如何啟動 Microsoft Defender 憑證保護和漏洞保護

保護 Windows 系統中的憑證並加強系統防禦漏洞 在任何現代商業環境中，安全防護幾乎已成為必備技能。諸如哈希傳遞、票據傳遞或利用零日漏洞等攻擊，會利用配置中的任何疏忽，在網路中橫向移動，並在幾分鐘內控制伺服器和工作站。

在這種情況下， Microsoft Defender 憑證保護與漏洞保護技術 （連同 Microsoft Defender 防毒引擎）是 Windows 10、Windows 11 和 Windows Server 安全性原則的關鍵元件。接下來，我們將逐步詳細介紹它們的工作原理、要求，以及如何使用 Intune、群組原則、登錄、PowerShell 和其他工具正確啟用或停用它們，同時避免不必要的相容性問題。

什麼是 Microsoft Defender Credential Guard？為什麼它如此重要？

Windows Defender 憑證保護是一項安全性功能。 微軟在 Windows 10 企業版和 Windows Server 2016 中引進了這項功能，它依賴基於虛擬化的安全機制 (VBS) 來隔離驗證金鑰。與本地安全機構 (LSA) 直接管理記憶體中的憑證不同，VBS 使用一個獨立的 LSA 進程。LSAIso.exe在受保護的環境中執行。

由於這種隔離， 只有具有相應權限的系統軟體才能存取 NTLM 雜湊和 Kerberos 票據 (TGT)。憑證管理員所使用的憑證、本機登入憑證以及遠端桌面等連線中所使用的憑證均已失效。任何試圖直接讀取傳統 LSA 進程記憶體的惡意程式碼都會發現這些金鑰已遺失。

這種方法大大降低了傳統後滲透工具（例如）的有效性。 Mimikatz 用於哈希傳遞或票據傳遞攻擊這是因為以前很容易提取的雜湊值和票據現在儲存在記憶體中的隔離容器中，即使惡意軟體在受感染的系統上擁有管理員權限，也無法輕易存取這些容器。

值得澄清的是 憑證保護與設備保護並不相同。Credential Guard 用於保護憑證和金鑰，而 Device Guard（以及相關的應用程式控制技術）則專注於防止未經授權的程式碼在電腦上執行。它們相輔相成，但解決的問題各不相同。

即使這樣 憑證防護並非抵禦 Mimikatz 攻擊或內部攻擊者的萬全之策。攻擊者如果已經控制了終端，就可以在使用者輸入憑證時將其捕獲（例如，使用鍵盤記錄器或在身份驗證過程中註入程式碼）。此外，它也無法阻止擁有合法存取權限的員工複製或竊取資料；憑證保護機制保護的是記憶體中的憑證，而不是使用者行為。

Windows 11 和 Windows Server 中預設啟用憑證保護 (Credential Guard)。

在現代版本的 Windows 系統中，Credential Guard 在許多情況下會自動啟動。從 Windows 11 22H2 和 Windows Server 2025 開始，滿足某些硬體、韌體和設定要求的裝置將預設啟用 VBS 和 Credential Guard，而無需管理員執行任何操作。

在這些系統中， 預設啟用操作無需 UEFI 鎖定。這意味著，雖然憑證保護功能預設為啟用，但管理員稍後可以透過群組原則、Intune 或其他方法遠端停用它，因為韌體中尚未啟動鎖定選項。

當 憑證保護已激活，基於虛擬化的安全性（VBS）也已啟用。VBS 是創建受保護環境的元件，LSA 在該環境中被隔離，密鑰也儲存在該環境中，因此這兩個功能在這些版本中是相輔相成的。

一個重要的細微差別是： 管理員明確配置的值始終優先。 高於預設設定。如果透過 Intune、群組原則物件 (GPO) 或登錄啟用或停用憑證保護，則該手動設定會在電腦重新啟動後覆寫預設啟用狀態。

此外，如果 一台裝置在升級到預設啟用憑證保護的 Windows 版本之前，已明確停用憑證保護。更新後，設備將遵守此停用設置，不會自動開機，除非使用管理工具之一再次更改其配置。

