Windows Defender Credential Guard не включается в Windows 10/11 — как активировать и проверить (2025)

Коротко: что проверить сразу

• Виртуализация включена в UEFI: Intel VT-x/VT-d или AMD SVM/IOMMU.
• Secure Boot и TPM 2.0 активны — это улучшает совместимость VBS.
• Windows обновлена, драйверы чипсета и хранилища свежие.

1) Поддержка VBS и статус Device Guard

Самый наглядный способ — окно «Сведения о системе».

• Win+R → msinfo32 → справа найдите блок «Сведения о Device Guard».
• Смотрите строки «Безопасность на основе виртуализации» и «Службы безопасности, требуемые для виртуализации».

PowerShell (Администратор) — выполнять по одной:

Get-CimInstance -ClassName Win32_DeviceGuard | Select-Object SecurityServicesConfigured, SecurityServicesRunning, VirtualizationBasedSecurityStatus
Start-Process msinfo32

Если VirtualizationBasedSecurityStatus 1/2 — VBS активен. В списке служб ищите Credential Guard.

2) Включаем виртуализацию в UEFI/BIOS

• Intel: включите VT-x (Intel Virtualization) и VT-d (Directed I/O).
• AMD: включите SVM и IOMMU (AMD‑Vi).
• Режим загрузки UEFI и Secure Boot — включены, TPM 2.0 — включён.

Сохраните настройки и перезагрузите ПК. Если после этого VBS все ещё «Выключен» — идём дальше.

3) Включаем Credential Guard через интерфейс/политику

Способ А. Интерфейс (если доступен): «Параметры» → «Конфиденциальность и безопасность» → «Безопасность Windows» → «Безопасность устройства» → «Изоляция ядра». Включите элементы защиты. На части устройств есть пункт Credential Guard.

Способ Б. Локальная групповая политика:

1. Win+R → gpedit.msc
2. «Конфигурация компьютера» → «Административные шаблоны» → «Система» → Device Guard.
3. Откройте «Включить безопасность на основе виртуализации» → «Включено». Платформенная безопасность: «Только Secure Boot» или «Secure Boot и DMA».
4. Ниже — «Настроить Credential Guard»: выберите «Включено с UEFI-блокировкой» (предпочтительно) или «Включено без блокировки».
5. Win+R → cmd (Администратор) → применяем политику.

Командная строка (Администратор) — выполнять по одной:

gpupdate /force
shutdown /r /t 5

4) Включаем через реестр (штатно для всех редакций)

Если редакция Windows Home или параметров в gpedit нет — используем реестр. Это официальный способ: те же ключи, что ставит политика.

Командная строка (Администратор) — выполнять по одной:

REM Включить VBS
reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v EnableVirtualizationBasedSecurity /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v RequirePlatformSecurityFeatures /t REG_DWORD /d 1 /f

REM Опционально включить HVCI (целостность памяти)
reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard /v HypervisorEnforcedCodeIntegrity /t REG_DWORD /d 1 /f

REM Включить Credential Guard (как делает политика)
reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /v LsaCfgFlags /t REG_DWORD /d 1 /f

REM Обеспечить запуск гипервизора
bcdedit /set hypervisorlaunchtype Auto

После записи ключей перезагрузите ПК.

5) Проверяем, что Credential Guard действительно работает

• Откройте msinfo32 и посмотрите «Сведения о Device Guard»: там должна появиться строка о работающем Credential Guard.
• Проверьте PowerShell-командой ниже.

PowerShell (Администратор) — выполнять по одной:

$dg = Get-CimInstance -ClassName Win32_DeviceGuard
$dg.SecurityServicesRunning, $dg.SecurityServicesConfigured, $dg.VirtualizationBasedSecurityStatus
Start-Process msinfo32

6) Если не включается: типичные причины

• Виртуализация отключена — включите VT‑x/SVM и VT‑d/IOMMU в UEFI.
• Сторонние гипервизоры — VirtualBox/VMware/ старые драйверы иногда конфликтуют. Удалите устаревшие расширения, сопоставьте режимы.
• Старые драйверы — обновите чипсет/Storage/видео, особенно если включали HVCI.
• Загружаетесь в Legacy — переключитесь на UEFI и включите Secure Boot.

UEFI-блокировка (UEFI lock) усложняет откат настроек без входа в прошивку. Включайте её, только если понимаете последствия.