 和 Microsoft Defender：激活和管理常规保护

除了 Credential Guard 之外，Windows 安全生态系统还依赖于 Microsoft Defender 防病毒软件。 以及 Exploit Guard 等技术，其中包括攻击面缩减规则、网络保护、文件夹访问控制和其他旨在减缓恶意软件速度和缓解漏洞利用的功能。

在很多团队中， 微软Defender防病毒软件默认预装并已激活。 在 Windows 8、Windows 10 和 Windows 11 中，该功能可用，但由于之前的策略、安装第三方解决方案或手动更改注册表，该功能被禁用的情况相对常见。

至 使用本地组策略激活 Microsoft Defender 防病毒软件您可以打开“开始”菜单，搜索“组策略”，然后选择“编辑组策略”。在“计算机配置 > 管理模板 > Windows 组件 > Windows Defender 防病毒软件”中，您会看到“关闭 Windows Defender 防病毒软件”选项。

如果此策略设置为“已启用”，则表示强制禁用防病毒软件。 要恢复其功能，请将选项设置为“已禁用”或“未配置”。应用更改并关闭编辑器。服务将在下次策略更新后重新启动。

如果当时 Defender 已在注册表中明确禁用。你需要查看一下路线。 HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender 并找到该值 DisableAntiSpyware使用注册表编辑器，您可以打开它并将其“数值数据”设置为 0接受更改，使杀毒软件能够再次正常运行。

完成这些调整后，转到“开始 > 设置 > 更新和安全 > Windows Defender”（在较新版本中为“Windows 安全中心”）， 确认“实时保护”开关已启用如果仍然处于关闭状态，请手动将其打开，以确保防病毒防御功能随系统启动而启动。

为了获得最大程度的保护，建议 启用实时保护和云端保护。从“Windows 安全中心”应用程序中，转到“病毒和威胁防护 > 病毒和威胁防护设置 > 管理设置”，然后激活相应的开关。

如果这些选项不可见，则很可能是： 组策略隐藏了防病毒保护部分。 在 Windows 安全中心，检查“计算机配置 > 管理模板 > Windows 组件 > Windows 安全中心 > 病毒和威胁防护”，确保“隐藏病毒和威胁防护区域”策略设置为“已禁用”，然后应用更改。

同样重要 保持病毒定义更新 这样可以让 Microsoft Defender 检测到最新的威胁。在 Windows 安全中心，依次点击“病毒和威胁防护”、“威胁防护更新”，然后点击“检查更新”，并允许下载最新的病毒库签名。

如果你更喜欢命令行，那也是一个选择。 您可以从 CMD 启动 Microsoft Defender 服务。. 按 Windows + R，输入 cmd 然后，在命令提示符下（最好以管理员权限运行）：

sc start WinDefend

通过此命令， 主防病毒服务启动 前提是没有其他策略或限制阻止它，这样您就可以快速验证引擎是否能无错误地启动。

要查看您的计算机是否使用 Microsoft Defender，只需依次点击“开始”>“设置”>“系统”，然后打开“控制面板”。在“安全和维护”部分，您会找到“系统安全和保护”选项。 您将看到防病毒保护状态和其他已启用措施的摘要。 在团队中。

通过结合 凭证保护装置用于保护内存中的凭证 通过正确配置 Microsoft Defender、Exploit Guard 和适当的安全加固规则，可以显著提高抵御凭据窃取、高级恶意软件和域内横向移动的安全级别。虽然与旧协议和应用程序的兼容性总会带来一些成本，但对于大多数组织而言，整体安全性的提升足以弥补这些成本。