Home Slik deaktiverer (aktiverer) Credential Guard i Windows 11

Slik deaktiverer (aktiverer) Credential Guard i Windows 11

DeCredential Guardsikkerhetsfunksjonen i de nyeste versjonene av Windows beskytter kontoer mot tyveri og uautorisert bruk, inkludert Pass-the-Hash og Pass-the-Ticket-angrep. Credential Guard bruker virtualiseringsbasert sikkerhet (VBS) for å isolere sensitive legitimasjoner som NTLM-passord-hasher, Kerberos-billetter, annen legitimasjon og hemmeligheter i et sikkert virtuelt miljø (container). Maskinvarefunksjoner som Secure Boot og Trusted Platform Module (TPM) brukes til å beskytte legitimasjon. Disse legitimasjonene kan bare nås av privilegert systemprogramvare, som forhindrer skadelig programvare eller angripere fra å stjele dem, selv om de får lokale administratorrettigheter.

Windows Defender Credential Guard er automatisk aktivert på kompatible enheter som oppfyller følgende krav:

  • Windows 11 22H2 (eller nyere) med Enterprise- eller Education-utgavene (noen Credential Guard og Virtualization-Based Security-komponenter er også tilgjengelig i Pro-utgaven), eller Windows Server 2025.
  • TPM 1.2 eller 2.0 modul
  • UEFI-lås
  • Sikker oppstart er aktivert
  • Enheten støtter virtualiseringsbasert sikkerhet og har en 64-bits CPU med støtte for avansert virtualisering og SLAT (Second Level Address Translation).
  • Hyper-V virtualiseringsplattformen (HypervisorPlatform) er aktivert i Windows-funksjoner:Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform

Aktivert Credential Guard kan forårsake problemer i følgende tilfeller:

  • Credential Guard forhindrer lagring av passord for RDP-tilkoblinger hvis NTLM-autentisering brukes.
  • Brukere kan ikke kjøre virtuelle VMware Workstation (Player) eller VirtualBox-maskiner med en feil:
    VMware Workstation and Device/Credential Guard are not compatible. 
VMware Workstation can be run after disabling Device/Credential Guard.

  • Det anbefales ikke å bruke Credential Guard på domenekontrollere. Dette vil ikke øke sikkerheten og kan forårsake kompatibilitetsproblemer med tredjepartsapper.
  • Apper som bruker usikre autentiseringsmetoder som NTLMv1 eller ubegrenset Kerberos-delegering vil ikke fungere.
  • Single Sign-On (SSO)-autentisering fungerer ikke på Remote Desktop Services (RDS)-verten når Credential Guard er aktivert
  • Brukere kan ikke autentisere på Wi-Fi-tilgangspunkter eller VPN-servere som bruker MSCHAPv2-autentiseringsprotokoller (inkludert PEAP-MSCHAPv2 og EAP-MSCHAPv2)

Kjør følgende PowerShell-kommando for å sjekke om Credential Guard er aktivert i Windows:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning

  • 1– Credential Guard aktivert
  • 0– deaktivert

For å deaktivere Credential Guard på en datamaskin, må en rekke innstillinger konfigureres:

  1. Åpne den lokale GPO-editoren (gpedit.msc) og gå til Computer Configuration -> Administrative Templates -> System -> Device Guard. Still innSlå på virtualiseringsbasert sikkerhetparameter tilFunksjonshemmet.
  2. Opprett to registerparametere. Sett verdien til0for begge:
    reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0
    reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
    Dette deaktiverer Credential Guard når UEFI-låsen ikke brukes for å beskytte mot endringer i UEFI-fastvareinnstillingene.
  3. Hvis UEFI-låsen er aktivert, kjør følgende kommandoer. For å bruke innstillingene må du få tilgang til datamaskinens konsoll. Åpne en ledetekst som administrator, monter EFI-systempartisjonen og opprett en ny midlertidig oppføring i Windows Boot Loader Configuration (BCD) for å kjøre EFI bootloader i en modus med Credential Guard og Virtualization-Based Security deaktivert:
    mountvol X: /s
    copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
  4. Start datamaskinen på nytt. Du vil bli bedt om å deaktivere Credential Guard under en datamaskinoppstart:
    Credential Guard Opt-out Tool
Do you want to disable Credential Guard?
Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

  5. PressenF3innen noen få sekunder for å bekrefte deaktiveringen av Credential Guard (ellers vil endringene i oppstartslasteren bli kansellert).

