什么是Windows 10中的凭据保护功能

凭据保护 (Credential Guard) 是 Windows 10 中全新引入的安全特性，它主要采用虚拟化技术来隔离保护密钥，仅允许有特权的系统软件对密钥进行访问，以防止非法的凭据窃取，有助力保护派生的域凭据。

Windows 10中的凭据保护

凭据保护正如其名，主要用于保护 Windows 10 中的用户凭据。在 Windows 10 之前，操作系统所使用的密钥存储在 LSA (本地安全机构)；而在 Windows 10 中，凭据保护特性会创建一个隔离的虚拟容器对凭据进行存储，连操作系统都不能直接进行访问。

当黑客入侵早期的 Windows 操作系统时，可以直接访问到由算法加密存储在本地内存中的用户凭据，操作系统本身没有太多的保护措施。而在开启凭据保护功能的 Windows 10 中，凭据会被存储到虚拟容器中，从 Windows 10 1511 开始，使用凭据管理器存储的凭据（包括域凭据）也可以置于凭据保护功能的保护下。这样即使系统遭到入侵，凭据也无法被轻易获取走。

总的来说，Windows 10 中的凭据保护功能可以有效保护各种用户凭据散列，这样就在很大程度上加强了操作系统的安全级别。

凭据保护系统要求

然而并非所有 Windows 10 都支持凭据保护功能，该功能对操作系统版本及硬件都有要求：

• 仅支持 Windows 10 企业版
• 支持 UEFI 2.3.1或更高版本及安全启动
• 支持 64 位虚拟化（Intel VT-x 或 AMD-V 和 二级地址转换）
• TPM 2.0 固件

启用凭据保护

1 按下 Windows + X – 在运行中执行 gpedit.msc 打开本地组策略。

2 浏览到计算机配置 – 管理模板 – 系统 – Device Guard，双击打开基于虚拟化的安全。

3 点击「已启用」开启凭据保护功能。

4 在「选择平台安全级别」框中，选择「安全启动」或「安全启动和 DMA 保护」。

启用之后大家可以在 msinfo32.exe 工具的「系统摘要」中查看凭据保护功能是否已经正常运行：