TABLE DES MATIÈRES
TABLE DES MATIÈRES
- Prérequis et dépendances de Credential Guard
- Activation par défaut sur les systèmes Windows modernes
- Avantages de sécurité de Credential Guard
- Ce qu’il faut vérifier avant de contrôler l’état de Credential Guard dans Windows
- Comment accéder au BIOS/UEFI pour activer les fonctionnalités requises
- Accéder au BIOS/UEFI
- Comment vérifier l’état d’exécution de Credential Guard
- Gérer Credential Guard avec Atera
Générer un résumé avec l'IA

Gérer un réseau d’ordinateurs portables et de postes de travail implique son lot de problèmes IT. Certains appareils disposent des bons paramètres de sécurité, tandis que d’autres n’ont pas des protections essentielles comme Credential Guard Windows 11, ou utilisent des firmwares obsolètes qui empêchent ces protections de fonctionner correctement. Ces incohérences créent des failles de sécurité, ralentissent la gestion quotidienne et compliquent le maintien d’un environnement uniformément sécurisé.
Dans ce guide, nous allons vous expliquer comment vérifier l’état de Credential Guard sur vos appareils, contrôler les paramètres matériels essentiels comme TPM 2.0 et UEFI, et garantir que vos systèmes sont correctement configurés afin d’éviter toute erreur.
Prérequis et dépendances de Credential Guard
Windows Defender Credential Guard utilise la sécurité basée sur la virtualisation (VBS) pour isoler les secrets afin que seuls les logiciels système disposant des privilèges nécessaires puissent y accéder. Cette protection est essentielle pour empêcher les attaques de mouvement latéral visant les identifiants stockés en mémoire système.
Pour que le service fonctionne correctement, le matériel sous-jacent doit prendre en charge certaines fonctionnalités de sécurité. Si elles sont absentes, Credential Guard ne pourra pas démarrer même si les politiques indiquent qu’il est activé. Les prérequis essentiels incluent :
- Architecture CPU 64 bits : le système doit fonctionner sur un processeur 64 bits avec des extensions de virtualisation comme Intel VT-x ou AMD-V.
- Support SLAT : la traduction d’adresses de second niveau (Second Level Address Translation) est nécessaire pour gérer efficacement la mémoire entre le matériel et l’hyperviseur.
- UEFI et Secure Boot : le firmware doit être basé sur UEFI avec Secure Boot activé pour garantir l’intégrité du processus de démarrage.
- TPM 2.0 : un module de plateforme sécurisée (Trusted Platform Module) version 2.0 fournit une racine de confiance matérielle pour la couche de virtualisation.
- Hyper-V et VBS : Windows doit pouvoir exécuter Hyper-V afin d’activer la sécurité basée sur la virtualisation et isoler le Local Security Authority.
Activation par défaut sur les systèmes Windows modernes
Microsoft adopte une approche “secure by default” avec les versions récentes de Windows. Cependant, l’activation de la fonctionnalité dépend fortement du matériel et de l’édition de Windows.
- PC Secured-core : Credential Guard Windows 11 est généralement activé par défaut sur les ordinateurs portables professionnels de fabricants comme Dell ou HP répondant aux standards Secured-core.
- Windows 11 Enterprise : les installations modernes en entreprise sur du matériel compatible ont souvent cette fonctionnalité préactivée afin de respecter les standards de sécurité.
- Éditions Pro standard : les installations propres de Windows Pro sur du matériel classique laissent généralement la fonctionnalité désactivée par défaut, même si le matériel est compatible.
De plus, les outils de déploiement en entreprise comme Microsoft Intune ou Robin peuvent activer automatiquement Credential Guard lors de la configuration initiale, garantissant qu’il soit opérationnel dès le départ sur les appareils gérés.
» Ne manquez pas les meilleures options de logiciels de supervision matérielle
Avantages de sécurité de Credential Guard
L’objectif principal de Credential Guard est d’empêcher les attaquants d’extraire des identifiants réutilisables depuis la mémoire. Bien que cette protection soit très efficace, elle peut parfois interférer avec d’anciens logiciels ou certains flux de travail spécifiques.
- Blocage du vol d’identifiants : il empêche efficacement les attaques de type Pass-the-Hash et Pass-the-Ticket. En isolant les secrets Kerberos et NTLM, il garantit que même si un attaquant récupère un dump mémoire, il ne pourra pas exploiter de hash utilisable pour se faire passer pour un utilisateur.
- Isolation du système basée sur le matériel : les données sensibles sont déplacées dans un “conteneur” virtualisé totalement séparé du noyau Windows principal. Même avec des droits administrateur ou SYSTEM, un attaquant ne peut pas accéder à cette mémoire isolée.
- Réduction des mouvements latéraux : en protégeant les identifiants à haut privilège sur les postes de travail et serveurs d’administration, il empêche qu’une seule machine compromise serve de point d’entrée vers l’ensemble du contrôleur de domaine.
Ce qu’il faut vérifier avant de contrôler l’état de Credential Guard dans Windows
Avant de vérifier l’état du service, il est important de valider le contexte système. Les indicateurs de configuration peuvent être trompeurs : par exemple, une stratégie de groupe peut indiquer “activé”, mais si la plateforme matérielle ne peut pas l’appliquer au runtime, le système reste vulnérable.
Vous devez donc vous assurer que le matériel et le firmware sont correctement configurés pour supporter la couche d’isolation.
Suivez ces étapes :
1.Vérifier le mode du firmware : appuyez sur Windows + R, tapez msinfo32, puis appuyez sur Entrée.

