So deaktivieren (aktivieren) Sie den Credential Guard in Windows 11

/de/images/credential-guard-opt-out-tool-do-you-want-to-disab.png

Die Sicherheitsfunktion Credential Guard in den neuesten Windows-Versionen schützt Konten vor Diebstahl und unbefugter Nutzung, einschließlich Pass-the-Hash- und Pass-the-Ticket-Angriffen. Credential Guard nutzt virtualisierungsbasierte Sicherheit (VBS), um vertrauliche Anmeldeinformationen wie NTLM-Passwort-Hashes, Kerberos-Tickets, andere Anmeldeinformationen und Geheimnisse in einer sicheren virtuellen Umgebung (Container) zu isolieren. Zum Schutz der Anmeldeinformationen werden Hardwarefunktionen wie Secure Boot und das Trusted Platform Module (TPM) verwendet. Auf diese Anmeldeinformationen kann nur privilegierte Systemsoftware zugreifen, was verhindert, dass Malware oder Angreifer sie stehlen, selbst wenn sie lokale Administratorrechte erlangen.

Windows Defender Credential Guard wird automatisch auf kompatiblen Geräten aktiviert, die die folgenden Anforderungen erfüllen:

  • Windows 11 22H2 (oder höher) mit der Enterprise- oder Education-Edition (einige Credential Guard-und Virtualization-Based Security-Komponenten sind auch in der Pro Edition verfügbar) oder Windows Server 2025.

  • TPM 1.2- oder 2.0-Modul

  • UEFI-Sperre

  • Secure Boot ist aktiviert

  • Das Gerät unterstützt virtualisierungsbasierte Sicherheit und verfügt über eine 64-Bit-CPU mit Unterstützung für erweiterte Virtualisierung und SLAT (Second Level Address Translation).

  • Die Hyper-V-Virtualisierungsplattform (HypervisorPlatform) ist in den Windows-Funktionen aktiviert: „Enable-WindowsOptionalFeature-Online-FeatureName HypervisorPlatform“.

Der aktivierte Credential Guard kann in den folgenden Fällen zu Problemen führen:

  • Credential Guard verhindert das Speichern von Passwörtern für RDP-Verbindungen, wenn NTLM-Authentifizierung verwendet wird.

  • Benutzer können die virtuellen Maschinen VMware Workstation (Player) oder VirtualBox nicht mit der Fehlermeldung


VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.

ausführen

/de/images/vmware-workstation-and-device-credential-guard-are.png

  • Es wird nicht empfohlen, Credential Guard auf Domänencontrollern zu verwenden. Dies erhöht die Sicherheit nicht und kann zu Kompatibilitätsproblemen mit Apps von Drittanbietern führen.

  • Apps, die unsichere Authentifizierungsmethoden wie NTLMv1 oder uneingeschränkte Kerberos-Delegierung verwenden, funktionieren nicht.

  • Die Single Sign-On (SSO)-Authentifizierung funktioniert nicht auf dem Remote Desktop Services (RDS)-Host, wenn Credential Guard aktiviert ist

  • Benutzer können sich nicht an Wi-Fi-Zugangspunkten oder VPN-Servern authentifizieren, die MSCHAPv2-Authentifizierungsprotokolle verwenden (einschließlich PEAP-MSCHAPv2 und EAP-MSCHAPv2).

Führen Sie den folgenden PowerShell-Befehl aus, um zu überprüfen, ob Credential Guard in Windows aktiviert ist:

(Get-CimInstance-ClassName Win32\_DeviceGuard-Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

  • 1 – Credential Guard aktiviert

  • 0 – deaktiviert

Um Credential Guard auf einem Computer zu deaktivieren, müssen eine Reihe von Einstellungen konfiguriert werden:

  1. Öffnen Sie den lokalen GPO-Editor („gpedit.msc“) und gehen Sie zu Computerkonfiguration -> Administrative Vorlagen -> System -> Geräteschutz. Setzen Sie den Parameter „Virtualisierungsbasierte Sicherheit aktivieren“ auf „Deaktiviert“. /de/images/gpo-option-turn-on-virtualization-based-security.png

  2. Erstellen Sie zwei Registrierungsparameter. Setzen Sie den Wert für beide auf 0:

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa/f/v LsaCfgFlags/t REG\_DWORD/d 0

reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard/f/v LsaCfgFlags/t REG\_DWORD/d 0

/de/images/registry-lsacfgflags-disable-credential-guard.png

Dadurch wird Credential Guard deaktiviert, wenn die UEFI-Sperre nicht zum Schutz vor Änderungen an den UEFI-Firmware-Einstellungen verwendet wird.

