Bật hoặc tắt Bảo vệ thông tin xác thực trong Windows 10

Bật hoặc tắt Bảo vệ thông tin xác thực trong Windows 10:  (Enable or Disable Credential Guard in Windows 10: )Bảo vệ(Windows Credential Guard) thông tin đăng nhập Windows sử dụng bảo mật dựa trên ảo hóa để cô lập các bí mật để chỉ phần mềm hệ thống đặc quyền mới có thể truy cập chúng. Truy cập trái phép vào những bí mật này có thể dẫn đến các cuộc tấn công đánh cắp thông tin xác thực, chẳng hạn như Pass-the-Hash hoặc Pass-The-Ticket . Windows Credential Guard ngăn chặn các cuộc tấn công này bằng cách bảo vệ các băm mật khẩu NTLM , Vé cấp Kerberos Ticket(Kerberos Ticket Granting Tickets) và thông tin xác thực được các ứng dụng lưu trữ dưới dạng thông tin xác thực miền.

Bật hoặc tắt Bảo vệ thông tin xác thực trong Windows 10

Bằng cách bật Windows Credential Guard, các tính năng và giải pháp sau được cung cấp:(By enabling Windows Credential Guard the following features and solutions are provided:)

Bảo mật phần cứng Bảo mật (Hardware security)
dựa trên ảo hóa (Virtualization-based security)
Bảo vệ tốt hơn trước các mối đe dọa liên tục nâng cao(Better protection against advanced persistent threats)

Bây giờ bạn đã biết tầm quan trọng của Trình bảo vệ(Credential Guard) thông tin xác thực , bạn chắc chắn nên bật tính năng này cho hệ thống của mình. Vì vậy, không lãng phí thời gian, hãy xem Cách bật hoặc tắt tính năng bảo vệ(Disable Credential Guard) thông tin xác thực trong Windows 10 với sự trợ giúp của hướng dẫn được liệt kê dưới đây.

Bật hoặc tắt tính năng bảo vệ(Guard) thông tin xác thực trong Windows 10

Đảm bảo  tạo điểm khôi phục(create a restore point)  đề phòng xảy ra sự cố.

Phương pháp 1: Bật hoặc tắt Bảo vệ thông tin xác thực trong Windows 10 bằng Trình chỉnh sửa chính sách nhóm(Method 1: Enable or Disable Credential Guard in Windows 10 using Group Policy Editor)

Lưu ý:(Note:) Phương pháp này chỉ hoạt động nếu bạn có Windows Pro , Education hoặc Enterprise Edtion . Đối với phiên bản Windows Home , người dùng bỏ qua phương pháp này và làm theo phương pháp tiếp theo.

1. Nhấn Windows Key + R, sau đó nhập regedit và nhấn Enter để mở Group Policy Editor.

Chạy lệnh regedit

2. Điều hướng đến đường dẫn sau:

Computer Configuration > Administrative Templates > System > Device Guard

3. Đảm bảo chọn Device Guard hơn là trong khung cửa sổ bên phải, nhấp đúp vào chính sách “Bật bảo mật dựa trên ảo hóa”(“Turn On Virtualization Based Security”) .

Nhấp đúp vào Bật Chính sách bảo mật dựa trên ảo hóa

4. Trong cửa sổ Thuộc tính(Properties) của chính sách trên, hãy đảm bảo chọn Đã bật.(Enabled.)

Đặt Bật bảo mật dựa trên ảo hóa thành Đã bật

5.Bây giờ từ menu thả xuống “ Chọn mức bảo mật nền tảng ”, hãy chọn (Select Platform Security Level)Khởi động an toàn hoặc Khởi động an toàn và( Secure Boot or Secure Boot and DMA) Bảo vệ DMA.

Từ menu thả xuống Chọn Mức bảo mật nền tảng, hãy chọn Khởi động an toàn hoặc Khởi động an toàn và Bảo vệ DMA

6.Tiếp theo, từ menu thả xuống “ Cấu hình bảo vệ thông tin xác thực”, chọn (Credential Guard Configuration)Bật với khóa UEFI(Enabled with UEFI lock) . Nếu bạn muốn tắt Bảo vệ(Credential Guard) thông tin xác thực từ xa, hãy chọn Đã bật mà không khóa thay vì Đã bật với khóa UEFI .