2. Dans les Informations système, recherchez Mode BIOS
- S’il indique Legacy : Credential Guard ne fonctionnera pas tant que le système n’aura pas été converti
- S’il indique UEFI : vous êtes prêt

- Toujours dans la même fenêtre (Informations système) : recherchez État du démarrage sécurisé
- S’il indique Activé (On) : tout est correct
- S’il indique Désactivé (Off) : il doit être activé dans le BIOS
- S’il indique Non pris en charge (Unsupported) : l’ordinateur portable ne le prend pas en charge

4. Vérifier la prise en charge de la virtualisation : appuyez sur Ctrl + Maj + Échap pour ouvrir le Gestionnaire des tâches
5. Allez dans l’onglet Performances et cliquez sur CPU

- En bas, recherchez Virtualisation
- S’il est indiqué Activée (Enabled) : tout est correct
- S’il est indiqué Désactivée (Disabled) : vous devrez l’activer dans le BIOS

Comment accéder au BIOS/UEFI pour activer les fonctionnalités requises
Si votre système ne respecte pas les prérequis, vous devrez modifier les paramètres BIOS/UEFI afin d’activer le mode UEFI, le démarrage sécurisé (Secure Boot) ou la virtualisation.
AVERTISSEMENT : la modification des paramètres BIOS/UEFI peut affecter le démarrage de votre ordinateur. Une mauvaise configuration peut empêcher Windows de démarrer, désactiver des composants matériels ou provoquer une instabilité du système. Ne modifiez que les paramètres décrits ici.
Accéder au BIOS/UEFI
- Éteignez complètement votre PC
- Rallumez-le, puis appuyez immédiatement et de façon répétée sur la touche d’accès au BIOS
Touches les plus courantes :
- F2 (Dell, ASUS, Acer)
- Suppr / Del (la plupart des PC assemblés)
- Échap (Esc) (HP)
- F10 (certains HP et Lenovo)
Si vous appuyez sur la bonne touche au bon moment, l’écran du BIOS s’affichera. Il s’agit généralement d’une interface noire ou gris foncé avec différents menus comme Boot, Security, Virtualization, etc.
Voici à quoi peut ressembler cet écran :

À noter : si Windows commence à se charger, redémarrez et réessayez en appuyant plus tôt sur la touche d’accès au BIOS.
» Vous avez des difficultés ? Commencez par identifier la marque et le modèle de votre carte mère
Activer le démarrage sécurisé (Secure Boot)
- Recherchez un onglet ou un menu appelé Security, Boot ou Authentication (selon le fabricant), puis trouvez Secure Boot
- S’il est indiqué Activé / On : aucune modification n’est nécessaire
- S’il est indiqué Désactivé / Off : sélectionnez-le et changez-le en Activé