  1. Wenn die UEFI-Sperre aktiviert ist, führen Sie die folgenden Befehle aus. Um die Einstellungen anzuwenden, müssen Sie auf die Konsole des Computers zugreifen. Öffnen Sie eine Eingabeaufforderung als Administrator, mounten Sie die EFI-Systempartition und erstellen Sie einen neuen temporären Eintrag in der Windows-Bootloader-Konfiguration (BCD), um den EFI-Bootloader in einem Modus auszuführen, in dem Credential Guard und virtualisierungsbasierte Sicherheit deaktiviert sind:

` mountvol X:/s

Kopieren Sie %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi/Y

bcdedit/create {0cb3b571-2f2e-4343-a879-d86a476d7215}/d „DebugTool“/application osloader

bcdedit/set {0cb3b571-2f2e-4343-a879-d86a476d7215} Pfad „\EFI\Microsoft\Boot\SecConfig.efi“bcdedit/set {bootmgr} Bootsequenz {0cb3b571-2f2e-4343-a879-d86a476d7215}

bcdedit/set {0cb3b571-2f2e-4343-a879-d86a476d7215} Loadoptions DISABLE-LSA-ISO

bcdedit/set {0cb3b571-2f2e-4343-a879-d86a476d7215} Gerätepartition=X:

mountvol X:/d `

  1. Starten Sie den Computer neu. Sie werden aufgefordert, Credential Guard während eines Computerstarts zu deaktivieren:

Credential Guard Opt-out ToolDo you want to disable Credential Guard?Disabling this functionality can allow malware to read the password and other credentials of all users signing on to Windows. For the correct action in your organization, contact your administrator before disabling protection.

/de/images/credential-guard-opt-out-tool-do-you-want-to-disab.png

  1. Drücken Sie innerhalb weniger Sekunden „F3“, um die Deaktivierung von Credential Guard zu bestätigen (andernfalls werden die Änderungen am Bootloader abgebrochen).

Überprüfen Sie, ob Credential Guard jetzt deaktiviert ist:

/de/images/check-if-credential-guard-disabled-on-windows.png

Sie können auch das offizielle PowerShell-Skript (Device Guard und Credential Guard Hardware Readiness Tool) verwenden, um Credential Guard und Device Guard auf unterstützten Geräten zu aktivieren oder zu deaktivieren ( https://www.microsoft.com/en-my/download/details.aspx?id=53337).

Laden Sie dgreadiness_v3.6.zip herunter und extrahieren Sie es in ein lokales Verzeichnis:

cd C:\PS\dgreadiness\_v3.6\

Wenn Ihre PowerShell-Skriptausführungseinstellungen die Ausführung von PS1-Dateien von Drittanbietern verhindern, aktivieren Sie die Skriptausführung in den aktuellen Sitzungen:

Set-ExecutionPolicy-Scope Process RemoteSigned

Überprüfen Sie, welche der Defender-Sicherheitsfunktionen aktiviert sind.

DG\_Readiness\_Tool\_v3.6.ps1-Ready

/de/images/dg_readiness-script-device-guard-and-credential.png

Um Credential Guard zu deaktivieren, führen Sie Folgendes aus:

DG\_Readiness\_Tool\_v3.6.ps1-Disable-CG

Starten Sie den Computer neu und drücken Sie „F3“, um die Deaktivierung von Credential Guard zu bestätigen.

*️⃣ Quelllink:

Hyper-V-Virtualisierungsplattform, Speichern von Passwörtern für RDP-Verbindungen, Single Sign-On (SSO)-Authentifizierung, lokaler GPO-Editor, EFI-Systempartition, https://www.microsoft.com/en-my/download/details.aspx?id=53337 ,