系統、硬體、韌體和許可證要求

這樣，憑證衛士才能提供真正的保護。該設備必須滿足特定的硬體、韌體和軟體要求。平台效能越強，可實現的安全等級越高。

首先， 必須使用 64 位元 CPU。 以及與基於虛擬化的安全機制的兼容性。這意味著處理器和主機板必須支援相應的虛擬化擴展，並且需要在UEFI/BIOS中啟動這些功能。

另一個關鍵因素是 安全啟動（安全啟動）安全啟動確保系統啟動時僅載入受信任的、經過簽署的韌體和軟體。 VBS 和 Credential Guard 使用安全啟動來防止攻擊者修改啟動元件，從而停用或篡改保護機制。

雖然並非強制要求，但強烈建議配備一個。 可信任平台模組 (TPM) 版本 1.2 或 2.0無論是獨立的還是基於韌體的，TPM 都允許將加密金鑰與硬體關聯起來，這增加了一層額外的安全保障，使得任何試圖在其他裝置上攜帶或重複使用這些金鑰的人都面臨著嚴重的安全隱患。

強烈建議啟用 UEFI 鎖定用於 Credential Guard這樣可以防止任何擁有系統存取權限的人透過修改註冊表項或政策來停用此保護。啟用鎖定後，停用憑證保護需要更嚴格和明確的步驟。

在許可領域， 並非所有版本的 Windows 都提供憑證保護功能。一般來說，企業版和教育版都支援此功能：Windows 企業版和 Windows 教育版均支援此功能，而 Windows 專業版或專業教育版/SE 版預設不包含此功能。

很多 Credential Guard 的使用權限與特定的訂閱授權綁定。例如 Windows 企業版 E3 和 E5，以及 Windows 教育版 A3 和 A5。專業版雖然運行相同的作業系統二進位文件，但在許可方面，它們不享有這些高級功能。

應用程式相容性和鎖定功能

在大規模部署 Credential Guard 之前建議對依賴特定身份驗證機制的應用程式和服務進行全面審查。並非所有舊版軟體都能很好地相容於這些保護措施，某些協定甚至會被直接阻止。

啟用憑證保護後，被認為有風險的功能將被停用，以便： 依賴它們的應用程式將停止正常工作。這些稱為應用程式要求：如果您想繼續無故障地使用 Credential Guard，則必須避免這些條件。

這些特點包括 它們被直接屏蔽了。 脫穎而出：

• 相容於Kerberos DES加密。
• 無限制地委派 Kerberos 權限。
• 從 LSA 的 Kerberos 中提取 TGT。
• NTLMv1協定。

另外， 有些功能雖然並非完全禁止，但卻會帶來額外的風險。 如果與 Credential Guard 結合使用，依賴隱式身份驗證、憑證委派、MS-CHAPv2 或 CredSSP 的應用程式尤其敏感，因為如果配置不當，它們可能會不安全地洩露憑證。

他們也觀察到 應用程式在嘗試綁定或直接與隔離進程互動時會出現效能問題。 LSAIso.exe由於該過程受到保護和隔離，任何重複的存取嘗試都可能增加開銷或在某些情況下導致速度減慢。

好是 使用 Kerberos 作為標準的現代服務和協議存取 SMB 共享資源或正確配置的遠端桌面等功能將繼續正常運行，並且不受憑證保護啟動的影響，只要它們不依賴上述舊版功能。

如何啟用憑證保護：Intune、GPO 和註冊表

啟動憑證保護的最佳方式取決於您的環境規模和管理方式。對於擁有現代化管理系統的組織而言，Microsoft Intune（行動裝置管理）非常便捷；而在傳統的 Active Directory 網域中，群組原則仍被廣泛使用。對於更精確的調整或特定的自動化操作，註冊表仍然是可行的選擇。

首先，至關重要的是要理解這一點： 在將電腦加入網域之前，必須啟用憑證保護功能。 或在網域使用者首次登入之前啟動。如果稍後激活，用戶和機器密鑰可能已經洩露，從而降低保護的實際效果。

一般來說，您可以透過以下方式啟用憑證保護：

• Microsoft Intune/MDM 管理。
• Active Directory 中的群組原則 (GPO) 或本機原則編輯器。
• 直接修改Windows註冊表。

