Home Cum să dezactivați (activați) Credential Guard în Windows 11

Cum să dezactivați (activați) Credential Guard în Windows 11

TheGarda de acreditarecaracteristica de securitate din cele mai recente versiuni de Windows protejează conturile împotriva furtului și a utilizării neautorizate, inclusiv atacurile Pass-the-Hash și Pass-the-Ticket. Credential Guard folosește securitatea bazată pe virtualizare (VBS) pentru a izola acreditările sensibile, cum ar fi hash-uri de parole NTLM, bilete Kerberos, alte acreditări și secrete într-un mediu virtual securizat (container). Caracteristicile hardware precum Secure Boot și Trusted Platform Module (TPM) sunt folosite pentru a proteja acreditările. Aceste acreditări pot fi accesate numai de software-ul de sistem privilegiat, care împiedică malware-ul sau atacatorii să le fure, chiar dacă obțin privilegii de administrator local.

Windows Defender Credential Guard este activat automat pe dispozitivele compatibile care îndeplinesc următoarele cerințe:

  • Windows 11 22H2 (sau o versiune ulterioară) cu edițiile Enterprise sau Education (unele componente Credential Guard și Virtualisation-Based Security sunt, de asemenea, disponibile în ediția Pro) sau Windows Server 2025.
  • Modul TPM 1.2 sau 2.0
  • Blocare UEFI
  • Secure Boot este activată
  • Dispozitivul acceptă securitate bazată pe virtualizare și are un procesor pe 64 de biți cu suport pentru virtualizare avansată și SLAT (Second Level Address Translation).
  • Platforma de virtualizare Hyper-V (HypervisorPlatform) este activată în caracteristicile Windows:Enable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform

Credential Guard activat poate cauza probleme în următoarele cazuri:

  • Credential Guard previne salvarea parolelor pentru conexiunile RDP dacă este utilizată autentificarea NTLM.
  • Utilizatorii nu pot rula mașinile virtuale VMware Workstation (Player) sau VirtualBox cu o eroare:
    VMware Workstation and Device/Credential Guard are not compatible. 
VMware Workstation can be run after disabling Device/Credential Guard.

  • Nu este recomandat să utilizați Credential Guard pe controlerele de domeniu. Acest lucru nu va crește securitatea și poate cauza probleme de compatibilitate cu aplicațiile terțe.
  • Aplicațiile care folosesc metode de autentificare nesigure, cum ar fi NTLMv1 sau delegarea Kerberos neconstrânsă, nu vor funcționa.
  • Autentificarea Single Sign-On (SSO) nu funcționează pe gazda Remote Desktop Services (RDS) când Credential Guard este activat
  • Utilizatorii nu se pot autentifica pe puncte de acces Wi-Fi sau servere VPN care utilizează protocoale de autentificare MSCHAPv2 (inclusiv PEAP-MSCHAPv2 și EAP-MSCHAPv2)

Rulați următoarea comandă PowerShell pentru a verifica dacă Credential Guard este activat în Windows:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace rootMicrosoftWindowsDeviceGuard).SecurityServicesRunning

  • 1– Credential Guard activat
  • 0– dezactivat

Pentru a dezactiva Credential Guard pe un computer, trebuie configurate o serie de setări:

  1. Deschideți editorul GPO local (gpedit.msc) și accesați Configurația computerului -> Șabloane administrative -> Sistem -> Device Guard. SetațiActivați Securitatea bazată pe virtualizareparametru laDezactivat.
  2. Creați doi parametri de registry. Setați valoarea la0pentru ambele:
    reg add HKLMSYSTEMCurrentControlSetControlLsa /f /v LsaCfgFlags /t REG_DWORD /d 0
    reg add HKLMSOFTWAREPoliciesMicrosoftWindowsDeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0
    Aceasta dezactivează Credential Guard atunci când blocarea UEFI nu este utilizată pentru a proteja împotriva modificărilor setărilor firmware-ului UEFI.
  3. Dacă blocarea UEFI este activată, executați următoarele comenzi. Pentru a aplica setările, va trebui să accesați consola computerului. Deschideți un prompt de comandă ca administrator, montați partiția de sistem EFI și creați o nouă intrare temporară în Windows Boot Loader Configuration (BCD) pentru a rula bootloader-ul EFI într-un mod cu Credential Guard și Virtualization-Based Security dezactivate:
    mountvol X: /s
    copy %WINDIR%System32SecConfig.efi X:EFIMicrosoftBootSecConfig.efi /Y
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "EFIMicrosoftBootSecConfig.efi"
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    mountvol X: /d
  4. Reporniți computerul. Vi se va solicita să dezactivați Credential Guard în timpul pornirii computerului:
    Credential Guard Opt-out Tool
Do you want to disable Credential Guard?
Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

