Credential Guard deaktivieren

Radius WLAN lassen sich nicht mehr verbinden sobald der Credential Guard aktiv ist

Falls noch nicht existiert, neu anlgen:

Registry Hive: HKEY_LOCAL_MACHINE
Registry Path: \SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\

Value Name: LsaCfgFlags
Value Type: REG_DWORD
Value: 0x00000000 (0)



HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

Step 10: Right-click on LSA, select New, and choose DWORD(32-bit) Value to continue.
Step 11: Name it as the LsaCfgFlags to continue.
Step 12: Double-click it to change its value data to 0.


CMD als Admin starten (Powershell geht nicht):

mountvol X: /s
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
mountvol X: /d

PC neu starten. Beim Neustart kommt eine Abfrage welche mit F3 bestätigt werden muss;

Hinweis:
Ab Windows 11 Version 22H2 ist Credential Guard auf Geräten, die die Anforderungen erfüllen, standardmäßig aktiviert. Die Standardaktivierung ist ohne UEFI-Sperre, sodass Administratoren Credential Guard bei Bedarf remote deaktivieren können.
Wenn Credential Guard ohne UEFI-Sperre und ohne Gruppenrichtlinie aktiviert ist, reicht es aus, die Registrierungsschlüssel zu bearbeiten, um sie zu deaktivieren.
Das heisst, wenn die oberen 2 RegKeys gesetzt werden via GPO, sollte Credential Guard deaktiviert werden und es benötigt die cmd Befehle nicht.

Check with powershell:
Get-CimInstance –ClassName Win32_DeviceGuard –Namespace root\Microsoft\Windows\DeviceGuard

AvailableSecurityProperties
This field helps to enumerate and report state on the relevant security properties for VBS and memory integrity.

ValueDescription
0.If present, no relevant properties exist on the device.
1.If present, hypervisor support is available.
2.If present, Secure Boot is available.
3.If present, DMA protection is available.
4.If present, Secure Memory Overwrite is available.
5.If present, NX protections are available.
6.If present, SMM mitigations are available.
7.If present, MBEC/GMET is available.
8.If present, APIC virtualization is available.

SecurityServicesConfigured
This field indicates whether Credential Guard or memory integrity has been configured.

ValueDescription
0.No services are configured.
1.If present, Credential Guard is configured.
2.If present, memory integrity is configured.
3.If present, System Guard Secure Launch is configured.
4.If present, SMM Firmware Measurement is configured.
Erstellungsdatum: 17.02.2023 11:59      Letzte Aktualisierung: 28.02.2024 17:13