Hoe RDP-verbindingsproblemen op Windows 11 25H2, veroorzaakt door Credential Guard, op te lossen
Als je je computer hebt geüpgraded naar Windows 11 25H2 en merkt dat je externe bureaubladverbindingen problemen geven, vooral bij het gebruik van niet-ASCII-accountnamen of bij het verbinden via IP in plaats van FQDN, dan ben je niet de enige. Soms weigert de verbinding gewoon tot stand te komen, met foutmeldingen over aanmeldingsgegevens of een vastlopend proces. Na wat onderzoek en veel uitproberen, lijkt de boosdoener te liggen bij Credential Guard, een beveiligingsfunctie die bedoeld is om gebruikersgegevens te beschermen. Ja, het is goed voor de beveiliging, maar in bepaalde configuraties maakt het RDP een nachtmerrie. Deze handleiding legt uit wat er aan de hand is, hoe je kunt controleren of Credential Guard is ingeschakeld en hoe je het indien nodig kunt uitschakelen. Want Windows moet het natuurlijk weer eens lastiger maken. Verwacht dat RDP-verbindingen na het uitschakelen normaler zouden moeten werken; gebruikersnaamverificatie via IP (NTLM) zou weer moeten werken en vreemde problemen met niet-ASCII-gebruikersnamen zouden mogelijk opgelost zijn.
Hoe controleer je of Credential Guard is ingeschakeld?
De eerste stap is controleren of Credential Guard is ingeschakeld. De eenvoudigste manier is via PowerShell: powershell (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning. Als de uitvoer “1” is, is Credential Guard zeker actief, wat verklaart waarom sommige RDP- en aan referenties gerelateerde functies worden geblokkeerd. Een “0” betekent dat het niet is ingeschakeld en dat het probleem mogelijk ergens anders ligt. Soms is Credential Guard op Windows 11-machines standaard ingeschakeld als de hardware voldoet aan de eisen — TPM-chips, SecureBoot, virtualisatie, enz. Het is bedoeld om referenties te beschermen, maar kan problemen veroorzaken bij externe verbindingen.
Methode 1: Credential Guard uitschakelen via GPO
Als Credential Guard is ingeschakeld en u het niet nodig hebt, kunt u het mogelijk uitschakelen via Groepsbeleid, maar alleen als uw apparaat geen UEFI-vergrendeling heeft. De vergrendeling is een UEFI-instelling die wijzigingen voorkomt, dus als deze is vergrendeld, moet u die eerst uitschakelen (hierover later meer).- Druk op Windows + R, typ gpedit.mscen druk op Enter om de Groepsbeleid-editor te openen.- Navigeer naar Computerconfiguratie —> Administratieve sjablonen —> Systeem —> Apparaatbeveiliging.- Zoek ‘Virtualisatiegebaseerde beveiliging inschakelen’ en stel deze in op ‘Uitgeschakeld’. Dit helpt meestal, omdat het voorkomt dat Credential Guard wordt geactiveerd, waardoor NTLM niet wordt geblokkeerd tijdens RDP. Vervolgens moet u enkele registersleutels uitschakelen die Credential Guard uitschakelen: voer de volgende commando’s uit in PowerShell of de opdrachtprompt: `powershell reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v LsaCfgFlags /t REG_DWORD /d 0` en `powershell reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard /f /v LsaCfgFlags /t REG_DWORD /d 0`.Voer deze commando’s uit als beheerder in PowerShell of de opdrachtprompt. Hiermee wordt de Credential Guard-beveiliging effectief uitgeschakeld.Let op: Soms worden wijzigingen niet direct van kracht. Een herstart is meestal vereist. En als u een bedrijfsapparaat met een UEFI-vergrendeling gebruikt, kunnen deze lokale wijzigingen na een herstart worden teruggezet, dus het is niet altijd even eenvoudig.
Methode 2: Omgaan met UEFI-vergrendeling — De verborgen uitdaging
Als de UEFI-vergrendeling is ingeschakeld, is het uitschakelen van Credential Guard via het register of GPO niet permanent. Windows schakelt het elke keer dat u opnieuw opstart weer in, omdat de UEFI-vergrendeling het opstartbeleid van Secure Boot afdwingt. Om Credential Guard uit te schakelen wanneer de UEFI-vergrendeling actief is, moet u handmatig een tijdelijke opstartvermelding aanmaken die een speciale EFI-loader start om wijzigingen toe te staan. Je begint met het kopiëren van een speciaal EFI-bestand: cmd copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi Maak vervolgens een nieuwe opstartvermelding aan: cmd bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d “DebugTool” /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path “\EFI\Microsoft\Boot\SecConfig.efi” bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: mountvol X: /d Vervang `X:` door een vrije stationsletter. Hiermee wordt een speciale opstartmodus ingesteld waarin Credential Guard kan worden uitgeschakeld. Wanneer u opnieuw opstart, ziet u tijdens het opstartproces een optie genaamd Credential Guard Opt-out Tool — druk gewoon op F3. Hiermee wordt Credential Guard voor deze sessie uitgeschakeld en kunt u vervolgens normaal opstarten in Windows zonder de beveiliging. Let op: deze methode is enigszins omslachtig en na het opnieuw opstarten kunnen de standaardinstellingen worden gereset, tenzij u de UEFI permanent patcht. Bovendien kan dit proces op sommige systemen vooraf firmware-updates of aanpassingen van de UEFI-instellingen vereisen.
Wat als het uitschakelen van Credential Guard niet helpt?
Als je Credential Guard hebt uitgeschakeld en nog steeds problemen ondervindt met RDP-verbindingen, is het wellicht de moeite waard om het volgende te controleren: – Zorg ervoor dat je accounts geen beperkingen ondervinden vanwege niet-ASCII-tekens.- Controleer of je netwerk, VPN of firewall geen UDP/TCP-poorten blokkeert (3389 is de standaardpoort).- Zorg ervoor dat je DNS-resolutie werkt en dat je de hostnaam (FQDN) gebruikt in plaats van alleen het IP-adres. Soms helpt een volledige herstart van het systeem na deze aanpassingen om de wijzigingen te vergrendelen.
Samenvatting
- Je kunt met PowerShell-opdrachten controleren of Credential Guard actief is.
- Het uitschakelen ervan via GPO en het register lost doorgaans problemen met RDP op, met name bij niet-ASCII-gebruikersnamen of IP-gebaseerde verbindingen.
- Als er sprake is van UEFI-vergrendeling, moet u mogelijk tijdelijke EFI-opstartvermeldingen aanmaken om Credential Guard op een lager niveau uit te schakelen.
- Houd er rekening mee dat sommige hardware- en firmwareconfiguraties deze wijzigingen ongedaan kunnen maken, dus permanente oplossingen vereisen aanpassingen aan de UEFI-instellingen.
Samenvatting
Het is niet altijd even makkelijk om RDP soepel te laten werken op Windows 11 25H2 met Credential Guard ingeschakeld, maar als je weet wat de blokkade veroorzaakt, wordt het een stuk eenvoudiger. Niet iedereen wil Credential Guard uitschakelen, zeker niet in een bedrijfsomgeving, maar als toegang op afstand cruciaal is, is het soms de enige optie. Overweeg wel goed de mogelijke beveiligingsrisico’s voordat je deze beveiliging uitschakelt. Hopelijk bespaart dit iemand een paar uur. Als dit er al voor zorgt dat één configuratie weer werkt, is het de moeite absoluut waard.