Для обеспечения дополнительной защиты учетных данных пользователя в последних версиях Windows используется специальная функция Credential Guard, являющееся частью общей системы безопасности. Используя технологию виртуализации, она сохраняет данные авторизации в отдельных контейнерах, получить доступ к которым могут только привилегированные системные приложения. Механизм защиты Credential Guard впервые появился в Windows 10 Enterprise и Windows Server 2016.

Сегодня он также используется в Windows 11 Pro.

В отличие от Windows 10, в которой функция активируется при включении компонента Hyper-V, в Windows 11 она включена по умолчанию, если, конечно, система соответствует требованиям. К последним относятся поддержка VBS, безопасной загрузки, Unified Extensible Firmware Interface, наличие 64-битного процессора, доверенного платформенного модуля версии 1.2 или 2.0 и Hyper-V. К сожалению, будучи включенной, Credential Guard может вызывать проблемы в работе сторонних систем виртуализации, таких как VirtualBox или VMware, а также при подключении ПК к удаленному рабочему столу по RDP.

В таких случаях Credential Guard можно отключить, правда, тут есть одна небольшая проблема.

При поддержке Credential Guard функция будет доступна в подразделе «Безопасность устройства» → «Изоляция ядра», но ни отключить, ни включить ее вы не сможете по причине отсутствия переключателя.

Для деактивации Credential Guard в Windows 11 или 10 необходимо использовать редактор локальных групповых политик либо редактор реестра.

Примечание: перед отключением Credential Guard в Windows 10 Enterprise сначала потребуется отключить Hyper-V. Напоминаем, что сделать это можно в окне апплета «Включение или отключение компонентов Windows».

Локальные политики

Откройте редактор локальных групповых политики командой gpedit.msc и перейдите в раздел «Конфигурация компьютера» → «Административные шаблоны» → «Система» → «Device Guard». Справа вы увидите политику «Включить средство обеспечения безопасности на основе виртуализации», откройте ее настройки двойным по ней кликом.

Активируйте радиокнопку «Отключено» и сохраните настройки.

Обновите политики, выполнив в запущенной с правами администратора командной строке или PowerShell команду gpupdate /force.

Редактор реестра

Откройте редактор Regedit одноименной командой, разверните:

HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

И создайте в правой колонке новый DWORD-параметр,

с именем EnableVirtualizationBasedSecurity со значением 0. Если параметр уже существует, измените его значение на 0.

Затем перейдите к разделу HKLM\SYSTEM\CurrentControlSet\Control\Lsa, создайте в правой колонке новый DWORD-параметр,

LsaCfgFlags и оставьте его значение неизмененным, то есть 0.

Чтобы настройки вступили в силу, перезагрузите компьютер.

В результате применения этого твика Credential Guard будет отключен

Проверить статус функции Credential Guard можно либо в оснастке «Сведения о системе», либо выполнив в PowerShell команду:

(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

Если защита на основе виртуализации отключена, команда вернет значение 0, если включена, ответом будет 1.