憑據保護 (Credential Guard) 是 Windows 10 中全新引入的安全特性，它主要采用虛擬化技術來隔離保護密鑰，僅允許有特權的系統軟件對密鑰進行訪問，以防止非法的憑據竊取，有助力保護派生的域憑據。

Windows 10中的憑據保護

憑據保護正如其名，主要用于保護 Windows 10 中的用戶憑據。在 Windows 10 之前，操作系統所使用的密鑰存儲在 LSA (本地安全機構)；而在 Windows 10 中，憑據保護特性會創建一個隔離的虛擬容器對憑據進行存儲，連操作系統都不能直接進行訪問。

當黑客入侵早期的 Windows 操作系統時，可以直接訪問到由算法加密存儲在本地內存中的用戶憑據，操作系統本身沒有太多的保護措施。而在開啟憑據保護功能的 Windows 10 中，憑據會被存儲到虛擬容器中，從 Windows 10 1511 開始，使用憑據管理器存儲的憑據（包括域憑據）也可以置于憑據保護功能的保護下。這樣即使系統遭到入侵，憑據也無法被輕易獲取走。

總的來說，Windows 10 中的憑據保護功能可以有效保護各種用戶憑據散列，這樣就在很大程度上加強了操作系統的安全級別。

憑據保護系統要求

然而并非所有 Windows 10 都支持憑據保護功能，該功能對操作系統版本及硬件都有要求：

• 僅支持 Windows 10 企業版
• 支持 UEFI 2.3.1或更高版本及安全啟動
• 支持 64 位虛擬化（Intel VT-x 或 AMD-V 和 二級地址轉換）
• TPM 2.0 固件

啟用憑據保護

1按下 Windows + X – 在運行中執行 gpedit.msc 打開本地組策略。

2瀏覽到計算機配置?–?管理模板?–?系統?–?Device Guard，雙擊打開基于虛擬化的安全。

3點擊「已啟用」開啟憑據保護功能。

4在「選擇平臺安全級別」框中，選擇「安全啟動」或「安全啟動和 DMA 保護」。

啟用之后大家可以在 msinfo32.exe 工具的「系統摘要」中查看憑據保護功能是否已經正常運行：