透過應用這些設定中的任何一項， 請記住，重啟設備是必須的。 要使變更生效，Credential Guard、VBS 和所有隔離元件都會在啟動時初始化，因此僅僅更改策略是不夠的。

使用 Microsoft Intune 啟動憑證保護

如果您使用 Intune 管理設備，則有兩種方法可供選擇。 主要選項：使用端點安全範本或使用透過 OMA-URI 設定 DeviceGuard CSP 的自訂策略。

在 Intune 入口網站上， 您可以前往“終端安全 > 帳戶保護” 並建立一個新的帳戶保護策略。選擇平台「Windows 10 及更高版本」和設定檔類型「帳戶保護」（根據可用版本，可選擇不同的變體）。

配置設定時， 將「啟用憑證保護」選項設定為「啟用並鎖定UEFI」。 如果您希望防止遠端輕易停用保護，Credential Guard 會「錨定」在韌體中，從而提高裝置的實體和邏輯安全等級。

參數定義完成後， 將政策指派給包含要保護的裝置或使用者物件的群組。此策略將在裝置與 Intune 同步時套用，並在相應的重新啟動後啟動憑證保護。

如果您喜歡掌控細節， 您可以使用基於 DeviceGuard CSP 的自訂策略。為此，需要建立具有適當名稱和值的 OMA-URI 條目，例如：

組態
名啟用基於虛擬化的安全 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/EnableVirtualizationBasedSecurity 資料類型:int 勇氣: 1
名憑證保護配置 OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceGuard/LsaCfgFlags 資料類型:int 勇氣: 啟用 UEFI 鎖: 1 已啟用，不阻塞: 2

應用此自訂策略並重新啟動後， 設備啟動時將啟用 VBS 和 Credential Guard。系統憑證將在隔離容器中受到保護。

使用群組原則設定憑證保護

在採用傳統 Active Directory 的環境中批量啟用憑證保護最自然的方式是透過群組原則物件 (GPO)。您可以在單一電腦上的本機原則編輯器中進行操作，也可以在網域層級的群組原則管理員中進行操作。

若要設定策略，請開啟對應的 GPO 編輯器並導覽至該路徑。 電腦設定 > 管理範本 > 系統 > 設備保護在該部分中，您將找到「啟用基於虛擬化的安全性」策略。

本指令確立了 選擇“啟用”，然後從下拉清單中選擇所需的憑證保護設定。您可以根據想要套用的實體保護級別，選擇「啟用 UEFI 鎖定」或「啟用但不鎖定」。

GPO配置完成後， 將其連結到目標電腦所在的組織單元或網域您可以使用安全群組篩選或 WMI 篩選器來微調其應用，使其僅應用於某些類型的裝置（例如，僅適用於具有相容硬體的企業筆記型電腦）。

當機器接收到指令並重新啟動時， 將根據 GPO 配置啟動憑證保護功能。利用領域基礎架構以標準化的方式進行部署。

透過修改 Windows 登錄啟用憑證保護

如果您需要非常精細的控製或使用腳本自動部署您可以使用註冊表項直接設定憑證保護。此方法需要精確配置，因為錯誤的值可能會導致系統處於意外狀態。

要使基於虛擬化的安全性和憑證保護功能生效， 您必須在特定路徑下建立或修改多個條目。要點如下：

組態
路線: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 名: EnableVirtualizationBasedSecurity TIPO: REG_DWORD 勇氣: 1 （支援基於虛擬化的安全機制）
路線: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard 名: RequirePlatformSecurityFeatures TIPO: REG_DWORD 勇氣: 1 （使用安全啟動） 3 （安全啟動+DMA保護）
路線: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 名: LsaCfgFlags TIPO: REG_DWORD 勇氣: 1 （啟用具有 UEFI 鎖定的憑證保護） 2 （啟用憑證保護功能，無需鎖定）

應用這些數值後， 重新啟動計算機，以便 Windows 虛擬機器管理程式和隔離的 LSA 程序開始運作。如果沒有重置，註冊表更改實際上不會啟動記憶體保護。

如何檢查憑證保護是否已啟用並正常運作

看看這個過程是否順利。 LsaIso.exe 它出現在任務管理器中。 這或許能提供一些線索，但微軟並不認為這是確認 Credential Guard 是否正常運作的可靠方法。基於系統內建工具，還有更可靠的方法。

