So beheben Sie RDP-Verbindungsprobleme unter Windows 11 25H2, die durch Credential Guard verursacht werden.
Wenn Sie Ihren Rechner auf Windows 11 25H2 aktualisiert haben und Probleme mit Ihren Remote-Desktop-Verbindungen auftreten, insbesondere bei der Verwendung von Benutzernamen mit Nicht-ASCII-Zeichen oder bei Verbindungen über die IP-Adresse anstatt über den FQDN, sind Sie nicht allein. Manchmal wird die Verbindung einfach verweigert – es werden Anmeldefehler angezeigt oder das Programm hängt sich auf. Nach einiger Recherche und viel Ausprobieren scheint die Ursache im Credential Guard zu liegen, einer Sicherheitsfunktion zum Schutz von Benutzeranmeldeinformationen. Zwar ist sie gut für die Sicherheit, aber auf bestimmten Systemen macht sie RDP zu einem Albtraum. Dieser Leitfaden erklärt Ihnen, was passiert, wie Sie überprüfen, ob Credential Guard aktiviert ist, und wie Sie ihn gegebenenfalls deaktivieren. Denn natürlich muss Windows es einem nicht so leicht machen. Nach der Deaktivierung sollten RDP-Verbindungen wieder normal funktionieren; die Benutzerauthentifizierung über die IP-Adresse (NTLM) sollte wieder funktionieren und Probleme mit Benutzernamen mit Nicht-ASCII-Zeichen sollten sich beheben lassen.
So prüfen Sie, ob Credential Guard aktiviert ist
Der erste Schritt besteht darin, festzustellen, ob Credential Guard aktiviert ist. Am einfachsten geht das mit PowerShell: `powershell (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning`.Gibt die Funktion „1“ zurück, ist Credential Guard definitiv aktiv, was erklärt, warum einige RDP- und anmeldeinformationsbezogene Funktionen blockiert werden. Eine „0“ bedeutet, dass Credential Guard nicht aktiviert ist und die Ursache des Problems woanders liegen kann. Manchmal ist Credential Guard auf Windows 11-Rechnern standardmäßig aktiviert, wenn die Hardware die Anforderungen erfüllt (z. B.TPM-Chips, Secure Boot, Virtualisierung).Credential Guard soll Anmeldeinformationen schützen, kann aber Remote-Verbindungen beeinträchtigen.
Methode 1: Deaktivieren des Anmeldeinformationsschutzes über Gruppenrichtlinie
Wenn Credential Guard aktiviert ist und Sie es nicht benötigen, können Sie es über die Gruppenrichtlinie deaktivieren – jedoch nur, wenn Ihr Gerät keine UEFI-Sperre besitzt. Die Sperre ist eine UEFI-Einstellung, die Änderungen verhindert. Wenn Ihr Gerät gesperrt ist, müssen Sie diese Sperre zuerst deaktivieren (mehr dazu weiter unten).– Drücken Sie Windows + R, geben Sie „device guard“ ein gpedit.mscund drücken Sie die Eingabetaste, um den Gruppenrichtlinien-Editor zu öffnen.– Navigieren Sie zu Computerkonfiguration → Administrative Vorlagen → System → Device Guard.– Suchen Sie nach „Virtualisierungsbasierte Sicherheit aktivieren“ und deaktivieren Sie diese Option. Dies behebt das Problem in der Regel, da Credential Guard dadurch nicht mehr aktiv wird und somit die Blockierung von NTLM während RDP verhindert wird. Als Nächstes müssen Sie einige Registrierungsschlüssel deaktivieren, die den Credential Guard deaktivieren: Führen Sie dazu folgende Befehle aus: `powershell reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0` und `powershell reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0`.Führen Sie diese Befehle als Administrator in PowerShell oder der Eingabeaufforderung aus. Dadurch wird der Credential Guard-Schutz effektiv deaktiviert.Hinweis: Änderungen werden manchmal nicht sofort wirksam. In der Regel ist ein Neustart erforderlich. Wenn Sie ein Firmengerät mit UEFI-Sperre verwenden, können diese lokalen Änderungen nach einem Neustart zurückgesetzt werden. Daher ist die Vorgehensweise nicht immer ganz einfach.
