Credential Guard in Windows is bedoeld om een extra beveiligingslaag toe te voegen door gevoelige referenties te isoleren in een gevirtualiseerde omgeving. Dat klinkt geweldig in theorie, maar als je problemen ondervindt – zoals virtuele machines die niet opstarten, problemen met RDP-authenticatie of apps die foutmeldingen geven – is het soms gewoon beter om het uit te schakelen. Het is een beetje vreemd dat het op sommige machines standaard is ingeschakeld, vooral als je het niet gebruikt of als het meer problemen dan bescherming oplevert. Deze handleiding beschrijft de stappen om Credential Guard uit te schakelen, wat kan helpen bij het oplossen van dergelijke compatibiliteitsproblemen. Verwacht wat werk via de opdrachtregel en het aanpassen van systeeminstellingen – want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig is.
Hoe schakel ik Credential Guard uit in Windows 11?
Methode 1: De Groepsbeleid-editor gebruiken
Deze methode werkt prima als u Credential Guard alleen via de grafische gebruikersinterface wilt uitschakelen. Uitschakelen via Groepsbeleid is meestal de meest overzichtelijke manier en is ideaal om de nodige aanpassingen in het register te voorkomen. Het is ook geschikt voor bedrijfsomgevingen waar groepsbeleid strikt beveiligd is.
- Open gpedit.msc door dit in het Startmenu of het dialoogvenster Uitvoeren te typen ( Win + Rtyp vervolgens
gpedit.msc). - Ga naar Computerconfiguratie > Administratieve sjablonen > Systeem > Apparaatbeveiliging.
- Zoek de instelling met de naam ‘ Virtualisatiegebaseerde beveiliging inschakelen’.
- Zet het op ‘Uitgeschakeld’ en klik vervolgens op ‘Toepassen’.Hiermee wordt Credential Guard uitgeschakeld.
Deze aanpak is vrij eenvoudig, vooral als je het geen probleem vindt om in de lokale beleidsregels te rommelen. Wanneer je dit doet, zou Windows moeten stoppen met het afdwingen van de virtualisatiebeveiliging die Credential Guard actief houdt.
Methode 2: Handmatig de registerinstellingen bewerken
Als Groepsbeleid niet voldoende is of als je met een zelfstandige machine werkt, kan het aanpassen van het register uitkomst bieden. Het is wel een delicate procedure, dus vergeet niet om eerst een back-up van je register te maken of in ieder geval een herstelpunt aan te leggen. Zo doe je dat:
- Open een opdrachtprompt of PowerShell-venster als beheerder.
- Voer deze opdrachten uit om de registersleutel in te stellen die Credential Guard beheert:
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0 reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0De eerste opdracht schakelt Credential Guard uit als deze is ingeschakeld via LsaCfgFlags. De tweede opdracht is bedoeld voor apparaten die bepaalde UEFI-vergrendelingsmechanismen gebruiken en zorgt ervoor dat Credential Guard volledig wordt uitgeschakeld. In sommige gevallen zijn deze opdrachten voldoende, maar in andere gevallen – met name als UEFI-vergrendeling is ingeschakeld – zijn er meer stappen nodig.
Optie 3: Omgaan met systemen die UEFI-vergrendeling hebben ingeschakeld
Dit is het lastigste gedeelte. Als je UEFI-firmware is beveiligd met een wachtwoord en Secure Boot is ingeschakeld, moet je meer doen – in principe Credential Guard uitschakelen op firmwareniveau. Dit houdt in dat je een speciale opstartconfiguratie moet maken, wat nogal drastisch is, maar noodzakelijk als je Credential Guard wilt verwijderen en een UEFI-vergrendeling hebt ingeschakeld.
- Open eerst een opdrachtprompt met beheerdersrechten.
- Koppel de EFI-systeempartitie:
mountvol X: /s(vervang X: door een beschikbare stationsletter). - Kopieer de EFI-bootloader met Credential Guard uitgeschakeld:
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y - Maak een nieuwe BCD-vermelding aan om op te starten met Credential Guard uitgeschakeld:
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d
Dit is een delicate procedure. Volg de instructies stap voor stap, want als je de bootloader beschadigt, start Windows mogelijk niet goed op. Na het opnieuw opstarten wordt je gevraagd om Credential Guard tijdens het opstarten uit te schakelen. Druk kort op F3 wanneer daarom wordt gevraagd, en de functie wordt uitgeschakeld.
Laatste controles en opruimwerkzaamheden
Nadat je dat allemaal hebt gedaan, controleer je of Credential Guard is uitgeschakeld. Download het PowerShell-script van de officiële GitHub-repository: Winhance of gebruik de meegeleverde tools DG_Readiness_Tool_v3.6.ps1. Voer het als volgt uit:
cd C:\PS\dgreadiness_v3.6\ Set-ExecutionPolicy -Scope Process -ExecutionPolicy RemoteSigned.\DG_Readiness_Tool_v3.6.ps1 -ReadyEn als je Credential Guard volledig wilt uitschakelen, voer dan het volgende commando uit:
.\DG_Readiness_Tool_v3.6.ps1 -Disable -CGOpnieuw opstarten en weer even snel op F3 drukken. Met een beetje geluk is Credential Guard nu verdwenen. Bij sommige systemen is het een kwestie van uitproberen, vooral met de problemen rondom Secure Boot/UFEI-vergrendeling, maar tot nu toe werkt het zo.
Eerlijk gezegd is het best frustrerend dat Windows het uitschakelen van bepaalde beveiligingsfuncties zo ingewikkeld maakt, maar goed, nu heb je in ieder geval een goede kans om problemen met virtuele machines of apps die door Credential Guard worden veroorzaakt, op te lossen.
Samenvatting
- Schakel Credential Guard uit via Groepsbeleid of registeraanpassingen.
- Als UEFI-vergrendeling actief is, schakel deze dan uit via aanpassingen aan de bootloader.
- Gebruik scripts zoals Winhance voor verificatie en meer controle.
Samenvatting
Het uitschakelen van Credential Guard is niet het meest eenvoudige proces, maar het is te doen als je geen probleem hebt met wat commandoregelwerk en herstarten. Dit heeft zeker geholpen bij het oplossen van een aantal vreemde compatibiliteitsproblemen tussen virtuele machines en apps, en op sommige machines is het zelfs de enige oplossing. Zorg er wel voor dat je een back-up of herstelpunt bij de hand hebt, want het aanpassen van de systeembeveiliging brengt altijd risico’s met zich mee. Hopelijk bespaart dit iemand een paar uur. Succes!