7. Sau khi hoàn tất, nhấp vào Áp dụng(Apply) , sau đó nhấp vào OK.

8. Khởi động lại PC của bạn để lưu các thay đổi.

Phương pháp 2: Bật hoặc tắt Bảo vệ thông tin xác thực trong Windows 10 bằng Trình chỉnh sửa sổ đăng ký(Method 2: Enable or Disable Credential Guard in Windows 10 using Registry Editor)

Credential Guard sử dụng các tính năng bảo mật dựa trên ảo hóa phải được bật trước từ tính năng của Windows trước khi bạn có thể bật hoặc tắt Credential Guard trong Registry Editor . Đảm(Make) bảo chỉ sử dụng một trong các phương pháp được liệt kê dưới đây để bật các tính năng bảo mật dựa trên ảo hóa.

Thêm các tính năng bảo mật dựa trên ảo hóa bằng cách sử dụng Chương trình và Tính năng(Add the virtualization-based security features by using Programs and Features)

1. Nhấn phím Windows + R, sau đó nhập appwiz.cpl và nhấn Enter để mở Chương trình và Tính năng.(Program and Features.)

gõ appwiz.cpl và nhấn Enter để mở Chương trình và Tính năng

2. Từ cửa sổ bên trái, nhấp vào “ Bật hoặc tắt các tính năng của Windows(Turn Windows Features on or off) ”.

bật hoặc tắt các tính năng của cửa sổ

3.Tìm và mở rộng Hyper-V , sau đó mở rộng Hyper-V Platform tương tự .

4.Dưới dấu kiểm(checkmark) Nền tảng Hyper-V “ Hyper-V Hypervisor ”.

Trong dấu kiểm Nền tảng Hyper-V Hyper-V Hypervisor

5.Bây giờ cuộn xuống và đánh dấu chọn “Chế độ người dùng bị cô lập”(checkmark “Isolated User Mode”) và nhấp vào OK.

Thêm các tính năng bảo mật dựa trên ảo hóa vào hình ảnh ngoại tuyến bằng cách sử dụng DISM(Add the virtualization-based security features to an offline image by using DISM)

1. Nhấn phím Windows Key + X rồi chọn Command Prompt (Admin).

dấu nhắc lệnh với quyền quản trị

Nhập lệnh sau vào cmd để thêm Hyper-V Hypervisor và nhấn Enter :

dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
OR
dism /Online /Enable-Feature:Microsoft-Hyper-V /All

Thêm các tính năng bảo mật dựa trên ảo hóa vào hình ảnh ngoại tuyến bằng cách sử dụng DISM

3.Thêm tính năng Chế độ người dùng cô lập(Isolated User Mode) bằng cách chạy lệnh sau:

dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode
OR
dism /Online /Enable-Feature /FeatureName:IsolatedUserMode

Thêm tính năng Chế độ người dùng cô lập

4. Sau khi hoàn tất, bạn có thể đóng dấu nhắc lệnh.

Bật hoặc tắt Bảo vệ thông tin xác thực trong Windows 10(Enable or Disable Credential Guard in Windows 10)

1. Nhấn Windows Key + R, sau đó nhập regedit và nhấn Enter để mở Registry Editor.

Chạy lệnh regedit

2. Điều hướng đến khóa đăng ký sau:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

3. Nhấp chuột phải vào DeviceGuard rồi chọn New > DWORD (32-bit) Value.

Nhấp chuột phải vào DeviceGuard rồi chọn Giá trị DWORD mới (32-bit)

4.Đặt tên DWORD mới tạo này là EnableVirtualizationBasedSecurity và nhấn Enter.

Đặt tên cho DWORD mới được tạo này là EnableVirtualizationBasedSecurity và nhấn Enter

5. Nhấp đúp vào EnableVirtualizationBasedSecurity DWORD , sau đó thay đổi giá trị của nó thành:

Để bật bảo mật dựa trên ảo hóa: 1 (To Enable Virtualization-based Security: 1)
Để tắt bảo mật dựa trên ảo hóa: 0(To Disable Virtualization-based Security: 0)

Để kích hoạt bảo mật dựa trên ảo hóa, hãy thay đổi giá trị của DWORD thành 1

6.Bây giờ , nhấp chuột phải một lần nữa vào DeviceGuard , sau đó chọn New > DWORD (32-bit) Value và đặt tên DWORD này là RequiPlatformSecurityFeatures(RequirePlatformSecurityFeatures) rồi nhấn Enter.

