Home Come disabilitare (abilitare) la protezione delle credenziali in Windows 11

Come disabilitare (abilitare) la protezione delle credenziali in Windows 11

ILGuardia delle credenzialila funzionalità di sicurezza nelle ultime versioni di Windows protegge gli account dal furto e dall'uso non autorizzato, inclusi gli attacchi Pass-the-Hash e Pass-the-Ticket. Credential Guard utilizza la sicurezza basata sulla virtualizzazione (VBS) per isolare credenziali sensibili come hash delle password NTLM, ticket Kerberos, altre credenziali e segreti in un ambiente virtuale sicuro (contenitore). Funzionalità hardware come Secure Boot e Trusted Platform Module (TPM) vengono utilizzate per proteggere le credenziali. È possibile accedere a queste credenziali solo tramite un software di sistema privilegiato, che impedisce a malware o aggressori di rubarle, anche se ottengono privilegi di amministratore locale.

Windows Defender Credential Guard viene abilitato automaticamente sui dispositivi compatibili che soddisfano i seguenti requisiti:

  • Windows 11 22H2 (o versioni successive) con le edizioni Enterprise o Education (alcuni componenti Credential Guard e Sicurezza basata sulla virtualizzazione sono disponibili anche nell'edizione Pro) o Windows Server 2025.
  • Modulo TPM 1.2 o 2.0
  • Blocco UEFI
  • L'avvio protetto è abilitato
  • Il dispositivo supporta la sicurezza basata sulla virtualizzazione e dispone di una CPU a 64 bit con supporto per virtualizzazione avanzata e SLAT (Second Level Address Translation).
  • La piattaforma di virtualizzazione Hyper-V (HypervisorPlatform) è abilitata nelle funzionalità di Windows:Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform

Credential Guard abilitato può causare problemi nei seguenti casi:

  • Credential Guard impedisce il salvataggio delle password per le connessioni RDP se viene utilizzata l'autenticazione NTLM.
  • Gli utenti non possono eseguire macchine virtuali VMware Workstation (Player) o VirtualBox con un errore:
    VMware Workstation and Device/Credential Guard are not compatible. 
VMware Workstation can be run after disabling Device/Credential Guard.

  • Non è consigliabile utilizzare Credential Guard sui controller di dominio. Ciò non aumenterà la sicurezza e potrebbe causare problemi di compatibilità con app di terze parti.
  • Le app che utilizzano metodi di autenticazione non sicuri come NTLMv1 o la delega Kerberos senza vincoli non funzioneranno.
  • L'autenticazione Single Sign-On (SSO) non funziona sull'host Servizi Desktop remoto (RDS) quando Credential Guard è abilitato
  • Gli utenti non possono autenticarsi su punti di accesso Wi-Fi o server VPN che utilizzano i protocolli di autenticazione MSCHAPv2 (inclusi PEAP-MSCHAPv2 e EAP-MSCHAPv2)

Esegui il seguente comando di PowerShell per verificare se Credential Guard è abilitato in Windows:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning

  • 1– Protezione credenziali abilitata
  • 0– disabilitato

Per disabilitare Credential Guard su un computer, è necessario configurare una serie di impostazioni:

  1. Aprire l'editor dell'oggetto Criteri di gruppo locale (gpedit.msc) e andare su Configurazione computer -> Modelli amministrativi -> Sistema -> Device Guard. Imposta ilAttiva la sicurezza basata sulla virtualizzazioneparametro aDisabilitato.
  2. Creare due parametri di registro. Imposta il valore su0per entrambi:
    reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0
    reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
    Ciò disabilita Credential Guard quando il blocco UEFI non viene utilizzato per proteggere dalle modifiche alle impostazioni del firmware UEFI.
  3. Se il blocco UEFI è abilitato, esegui i seguenti comandi. Per applicare le impostazioni, dovrai accedere alla console del computer. Apri un prompt dei comandi come amministratore, monta la partizione di sistema EFI e crea una nuova voce temporanea nella configurazione del boot loader di Windows (BCD) per eseguire il bootloader EFI in una modalità con Credential Guard e sicurezza basata sulla virtualizzazione disabilitate:
    mountvol X: /s
    copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
  4. Riavviare il computer. Ti verrà richiesto di disabilitare Credential Guard durante l'avvio del computer:
    Credential Guard Opt-out Tool
Do you want to disable Credential Guard?
Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

