Der Windows-Sicherheitsschutz Credential Guard soll durch die Isolation sensibler Anmeldeinformationen in virtualisierten Umgebungen eine zusätzliche Sicherheitsebene schaffen. Klingt in der Theorie gut, aber wenn Probleme auftreten – beispielsweise, dass virtuelle Maschinen nicht starten, Probleme mit der RDP-Authentifizierung auftreten oder Anwendungen Fehler ausgeben –, muss man ihn manchmal einfach deaktivieren. Es ist etwas seltsam, dass er auf manchen Rechnern standardmäßig aktiviert ist, insbesondere wenn man ihn nicht nutzt oder er mehr Probleme als Schutz verursacht. Diese Anleitung beschreibt die Schritte zum Deaktivieren des Sicherheitsschutzes, was bei der Behebung von Kompatibilitätsproblemen helfen kann. Rechnen Sie mit einigen Befehlszeilen-Eingaben und der Bearbeitung von Systemeinstellungen – denn Windows macht es einem natürlich unnötig schwer.
So deaktivieren Sie Credential Guard in Windows 11
Methode 1: Verwenden des Gruppenrichtlinien-Editors
Diese Methode eignet sich gut, wenn Sie Credential Guard einfach über die grafische Benutzeroberfläche deaktivieren möchten. Die Deaktivierung über Gruppenrichtlinien ist in der Regel die sauberste Lösung und vermeidet unnötige Registry-Änderungen. Sie ist auch in Unternehmensumgebungen anwendbar, in denen Gruppenrichtlinien strengen Beschränkungen unterliegen.
- Öffnen Sie gpedit.msc, indem Sie es in das Startmenü oder den Ausführen-Dialog eingeben ( Win + Rund dann eingeben
gpedit.msc). - Navigieren Sie zu Computerkonfiguration > Administrative Vorlagen > System > Device Guard.
- Suchen Sie die Einstellung mit dem Namen „Virtualisierungsbasierte Sicherheit aktivieren“.
- Stellen Sie die Option auf „Deaktiviert“ und klicken Sie dann auf „Anwenden“.Dadurch wird Credential Guard deaktiviert.
Diese Vorgehensweise ist recht einfach, insbesondere wenn Sie sich mit den lokalen Richtlinien auskennen. In diesem Fall sollte Windows die Virtualisierungssicherheit, die Credential Guard aufrechterhält, nicht mehr erzwingen.
Methode 2: Manuelles Bearbeiten der Registrierungseinstellungen
Wenn Gruppenrichtlinien nicht ausreichen oder Sie es mit einem Einzelplatzrechner zu tun haben, kann die Bearbeitung der Registrierung Abhilfe schaffen. Das ist etwas heikel – vergessen Sie daher nicht, vorher Ihre Registrierung zu sichern oder zumindest einen Wiederherstellungspunkt zu erstellen. So gehen Sie vor:
- Öffnen Sie eine Eingabeaufforderung oder ein PowerShell-Fenster als Administrator.
- Führen Sie diese Befehle aus, um den Registrierungsschlüssel festzulegen, der Credential Guard steuert:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0 reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0Der erste Befehl deaktiviert Credential Guard, falls dieser über die LsaCfgFlags aktiviert ist. Der zweite Befehl betrifft Geräte mit bestimmten UEFI-Sperrmechanismen und stellt sicher, dass Credential Guard vollständig deaktiviert ist. Bei manchen Konfigurationen reichen diese Befehle aus, bei anderen – insbesondere bei aktiviertem UEFI-Sperrmechanismus – sind weitere Schritte erforderlich.
Option 3: Umgang mit UEFI-Sperrsystemen
Das ist der kniffligste Teil. Wenn Ihre UEFI-Firmware mit einem Passwort geschützt ist und Secure Boot aktiviert ist, müssen Sie noch etwas mehr tun – im Grunde genommen Credential Guard auf Firmware-Ebene deaktivieren. Dazu ist eine spezielle Boot-Konfiguration nötig, was zwar etwas aufwendig ist, aber erforderlich, wenn Sie Credential Guard entfernen und gleichzeitig die UEFI-Sperre aktivieren möchten.
- Öffnen Sie zunächst eine Eingabeaufforderung mit Administratorrechten.
- Die EFI-Systempartition einbinden: ( X: durch einen verfügbaren Laufwerksbuchstaben
mountvol X: /sersetzen ). - Kopieren Sie den EFI-Bootloader mit deaktiviertem Credential Guard:
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y - Erstellen Sie einen neuen BCD-Eintrag, um mit deaktiviertem Credential Guard zu booten:
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d
Das ist äußerst heikel – befolgen Sie die Anweisungen unbedingt Schritt für Schritt, denn wenn Sie den Bootloader beschädigen, startet Windows möglicherweise nicht richtig. Nach dem Neustart werden Sie aufgefordert, den Anmeldeschutz beim Start zu deaktivieren. Drücken Sie einfach schnell F3, wenn Sie dazu aufgefordert werden, und die Funktion sollte deaktiviert sein.
Abschließende Kontrollen und Aufräumarbeiten
Nachdem Sie all das erledigt haben, prüfen Sie, ob Credential Guard deaktiviert ist. Laden Sie das PowerShell-Skript aus dem offiziellen GitHub-Repository: Winhance herunter oder verwenden Sie die mitgelieferten Tools DG_Readiness_Tool_v3.6.ps1. Führen Sie es wie folgt aus:
cd C:\PS\dgreadiness_v3.6\ Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned.\DG_Readiness_Tool_v3.6.ps1 -ReadyUnd wenn Sie Credential Guard vollständig deaktivieren möchten, führen Sie Folgendes aus:
.\DG_Readiness_Tool_v3.6.ps1 -Disable -CGNeustart und erneuter F3-Klick. Hoffentlich ist Credential Guard jetzt verschwunden. Bei manchen Konfigurationen ist etwas Ausprobieren nötig – insbesondere bei Problemen mit Secure Boot/UFEI-Sperre –, aber im Großen und Ganzen funktioniert es so.
Ehrlich gesagt ist es etwas frustrierend, dass Windows das Deaktivieren bestimmter Sicherheitsfunktionen so kompliziert gestaltet, aber immerhin hat man jetzt eine gute Chance, Probleme mit virtuellen Maschinen oder Apps zu beheben, die durch Credential Guard verursacht wurden.
Zusammenfassung
- Deaktivieren Sie Credential Guard über Gruppenrichtlinien oder Registry-Änderungen.
- Falls eine UEFI-Sperre aktiv ist, deaktivieren Sie diese über Bootloader-Anpassungen.
- Verwenden Sie Skripte wie Winhance zur Überprüfung und für mehr Kontrolle.
Zusammenfassung
Das Deaktivieren von Credential Guard ist nicht ganz einfach, aber machbar, wenn man sich mit etwas Kommandozeilenarbeit und einem Neustart auskennt. Das hat definitiv einige seltsame Kompatibilitätsprobleme mit VMs und Anwendungen behoben, und auf manchen Rechnern ist es die einzige Lösung. Halten Sie unbedingt ein Backup oder einen Wiederherstellungspunkt bereit – denn Eingriffe in die Systemsicherheit bergen immer ein gewisses Risiko. Hoffentlich spart das jemandem ein paar Stunden. Viel Erfolg!