Đặt tên cho DWORD này là RequestPlatformSecurityFeatures rồi nhấn Enter

7. Nhấp đúp vào RequestPlatformSecurityFeatures DWORD (RequirePlatformSecurityFeatures) (DWORD) thay đổi giá trị của nó thành 1 để chỉ sử dụng Secure Boot hoặc  (change it’s value to 1 to use Secure Boot only or )đặt nó thành 3 để sử dụng Secure Boot và bảo vệ DMA.(set it to 3 to use Secure Boot and DMA protection.)

Thay đổi giá trị của nó thành 1 để chỉ sử dụng Khởi động an toàn hoặc đặt thành 3 để sử dụng Khởi động an toàn và bảo vệ DMA.

8.Bây giờ điều hướng đến khóa đăng ký sau:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

9. Nhấp chuột phải vào LSA, sau đó chọn New > DWORD (32-bit) Value , sau đó đặt tên DWORD này là LsaCfgFlags và nhấn Enter.

Nhấp chuột phải vào LSA, sau đó chọn New rồi chọn Giá trị DWORD (32-bit)

10. Nhấp đúp vào LsaCfgFlags DWORD và thay đổi giá trị của nó theo:

Tắt bảo vệ thông tin xác thực: 0 (Disable Credential Guard: 0)
Bật bảo vệ thông tin xác thực với khóa UEFI: 1 (Enable Credential Guard with UEFI lock: 1)
Bật bảo vệ thông tin xác thực mà không khóa: 2(Enable Credential Guard without lock: 2)

Nhấp đúp vào LsaCfgFlags DWORD và thay đổi giá trị của nó theo

11. Sau khi hoàn tất, đóng Registry Editor .

Tắt bảo vệ thông tin xác thực trong Windows 10(Disable Credential Guard in Windows 10)

Nếu Trình bảo vệ(Credential Guard) thông tin xác thực được bật mà không có Khóa UEFI(UEFI Lock) thì bạn có thể  Vô hiệu hóa Trình bảo vệ thông tin xác thực của Windows( Disable Windows Credential Guard) bằng cách sử dụng công cụ sẵn sàng phần cứng Bảo vệ thông tin thiết bị và Bảo vệ(Device Guard and Credential Guard hardware readiness tool) thông tin xác thực hoặc phương pháp sau:

1. Nhấn Windows Key + R, sau đó nhập regedit và nhấn Enter để mở Registry Editor.

Chạy lệnh regedit

2. Điều hướng và xóa các khóa đăng ký sau:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

Tắt tính năng bảo vệ thông tin đăng nhập của Windows

3. Xóa các biến EFI của Windows Credential Guard bằng cách sử dụng bcdedit(Delete the Windows Credential Guard EFI variables by using bcdedit) . Nhấn Windows Key + X rồi chọn Command Prompt (Admin).

dấu nhắc lệnh với quyền quản trị

Nhập lệnh sau vào cmd và nhấn Enter :

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

5. Sau khi hoàn tất, đóng dấu nhắc lệnh và khởi động lại PC của bạn.

6. Chấp nhận lời nhắc vô hiệu hóa Windows Credential Guard .

Khuyến khích:(Recommended:)

Như vậy là bạn đã học thành công Cách Bật hoặc Tắt Bảo vệ Thông tin xác thực trong Windows 10(How to Enable or Disable Credential Guard in Windows 10) nhưng nếu bạn vẫn có bất kỳ thắc mắc nào liên quan đến hướng dẫn này, vui lòng hỏi họ trong phần nhận xét.



Sa Quế

About the author

Tôi là nhà phát triển iPhone và macOS có kinh nghiệm trong cả Windows 11/10 và nền tảng iOS mới nhất của Apple. Với hơn 10 năm kinh nghiệm, tôi hiểu sâu sắc về cách tạo và quản lý tệp trên cả hai nền tảng. Kỹ năng của tôi không chỉ đơn thuần là tạo tệp - tôi còn có kiến ​​thức vững chắc về các sản phẩm của Apple, các tính năng của chúng và cách sử dụng chúng.


Related posts