Credential Guard en Windows está diseñado para añadir una capa adicional de seguridad aislando las credenciales confidenciales en un entorno virtualizado. En teoría suena genial, pero si tienes problemas (como que las máquinas virtuales se nieguen a iniciarse, problemas con la autenticación RDP o que las aplicaciones generen errores), a veces solo necesitas desactivarlo. Es un poco extraño que esté habilitado por defecto en algunas máquinas, sobre todo si no lo usas o si causa más problemas que protección. Esta guía te guiará por los pasos para desactivar Credential Guard, lo que puede ayudarte a solucionar esos problemas de compatibilidad. Ten en cuenta que tendrás que usar la línea de comandos y editar la configuración del sistema, porque, claro, Windows tiene que complicarlo más de lo necesario.
Cómo deshabilitar Credential Guard en Windows 11
Método 1: Uso del Editor de políticas de grupo
Este método funciona bien si solo desea desactivar Credential Guard mediante la interfaz gráfica de usuario. Deshabilitarlo mediante la directiva de grupo suele ser la opción más limpia y es ideal para evitar algunos problemas con el registro. También se aplica a entornos corporativos donde las directivas de grupo están bloqueadas.
- Abra gpedit.msc escribiéndolo en el menú Inicio o en el cuadro de diálogo Ejecutar ( Win + Rluego escriba
gpedit.msc). - Vaya a Configuración del equipo > Plantillas administrativas > Sistema > Device Guard.
- Busque la configuración denominada Activar seguridad basada en virtualización.
- Desactivar y aplicar. Esto debería desactivar Credential Guard.
Este enfoque es bastante sencillo, especialmente si se siente cómodo explorando las políticas locales. Al hacerlo, Windows debería dejar de intentar aplicar la seguridad de virtualización que mantiene Credential Guard en funcionamiento.
Método 2: Edición manual de la configuración del registro
Si la directiva de grupo no es suficiente o si trabajas con un equipo independiente, modificar el registro puede ser la solución. Es un tema delicado, así que no olvides hacer una copia de seguridad del registro primero o, al menos, crear un punto de restauración. Haz lo siguiente:
- Abra una ventana del símbolo del sistema o de PowerShell como administrador.
- Ejecute estos comandos para configurar la clave de registro que controla Credential Guard:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0 reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0El primer comando desactiva Credential Guard si está habilitado mediante LsaCfgFlags. El segundo se aplica a los dispositivos que usan ciertas protecciones de bloqueo UEFI, asegurando que Credential Guard esté completamente deshabilitado. En algunas configuraciones, estos comandos son suficientes, pero en otras, especialmente si el bloqueo UEFI está habilitado, deberá ir más allá.
Opción 3: Manejo de sistemas con bloqueo UEFI habilitado
Esta es la parte más complicada. Si tu firmware UEFI está bloqueado con contraseña y el Arranque Seguro está activo, tendrás que hacer algo más: básicamente, desactivar Credential Guard a nivel de firmware. Esto implica crear una configuración de arranque especial, algo compleja, pero necesaria si quieres eliminarla y tener el bloqueo UEFI activado.
- Primero, abra un símbolo del sistema de administrador.
- Monte la partición del sistema EFI:
mountvol X: /s(reemplace X: con una letra de unidad disponible). - Copie el cargador de arranque EFI con Credential Guard deshabilitado:
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y - Cree una nueva entrada BCD para arrancar con Credential Guard deshabilitado:
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d
Esto es muy delicado. Asegúrate de seguir los comandos paso a paso, ya que si fallas el gestor de arranque, Windows podría no iniciarse correctamente. Tras reiniciar, se te pedirá que desactives Credential Guard durante el arranque. Simplemente pulsa F3 rápidamente cuando se te solicite y debería desactivarse la función.
Comprobaciones finales y limpieza
Una vez hecho todo esto, comprueba si Credential Guard está desactivado. Descarga el script de PowerShell del repositorio oficial de GitHub: Winhance o usa las herramientas incluidas DG_Readiness_Tool_v3.6.ps1. Ejecútalo así:
cd C:\PS\dgreadiness_v3.6\ Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned.\DG_Readiness_Tool_v3.6.ps1 -ReadyY si desea desactivar Credential Guard por completo, ejecute:
.\DG_Readiness_Tool_v3.6.ps1 -Disable -CGReinicia y es hora de presionar F3 de nuevo. Crucemos los dedos, Credential Guard debería haber desaparecido. En algunas configuraciones, es cuestión de prueba y error, sobre todo con problemas de arranque seguro y bloqueo UFEI, pero por ahora, esto es lo esencial.
Sinceramente, es un poco frustrante que Windows haga que deshabilitar ciertas funciones de seguridad sea tan complicado, pero bueno, ahora tienes una oportunidad decente de solucionar problemas de máquinas virtuales o aplicaciones causados por Credential Guard.
Resumen
- Desactive Credential Guard a través de la Política de grupo o ediciones del registro.
- Si el bloqueo UEFI está activo, deshabilítelo mediante ajustes del cargador de arranque.
- Utilice scripts como Winhance para verificación y mayor control.
Resumen
Deshabilitar Credential Guard no es el proceso más sencillo, pero se puede hacer si te conformas con usar la línea de comandos y reiniciar. Esto sin duda ayudó a resolver algunos problemas de compatibilidad con máquinas virtuales y aplicaciones, y en algunas máquinas, es la única solución. Simplemente ten a mano una copia de seguridad o un punto de restauración, ya que manipular la seguridad del sistema siempre conlleva riesgos. Con suerte, esto le ahorrará algunas horas a alguien.¡Mucha suerte!