Sjekk at Credential Guard nå er deaktivert:

Du kan også bruke det offisielle PowerShell-skriptet (Maskinvareberedskapsverktøy for Device Guard og Credential Guard), for å aktivere eller deaktivere Credential Guard og Device Guard på støttede enheterhttps://www.microsoft.com/en-my/download/details.aspx?id=53337)

Last neddgreadiness_v3.6.zipog pakke den ut til en lokal katalog:

cd C:PSdgreadiness_v3.6

Hvis PowerShell-skriptkjøringsinnstillingene hindrer tredjeparts PS1-filer fra å kjøre, aktiverer du skriptkjøring i gjeldende økter:

Set-ExecutionPolicy -Scope Process RemoteSigned

Sjekk hvilke av Defender-sikkerhetsfunksjonene som er aktivert.

RELATERT:Hvordan aktivere eller deaktivere Credential Guard i Windows 11 ved hjelp av gruppepolicy

DG_Readiness_Tool_v3.6.ps1 -Ready

For å deaktivere Credential Guard, kjør:

DG_Readiness_Tool_v3.6.ps1 -Disable -CG

Start datamaskinen på nytt og trykkF3for å bekrefte deaktiveringen av Credential Guard.

Related Posts

Hvordan lage utførelsesaliaser for spesifikke apper i Windows 11

Hvordan lage utførelsesaliaser for spesifikke apper i Windows 11

2025-05-07
Hvordan aktivere eller deaktivere Windows Recovery Environment (WinRE) i Windows 11 og 10

Hvordan aktivere eller deaktivere Windows Recovery Environment (WinRE) i Windows 11 og 10

2025-03-26
Slik låser du opp iPhone 13 fra en hvilken som helst operatør i 2025

Slik låser du opp iPhone 13 fra en hvilken som helst operatør i 2025

2025-12-08
Hvordan feste en melding i Messenger på iPhone og Android

Hvordan feste en melding i Messenger på iPhone og Android

2022-11-16
Hvordan fjerne annonser i Redmi/Xiaomi Device 2024

Hvordan fjerne annonser i Redmi/Xiaomi Device 2024

2024-09-20
Utvikling av forretningsnettsted med optimalisert hastighet

Utvikling av forretningsnettsted med optimalisert hastighet

2024-12-12
Fix manglende kodekrale 0xc004f011 i Windows 11

Fix manglende kodekrale 0xc004f011 i Windows 11

2025-05-03
Beste gologinalternativer (2025)

Beste gologinalternativer (2025)

2025-11-08
Siste tips og veiledninger for datamaskin- og smarttelefonbrukere

Siste tips og veiledninger for datamaskin- og smarttelefonbrukere

2024-12-15
Webutviklingstjenester

Webutviklingstjenester

2025-04-23
Hvordan spore noen plassering med telefonnummer

Hvordan spore noen plassering med telefonnummer

2023-12-12
Hvordan bruke Open AI Sora for å lage videoer

Hvordan bruke Open AI Sora for å lage videoer

2025-04-11
Hvordan fikse Du bør bruke en vedvarende objektbuffer i WordPress

Hvordan fikse Du bør bruke en vedvarende objektbuffer i WordPress

2025-01-22
Wordle: Alt om det trendende ordspillet i 2024

Wordle: Alt om det trendende ordspillet i 2024

2023-01-24
Hvordan speile Android til Mac uten hindring? 8 ønskelige måter

Hvordan speile Android til Mac uten hindring? 8 ønskelige måter

2024-10-28