- Enregistrez les modifications (généralement avec la touche F10) puis quittez.
Activer la virtualisation
- Recherchez un menu appelé Advanced, CPU Configuration ou System Configuration
- Trouvez l’option Intel VT-x, Intel Virtualization Technology ou AMD-V (le nom dépend du processeur)
- S’il est indiqué Activé / On : aucune modification n’est nécessaire
- S’il est indiqué Désactivé / Off : sélectionnez l’option et passez-la en Activé

3. Enregistrez les modifications et quittez
» Découvrez comment mettre à jour le BIOS sur votre PC
Comment vérifier l’état d’exécution de Credential Guard
Une fois les prérequis remplis, les méthodes suivantes permettent de confirmer si Credential Guard est réellement actif sur le système, et non simplement configuré via une stratégie ou un paramètre.
Méthode 1 : Informations système
Cette méthode s’adresse aux administrateurs locaux ou aux utilisateurs qui souhaitent une vérification rapide et visuelle de l’état de la protection sur une machine individuelle. Elle est idéale pour un contrôle rapide directement sur le poste.
Suivez les étapes suivantes :
Appuyez sur Windows + R sur votre clavier, tapez msinfo32, puis appuyez sur Entrée.

2. Le résumé système s’ouvre. Faites défiler vers le bas dans le volet de droite et recherchez la ligne intitulée Virtualization-based security. Elle doit indiquer “Running” (En cours d’exécution).

À noter : si VBS est en cours d’exécution et que Credential Guard apparaît dans Security Services Running, la protection est active. Microsoft confirme que ces champs dans msinfo32 reflètent l’état d’exécution réel, et non une simple configuration.
Méthode 2 : PowerShell
PowerShell s’adresse aux professionnels IT et aux administrateurs système qui doivent auditer plusieurs machines ou obtenir une réponse fiable directement depuis le noyau du système. Il est plus précis que les outils graphiques, car il interroge directement l’état d’exécution.
Suivez les étapes suivantes :
- Recherchez PowerShell dans la barre de recherche, puis cliquez sur « Exécuter en tant qu’administrateur ».

2. Collez la commande suivante puis appuyez sur Entrée :
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Interprétez le résultat :
- Si la sortie contient 1, Credential Guard est activement en cours d’exécution
- Si la sortie est 0 ou vide, Credential Guard est désactivé ou ne parvient pas à démarrer
- Pour afficher la configuration complète et les détails d’exécution, exécutez :
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
Cette commande affiche toutes les propriétés de Device Guard et de Credential Guard sur le système.

Le saviez-vous ? Pour les équipes IT qui gèrent plusieurs endpoints, exécuter PowerShell manuellement sur chaque appareil peut être long et inefficace. La plateforme RMM d’Atera vous permet d’exécuter des scripts PowerShell à distance sur tous les systèmes depuis une console unique. Les résultats sont collectés de manière centralisée, ce qui vous donne une visibilité claire sur les appareils où les protections sont actives et ceux nécessitant une attention, afin de garantir que chaque système est correctement sécurisé.
» Le saviez-vous ? Vous pouvez coller directement dans PowerShell ?
Méthode 3 : Stratégie de groupe (Group Policy)
La stratégie de groupe est la meilleure méthode pour vérifier la configuration prévue sur les systèmes joints à un domaine. Elle permet aux administrateurs de voir si Credential Guard est imposé par une politique d’entreprise, même si cela ne garantit pas toujours que le matériel l’exécute réellement.
Suivez les étapes suivantes :
Appuyez sur Windows + R, tapez gpedit.msc (local) ou gpmc.msc (domaine), puis appuyez sur Entrée.
Accédez à :
Configuration ordinateur > Modèles d’administration > Système > Device Guard
Double-cliquez sur la stratégie Turn On Virtualization Based Security
Vérifiez l’état : si elle est activée, regardez le menu déroulant Credential Guard Configuration :
- Activé avec verrouillage UEFI : la fonctionnalité est imposée et ne peut pas être désactivée à distance par un attaquant
- Activé sans verrouillage : la fonctionnalité est active mais peut être désactivée via des outils de gestion à distance
Pour voir quelles stratégies sont appliquées à un ordinateur spécifique, exécutez gpresult /h gpresult.html dans une invite de commande administrateur, puis ouvrez le fichier généré.
Méthode 4 : Observateur d’événements
L’Observateur d’événements est utilisé pour un dépannage avancé. Il permet de voir le moment exact où Credential Guard a tenté de démarrer pendant le processus de démarrage et indique précisément pourquoi il a échoué s’il ne s’est pas initialisé correctement.
Suivez les étapes suivantes :
1.Recherchez Observateur d’événements dans la barre de recherche, puis cliquez pour l’ouvrir.