  5. PresaF3în câteva secunde pentru a confirma dezactivarea Credential Guard (în caz contrar, modificările la bootloader-ul vor fi anulate).

Verificați dacă Credential Guard este acum dezactivat:

De asemenea, puteți utiliza scriptul oficial PowerShell (Instrument de pregătire hardware Device Guard și Credential Guard), pentru a activa sau dezactiva Credential Guard și Device Guard pe dispozitivele acceptatehttps://www.microsoft.com/en-my/download/details.aspx?id=53337)

Descărcațidgreadiness_v3.6.zipși extrageți-l într-un director local:

cd C:PSdgreadiness_v3.6

Dacă setările de execuție a scriptului PowerShell împiedică rularea fișierelor PS1 terțe, activați execuția scriptului în sesiunile curente:

Set-ExecutionPolicy -Scope Process RemoteSigned

Verificați care dintre funcțiile de securitate Defender sunt activate.

LEGATE:Cum să activați sau să dezactivați Credential Guard în Windows 11 utilizând politica de grup

DG_Readiness_Tool_v3.6.ps1 -Ready

Pentru a dezactiva Credential Guard, rulați:

DG_Readiness_Tool_v3.6.ps1 -Disable -CG

Reporniți computerul și apăsațiF3pentru a confirma dezactivarea Credential Guard.

Related Posts

Cum să remediați eroarea „Nu a fost găsită unități” în timpul instalării Windows 11/10

Cum să remediați eroarea „Nu a fost găsită unități” în timpul instalării Windows 11/10

2025-03-27
Cum să remediați ID

Cum să remediați ID

2025-04-30
Cum să remediați operația Reagentc.exe a eșuat erori în Windows

Cum să remediați operația Reagentc.exe a eșuat erori în Windows

2025-04-27
2 moduri de a dezinstala modele Deepseek de la Windows 11

2 moduri de a dezinstala modele Deepseek de la Windows 11

2025-05-07
Cum se utilizează pornirea selectivă în Windows 11 pentru a rezolva problemele de pornire

Cum se utilizează pornirea selectivă în Windows 11 pentru a rezolva problemele de pornire

2025-04-03
Inteligenţă artificială

Inteligenţă artificială

2025-02-04
2 moduri de a dezinstala modele Deepseek de la Windows 11

2 moduri de a dezinstala modele Deepseek de la Windows 11

2025-05-07
Inteligenţă artificială

Inteligenţă artificială

2025-01-06
Retragerea modulului Azuread și MSONline

Retragerea modulului Azuread și MSONline

2025-01-31
5 cele mai bune aplicații client FTP gratuit pentru Android

5 cele mai bune aplicații client FTP gratuit pentru Android

2018-02-14
Răspuns: Se poate transfera Smart Switch de la Samsung pe iPhone? 6 alternative

Răspuns: Se poate transfera Smart Switch de la Samsung pe iPhone? 6 alternative

2024-10-09
Monitorul Samsung Odyssey Ark este imens, superb și 900 $ oprit!

Monitorul Samsung Odyssey Ark este imens, superb și 900 $ oprit!

2025-09-10
Etichetă:Windows 11

Etichetă:Windows 11

2025-03-12
Cum să scapi de zgârieturi pe ecranul Apple Watch

Cum să scapi de zgârieturi pe ecranul Apple Watch

2023-12-16
Exportați utilizatorii cu rol de administrator în Microsoft 365

Exportați utilizatorii cu rol de administrator în Microsoft 365

2025-02-07