1
Deaktivierung von Credential Guard nicht möglich
Servus Kollegen.
Ich habe hier den seltsamen Fall, dass auf einem Win10 1909 Rechner Credential Guard testhalber per GPO aktiviert wurde.
Test ist nun abgeschlossen und es soll wieder deaktiviert werden, aber es weigert sich. Egal, ob nun die GPO auf nicht konfiguriert oder auf deaktiviert gestellt wird.
Selbst nach Deinstallation von Hyper-V (ist Voraussetzung für Credential Guard) lief er noch, was mich wundert.
Nun gut, wofür hat man Backups - Image von c: zurückgespielt von einem Stand, wo Credentialguard definitiv nicht an war - es läuft trotzdem weiter.
(Screenshot von msinfo32)
Kann sich das jemand erklären? Bitte nur antworten, wenn Ihr dieses Verhalten kennt und selbst gelöst habt.
Schalte ich im Bios die Intel Virtualisierungstechniken ab, dann geht es aus - aber dann kann ich auf dem Rechner Hyper-V auch nicht mehr verwenden.
Ich habe hier den seltsamen Fall, dass auf einem Win10 1909 Rechner Credential Guard testhalber per GPO aktiviert wurde.
Test ist nun abgeschlossen und es soll wieder deaktiviert werden, aber es weigert sich. Egal, ob nun die GPO auf nicht konfiguriert oder auf deaktiviert gestellt wird.
Selbst nach Deinstallation von Hyper-V (ist Voraussetzung für Credential Guard) lief er noch, was mich wundert.
Nun gut, wofür hat man Backups - Image von c: zurückgespielt von einem Stand, wo Credentialguard definitiv nicht an war - es läuft trotzdem weiter.
(Screenshot von msinfo32)
Kann sich das jemand erklären? Bitte nur antworten, wenn Ihr dieses Verhalten kennt und selbst gelöst habt.
Schalte ich im Bios die Intel Virtualisierungstechniken ab, dann geht es aus - aber dann kann ich auf dem Rechner Hyper-V auch nicht mehr verwenden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 601261
Url: https://administrator.de/contentid/601261
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
1 Kommentar
Habe die Lösung gefunden:
Mitnichten muss man hier nur die Policy rückgängig machen, wie mancherorts empfohlen.
In der Policy selbst wird in der Beschreibung schon vage angedeutet, dass da noch mehr von Nöten ist:
Lösung von https://docs.microsoft.com/en-us/windows/security/identity-protection/cr ...
If you used Group Policy, disable the Group Policy setting that you used to enable Windows Defender Credential Guard (Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).
Delete the following registry settings:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
If you also wish to disable virtualization-based security delete the following registry settings:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Important
If you manually remove these registry settings, make sure to delete them all. If you don't remove them all, the device might go into BitLocker recovery.
Delete the Windows Defender Credential Guard EFI variables by using bcdedit. From an elevated command prompt, type the following commands:
Restart the PC.
Accept the prompt to disable Windows Defender Credential Guard.
Mitnichten muss man hier nur die Policy rückgängig machen, wie mancherorts empfohlen.
In der Policy selbst wird in der Beschreibung schon vage angedeutet, dass da noch mehr von Nöten ist:
The "Enabled with UEFI lock" option ensures that Virtualization Based Protection of Code Integrity cannot be disabled remotely. In order to disable the feature, you must set the Group Policy to "Disabled" as well as remove the security functionality from each computer, with a physically present user, in order to clear configuration persisted in UEFI
...nur steht nicht da, wie das geht.Lösung von https://docs.microsoft.com/en-us/windows/security/identity-protection/cr ...
If you used Group Policy, disable the Group Policy setting that you used to enable Windows Defender Credential Guard (Computer Configuration -> Administrative Templates -> System -> Device Guard -> Turn on Virtualization Based Security).
Delete the following registry settings:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
If you also wish to disable virtualization-based security delete the following registry settings:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Important
If you manually remove these registry settings, make sure to delete them all. If you don't remove them all, the device might go into BitLocker recovery.
Delete the Windows Defender Credential Guard EFI variables by using bcdedit. From an elevated command prompt, type the following commands:
mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /dAccept the prompt to disable Windows Defender Credential Guard.