2. Accédez aux dossiers suivants : Journaux des applications et des services > Microsoft > Windows

3. Recherchez DeviceGuard > Operational

- Analysez les ID d’événements :
- Event ID 101 : VBS a démarré avec succès. C’est un bon signe indiquant que l’environnement nécessaire à Credential Guard est prêt.
- Event ID 102 ou 103 : VBS n’a pas pu démarrer. Les détails de l’événement indiquent généralement la cause, par exemple « Secure Boot n’est pas activé » ou « TPM introuvable ».
- WinInit Event ID 13 : Consultez le journal Système pour cet ID, qui confirme explicitement que Credential Guard (LsaIso.exe) est correctement activé.

Gérer Credential Guard avec Atera
La plateforme RMM d’Atera vous permet de voir plus facilement où Credential Guard est activé et où il ne l’est pas, le tout depuis un tableau de bord centralisé. Au lieu de vérifier les appareils un par un, vous bénéficiez d’une vue d’ensemble claire de l’environnement et pouvez repérer rapidement les lacunes.
Grâce à l‘AI Copilot d’Atera, vous pouvez créer et déployer des scripts simples pour vérifier si les paramètres de sécurité appropriés sont en place. Cet outil permet d’assurer la cohérence des configurations entre les appareils, de réduire le risque d’attaques basées sur l’identité et de simplifier la gestion quotidienne.
» Vous souhaitez l’essayer ? Testez Atera gratuitement
Articles connexes
Comment vérifier la version Linux
Les informations sur la version Linux sont réparties à plusieurs endroits, comme /etc/os-release pour les détails de la distribution, uname pour les versions du Linux kernel, et lsb_release pour une sortie standardisée. Vérifier les versions manuellement fonctionne pour des systèmes isolés, mais les équipes IT qui gèrent des parcs de serveurs ont besoin d’un inventaire automatisé capable de suivre les versions de l’OS, les niveaux de correctifs du kernel et les mises à jour de distribution sur des centaines de terminaux sans avoir à se connecter en SSH à chacun individuellement.
LireComment lire les résultats de l’outil de diagnostic de la mémoire dans l’Observateur d’événements Windows 11 (Event Viewer)
Windows Memory Diagnostic est un outil intégré permettant de vérifier les problèmes de RAM sous Windows 11. Utilisez-le lorsque vous constatez des crashs répétés, des écrans bleus (BSOD) ou des corruptions de données. Le mode Standard offre un bon équilibre entre rapidité et précision, tandis que le mode Étendu permet de détecter les erreurs intermittentes.
LireComment activer ou désactiver la fonctionnalité Widgets Windows 11
Les widgets Windows 11 consomment silencieusement de la RAM tout en contournant vos politiques de filtrage web. Cette icône « utile » de la barre des tâches génère plusieurs processus WebView2, maintient des connexions persistantes aux services Microsoft et réapparaît après chaque mise à jour de fonctionnalité, ce qui n’est pas idéal pour les parcs d’appareils connectés. Cependant, ils peuvent être facilement désactivés.
LireComment corriger l’erreur « winload.efi manquant ou corrompu » sous Windows 10
Lorsque « winload.efi est manquant ou corrompu » apparaît, Windows 10 ne démarre plus. Aucun mode sans échec, aucune option de récupération, seulement un système hors service. La plupart des pannes proviennent de mises à jour échouées, d’erreurs de disque ou de coupures de courant, toutes réparables via des commandes de l’environnement de récupération et la reconstruction du gestionnaire de démarrage.
LireOptimisez votre équipe avec l'IA en IT.
Exploitez la puissance de l'IA pour décupler l'efficacité de votre informatique et libérez votre organisation des limites d'hier.