在推薦選項中， 檢查憑證保護狀態 這些方法包括系統資訊、PowerShell 和事件檢視器。每種方法都提供不同的視角，因此值得您全部熟悉。

最直觀的方法是… 系統資訊（msinfo32.exe)從“開始”功能表執行此工具，選擇“系統摘要”，然後檢查“正在執行的基於虛擬化的安全服務”部分，以確認“Credential Guard”顯示為活動服務。

如果你更喜歡可編寫腳本的東西， PowerShell 是您的盟友在具有提升權限的控制台中，您可以執行以下命令：

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

此指令的輸出結果使用數字代碼指示： 該機器上是否啟用了憑證保護？價值 0 表示憑證保護功能已停用。而 1 表示已啟動並正在運行。 作為基於虛擬化的安全服務的一部分。

最後， 事件檢視器可讓您查看 Credential Guard 的歷史行為。開場 eventvwr.exe 透過導覽至“Windows 日誌 > 系統”，您可以按“WinInit”事件來源進行篩選，並尋找與 Device Guard 和 Credential Guard 服務初始化相關的訊息，這對於定期審核非常有用。

停用憑證保護並管理 UEFI 鎖定

雖然通常建議保持憑證保護功能處於啟動狀態。 在所有支援此功能的系統中，在某些非常特殊的情況下，可能需要停用此功能，以解決與舊版應用程式的不相容性或執行某些診斷任務。

具體步驟 停用憑證保護取決於其初始配置方式。若啟用功能時未啟用 UEFI 鎖定，只需還原 Intune、GPO 或登錄機碼並重新啟動即可。但是，如果啟用該功能時啟用了 UEFI 鎖定，則需要執行其他步驟，因為部分配置儲存在韌體的 EFI 變數中。

在具體情況下 啟用憑證保護和 UEFI 鎖定首先，您必須依照標準停用流程（還原指令或登錄值）進行操作，然後使用下列指令刪除相關的 EFI 變數： bcdedit 和效用 SecConfig.efi 使用進階腳本。

典型流程包括 掛載臨時 EFI 驅動器，複製 SecConfig.efi建立一個新的充電器輸入 bcdedit配置選項以停用隔離 LSA，並透過 Windows 啟動管理器設定臨時啟動順序，並在程序結束時卸載磁碟機。

使用此配置重新啟動電腦後， Windows 啟動前，會顯示一則訊息，警告 UEFI 發生了變更。確認此訊息是必要的，這樣更改才能持久生效，並且才能真正停用韌體中的 Credential Guard EFI 鎖定。

如果您需要的是 停用特定 Hyper-V 虛擬機器上的憑證保護您可以使用 PowerShell 從主機執行此操作，而無需操作虛擬機器。一個典型的命令是：

Set-VMSecurity -VMName <NombreDeLaVM> -VirtualizationBasedSecurityOptOut $true

經過這樣的調整，虛擬機 它停止使用 VBS，因此也停止執行 Credential Guard。 即使客戶作業系統支援該功能，該功能在非常特定的實驗室或測試環境中也可能很有用。

Hyper-V 虛擬機器上的憑證保護

證件保管不僅限於實體設備。它還可以保護在 Hyper-V 環境中執行 Windows 的虛擬機器內的憑證，提供與裸機硬體類似的隔離等級。

在這些情況下， 憑證防護功能可保護金鑰免受來自虛擬機器內部的攻擊。換句話說，如果攻擊者破壞了虛擬機器內的系統進程，VBS 保護將繼續隔離 LSA 並減少雜湊值和票據的曝光。

但是，明確限制條件非常重要： Credential Guard 無法保護虛擬機器免受主機的攻擊。 憑藉提升的權限，虛擬機器管理程式和宿主系統實際上對虛擬機器擁有完全控制權，因此惡意宿主機器管理員可以繞過這些安全屏障。