Methode 2: Umgang mit der UEFI-Sperre – Die versteckte Herausforderung
Wenn die Sperre in Ihren UEFI-Einstellungen aktiviert ist, reicht es nicht aus, Credential Guard einfach über die Registry oder Gruppenrichtlinien zu deaktivieren. Windows aktiviert es bei jedem Neustart wieder, da die UEFI-Sperre die Richtlinien für sicheres Booten erzwingt. Um Credential Guard bei aktiver UEFI-Sperre zu deaktivieren, müssen Sie manuell einen temporären Boot-Eintrag erstellen, der einen speziellen EFI-Loader startet, um Änderungen zu ermöglichen. Zuerst kopieren Sie eine spezielle EFI-Datei: `cmd copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi`.Anschließend erstellen Sie einen neuen Starteintrag: `cmd bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d „DebugTool“ /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path „\EFI\Microsoft\Boot\SecConfig.efi“ bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set` {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d Ersetzen Sie `X:` durch einen freien Laufwerksbuchstaben. Dadurch wird ein spezieller Startmodus eingerichtet, in dem der Credential Guard deaktiviert werden kann. Beim Neustart wird während des Bootvorgangs die Option „Credential Guard Opt-out Tool“ angezeigt – drücken Sie einfach F3. Dadurch wird der Credential Guard für diese Sitzung deaktiviert, und Sie können Windows anschließend normal ohne Schutz starten. Beachten Sie: Diese Methode ist etwas unzuverlässig, und nach dem Neustart werden die Standardeinstellungen möglicherweise zurückgesetzt, sofern Sie das UEFI nicht dauerhaft patchen. Außerdem sind bei manchen Systemen für diesen Vorgang möglicherweise Firmware-Updates oder Anpassungen der UEFI-Einstellungen erforderlich.
Was tun, wenn das Deaktivieren von Credential Guard nicht hilft?
Wenn Sie Credential Guard deaktiviert haben und weiterhin RDP-Verbindungsprobleme bestehen, sollten Sie Folgendes überprüfen: – Stellen Sie sicher, dass Ihre Konten keine Einschränkungen aufgrund von Nicht-ASCII-Zeichen aufweisen.– Prüfen Sie, ob Ihr Netzwerk, VPN oder Ihre Firewall die UDP/TCP-Ports (Standard: 3389) blockiert.– Stellen Sie sicher, dass die DNS-Auflösung funktioniert und Sie den Hostnamen (FQDN) anstelle der IP-Adresse verwenden. Manchmal hilft ein Neustart des Systems nach diesen Anpassungen, die Änderungen zu übernehmen.
Zusammenfassung
- Sie können mit PowerShell-Befehlen überprüfen, ob Credential Guard aktiv ist.
- Das Deaktivieren über Gruppenrichtlinien und die Registrierung hilft in der Regel, RDP-Probleme zu beseitigen, insbesondere bei Nicht-ASCII-Benutzernamen oder IP-basierten Verbindungen.
- Falls eine UEFI-Sperre beteiligt ist, müssen Sie möglicherweise temporäre EFI-Boot-Einträge erstellen, um Credential Guard auf einer niedrigeren Ebene zu deaktivieren.
- Beachten Sie, dass manche Hardware- und Firmware-Konfigurationen diese Änderungen zurücksetzen können. Dauerhafte Lösungen erfordern daher Anpassungen der UEFI-Einstellungen.
Zusammenfassung
Die reibungslose Einrichtung von RDP unter Windows 11 25H2 mit aktiviertem Credential Guard ist nicht immer einfach, aber das Wissen um die Blockade erleichtert die Sache. Nicht jeder wird Credential Guard deaktivieren wollen, insbesondere nicht in Unternehmensumgebungen. Ist der Fernzugriff jedoch unerlässlich, ist dies manchmal die einzige Möglichkeit. Wägen Sie die Sicherheitsrisiken sorgfältig ab, bevor Sie diese Schutzmaßnahmen deaktivieren. Hoffentlich spart dies jemandem ein paar Stunden. Wenn dadurch auch nur eine einzige Verbindung wiederhergestellt wird, hat es sich auf jeden Fall gelohnt.