  5. PremereF3entro pochi secondi per confermare la disattivazione di Credential Guard (altrimenti le modifiche al bootloader verranno annullate).

Verifica che Credential Guard sia ora disabilitato:

Puoi anche utilizzare lo script ufficiale di PowerShell (Strumento di preparazione hardware Device Guard e Credential Guard), per abilitare o disabilitare Credential Guard e Device Guard sui dispositivi supportatihttps://www.microsoft.com/en-my/download/details.aspx?id=53337)

Scaricamentodgreadiness_v3.6.ziped estrarlo in una directory locale:

cd C:PSdgreadiness_v3.6

Se le impostazioni di esecuzione degli script PowerShell impediscono l'esecuzione di file PS1 di terze parti, abilita l'esecuzione degli script nelle sessioni correnti:

Set-ExecutionPolicy -Scope Process RemoteSigned

Controlla quali funzionalità di sicurezza di Defender sono abilitate.

IMPARENTATO:Come abilitare o disabilitare la protezione delle credenziali in Windows 11 utilizzando i criteri di gruppo

DG_Readiness_Tool_v3.6.ps1 -Ready

Per disabilitare Credential Guard, esegui:

DG_Readiness_Tool_v3.6.ps1 -Disable -CG

Riavviare il computer e premereF3per confermare la disabilitazione di Credential Guard.

Related Posts

Come modificare il nome "Nuovo cartella" predefinito in Windows 10

Come modificare il nome "Nuovo cartella" predefinito in Windows 10

2025-05-07
iOS 16/17: come vedere la tua password wifi su iPhone

iOS 16/17: come vedere la tua password wifi su iPhone

2022-06-13
Installa e configura Microsoft Enter Cloud Sync

Installa e configura Microsoft Enter Cloud Sync

2025-04-30
Come correggere "La firma di questo programma è corrotta o non valida"

Come correggere "La firma di questo programma è corrotta o non valida"

2025-05-08
Rimuovi lo scambio da Active Directory con AdSiedit

Rimuovi lo scambio da Active Directory con AdSiedit

2024-02-09
Tutorial su WordPress

Tutorial su WordPress

2025-03-24
Le 17 migliori app di elenco di cose da fare per Windows nel 2023

Le 17 migliori app di elenco di cose da fare per Windows nel 2023

2025-08-06
Suggerimenti, tutorial, recensioni e altro su Linux

Suggerimenti, tutorial, recensioni e altro su Linux

2025-02-02
Come usare DeepSeek R1 in Cursore AI

Come usare DeepSeek R1 in Cursore AI

2025-02-09
Intelligenza artificiale

Intelligenza artificiale

2025-02-15
Con iOS 18.2, puoi condividere la posizione AirTag con le compagnie aeree

Con iOS 18.2, puoi condividere la posizione AirTag con le compagnie aeree

2024-11-05
Perché la visualizzazione della Posta in arrivo di Outlook è cambiata (e come ripristinarla)

Perché la visualizzazione della Posta in arrivo di Outlook è cambiata (e come ripristinarla)

2024-04-20
Intelligenza artificiale

Intelligenza artificiale

2025-04-06
Microsoft PC Manager: cosa devi sapere

Microsoft PC Manager: cosa devi sapere

2024-11-06
ENTRA Connect vs Cloud Sync

ENTRA Connect vs Cloud Sync

2025-04-11