Intune - Activation de Credential Guard via Microsoft Intune

Présentation rapide de la solution

Credential Guard, introduit avec Windows 10, utilise la sécurité basée via la virtualisation pour conteneuriser le processus d'authentification LSASS.

 

Cette solution vous protège contre la collecte d'informations d'identification en exécutant LSASS dans une machine virtuelle distincte sur le client afin d'éviter qu'une personne malveillante récupère vos informations d'authentification en dumpant par exemple le process d'authentification qui stocke vos identifiants NTLM et Kerberos.

Mise en œuvre de la solution via Microsoft Intune

Les prérequis matériel et logiciel

• Prise en charge de la sécurité basée sur la virtualisation (obligatoire)
• Démarrage sécurisé (obligatoire)
• Les versions 1.2 et 2.0 du module de plateforme fiable (TPM, preferred - fournit une liaison au matériel) sont pris en charge, qu’elles soient discrètes ou microprogrammes.
• Verrouillage UEFI (recommandé: empêche l’intrus de le désactiver à l’aide d’un simple changement de clé de registre
• CPU 64bits
• Extensions de virtualisation du processeur + tables de pages étendues
• Windows hyperviseur (ne nécessite pas l’installation de Windows Hyper-V)

Configuration et déploiement du profil de configuration dans Microsoft Intune

Aller dans la console MEM, puis dans Appareils \ Profils de configuration \ Créer un Profil

Puis sélectionner Windows 10 et ultérieur \ Modèles \ Endpoint protection 

Donner un Nom a votre profil de configuration puis cliquer sur Suivant

Dans la section Microsoft Defender Credential Guard, sélectionner l'option Activer avec l'option de verrouillage souhaitée.

Sélectionner le groupe sur lequel vous souhaitez déployer la configuration et cliquer sur Suivant

Cliquer sur Suivant

Vérifier les paramètres de la configuration et cliquer sur Créer 

Vérification de l'activation de Crédential Guard

Pour vérifier l'état d'activation de Crédential Guard, vous avez deux possibilités :

• Ouvrir PowerShell en mode Admin et exécuter la commande suivante 

'CredentialGuard' -match ((Get-ComputerInfo).DeviceGuardSecurityServicesConfigured)

Si la configuration s'est correctement appliquée, la valeur True apparaitra 

• Deuxième possibilité, lancer la commande MSINFO32.exe, dans la section Résumé, aller en bas de la page et verifier que votre configuration correspond à celle-ci