為了使憑證保護功能在這些類型的部署中正常運行， Hyper-V 主機必須具有 IOMMU （輸入/輸出記憶體管理單元）允許隔離對記憶體和設備的訪問，虛擬機器必須是 第二代，附UEFI韌體從而實現安全啟動和其他必要功能。

在這些要求到位的情況下， 在虛擬機器上使用 Credential Guard 的體驗與在實體機器上使用非常相似。包括相同的啟動方法（Intune、GPO、登錄）和驗證方法（msinfo32、PowerShell、事件檢視器）。

Exploit Guard 和 Microsoft Defender：啟動和管理常規保護

除了 Credential Guard 之外，Windows 安全生態系統還依賴 Microsoft Defender 防毒軟體。 以及 Exploit Guard 等技術，其中包括攻擊面縮減規則、網路保護、資料夾存取控制和其他旨在減緩惡意軟體速度和緩解漏洞利​​用的功能。

在很多團隊中， 微軟Defender防毒軟體預設預先安裝並已啟動。 在 Windows 8、Windows 10 和 Windows 11 中，該功能可用，但由於先前的政策、安裝第三方解決方案或手動變更註冊表，該功能被停用的情況相對常見。

至 使用本機群組原則啟動 Microsoft Defender 防毒軟體您可以開啟“開始”選單，搜尋“群組原則”，然後選擇“編輯群組原則”。在「電腦設定 > 管理範本 > Windows 元件 > Windows Defender 防毒軟體」中，您會看到「關閉 Windows Defender 防毒軟體」選項。

如果此策略設定為“已啟用”，則表示強制停用防毒軟體。 若要恢復其功能，請將選項設為「已停用」或「未配置」。應用更改並關閉編輯器。服務將在下次策略更新後重新啟動。

如果當時 Defender 已在登錄中明確停用。你需要查看一下路線。 HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows/Defender 並找到該值 DisableAntiSpyware使用註冊表編輯器，您可以打開它並將其“數值資料”設定為 0接受更改，使防毒軟體能夠再次正常運作。

完成這些調整後，請前往「開始 > 設定 > 更新與安全性 > Windows Defender」（在較新版本中為「Windows 安全性中心」）， 確認“即時保護”開關已啟用如果仍然處於關閉狀態，請手動將其打開，以確保防毒防禦功能隨系統啟動而啟動。

為了獲得最大程度的保護，建議 啟用即時保護和雲端保護。從“Windows 安全中心”應用程式中，前往“病毒和威脅防護 > 病毒和威脅防護設定 > 管理設定”，然後啟動相應的開關。

如果這些選項不可見，則很可能是： 群組原則隱藏了防毒保護部分。 在 Windows 安全中心，檢查“電腦設定 > 管理範本 > Windows 元件 > Windows 安全中心 > 病毒和威脅防護”，確保“隱藏病毒和威脅防護區域”策略設定為“已停用”，然後套用變更。

同樣重要 保持病毒定義更新 這樣可以讓 Microsoft Defender 偵測到最新的威脅。在 Windows 安全中心，依序點擊“病毒和威脅防護”、“威脅防護更新”，然後點擊“檢查更新”，並允許下載最新的病毒庫簽名。

如果你更喜歡命令列，那也是一個選擇。 您可以從 CMD 啟動 Microsoft Defender 服務。. 按 Windows + R，輸入 cmd 然後，在命令提示字元下（最好以管理員權限執行）：

sc start WinDefend

透過此命令， 主防毒服務啟動 前提是沒有其他策略或限制阻止它，這樣您就可以快速驗證引擎是否能無錯誤地啟動。

若要查看您的電腦是否使用 Microsoft Defender，只需依序點擊“開始”>“設定”>“系統”，然後開啟“控制台”。在“安全性和維護”部分，您會找到“系統安全和保護”選項。 您將看到防毒保護狀態和其他已啟用措施的摘要。 在團隊中。

透過結合 憑證保護裝置用於保護記憶體中的憑證 透過正確配置 Microsoft Defender、Exploit Guard 和適當的安全性加固規則，可以顯著提高抵禦憑證竊取、進階惡意軟體和網域內橫向移動的安全性等級。雖然與舊協議和應用程式的兼容性總是會帶來一些成本，但對於大多數組織而言，整體安全性的提升足以彌補這些成本。