MENU
  1. Accueil
  2. Windows
  3. Windows11
  4. Désactiver VBS, Credential Guard et LSA Protection sous Windows 11 24H2 : guide complet

Désactiver VBS, Credential Guard et LSA Protection sous Windows 11 24H2 : guide complet

Windows11

Vous voulez utiliser VMware, VirtualBox ou le passthrough GPU sans sacrifier la sécurité ? Sous Windows 11 24H2, Virtualization‑Based Security (VBS) résiste aux méthodes classiques. Voici le guide exhaustif pour la neutraliser proprement — ou contourner le problème sans désarmer votre bouclier.

Sommaire

Problématique

  • Un poste Windows 11 Pro 24H2 garde VBS actif malgré bcdedit /set hypervisorlaunchtype off, la désactivation de l’isolation du noyau et la modification des clés DeviceGuard/LSA.
  • Les mêmes commandes suffisent encore sur Windows 10 22H2 et Windows 11 23H2 ; le durcissement 24H2 introduit un verrou UEFI qui recolle les paramètres à chaque démarrage.
  • Conséquences : VMware Workstation, VirtualBox, BlueStacks, certains outils de debogage kernel et le passthrough matériel (VT‑d, SR‑IOV) refusent de démarrer ou s’exécutent avec de fortes pénalités.

Pourquoi cela résiste ?

  1. Activation par défaut élargie Depuis Windows 11 22H2, VBS, Credential Guard et HVCI sont activés automatiquement sur les PC « compatibles ». Le passage à 24H2 étend cette compatibilité et lie les trois services.
  2. UEFI Lock La stratégie « Enabled with UEFI lock » inscrit une variable dans la partition EFI. Tant qu’elle existe, VBS se réactive même si hypervisorlaunchtype est sur off.
  3. Machines Secured‑core Les portables ou stations « Secured‑core » (ThinkPad T14s Gen4, Surface Laptop 6…) appliquent Secure Boot, DRTM et la supervision du firmware ; VBS devient alors indissociable, sauf si l’on désactive Secure Boot ou SVM/VT‑x au BIOS.

Procédure complète pour vraiment désactiver VBS sur Windows 11 24H2

⚠️ Avertissement : cette opération retire plusieurs protections (Credential Guard, HVCI, LSA PPL). Vérifiez la conformité avec les politiques internes avant déploiement en production.

Étape 1 : neutraliser les stratégies VBS / Credential Guard

Choisissez l’une des approches :

  • GPO locale ou Intune
    Computer Configuration ▸ Administrative Templates ▸ System ▸ Device Guard ▸ Turn On Virtualization Based Security → Disabled
    Dans la section Credential Guard, sélectionnez « Enable without lock » ou « Disable ».
  • Registre
    [HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard] "EnableVirtualizationBasedSecurity"=dword:00000000 "RequirePlatformSecurityFeatures"=dword:00000000 \[HKEY\LOCAL\MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "LsaCfgFlags"=dword:00000000

Étape 2 : retirer la variable UEFI verrouillant VBS

  1. Ouvrez un Invite de commandes administrateur et exécutez :
    mountvol X: /s copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DisableVBS" /application osloader bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi" bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X: bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215} mountvol X: /d
  2. Redémarrez. Un écran UEFI signale un changement ; appuyez sur F3 pour confirmer.
  3. Au deuxième démarrage, exécutez :
    bcdedit /set vsmlaunchtype off bcdedit /set hypervisorlaunchtype off

La variable UEFI est supprimée ; VBS ne se relancera plus.

Étape 3 : vérifier la désactivation

  • Dans msinfo32, la ligne « Sécurité basée sur la virtualisation » doit afficher Non activé.
  • VMware Workstation, VirtualBox ou votre hyperviseur préféré doit démarrer en mode pleine virtualisation (test : moteur VT‑x/AMD‑V activé).
  • Vous pouvez aussi lancer :
    systeminfo | find "Virtualization-based Security" et vérifier que le statut est Not enabled.

Étape 4 : désactiver directement au firmware (dernier recours)

Couper Secure Boot ou SVM/VT‑x dans le BIOS garantit que VBS reste hors service, mais :

  • Inhibe Hyper‑V, WSL 2, Windows Sandbox et certaines fonctions anti‑rootkit.
  • Rend l’appareil non conforme aux profils Intune « Secured‑core PC ».

Alternatives si la désactivation est interdite

OptionAvantagesInconvénients
Mettre à jour VMware Workstation (≥ 17.5) ou passer à Hyper‑V/WSL 2Compatible avec VBS, support officielPerte de 5‑15 % de performances CPU ; nesting limité
Virtualisation imbriquée Hyper‑V à l’intérieur des VMPermet Docker/WSL dans la VMNesting → double overhead
Segmenter les usages (PC lab virtuel vs PC production)Pas de compromis sécurité/perf sur chaque posteCoût matériel et logistique

FAQ – Questions fréquentes

VBS est‑il identique à HVCI ?

Non. VBS est la plate‑forme d’isolation sécurisée. HVCI (Memory Integrity) n’en est qu’un module. Arrêter HVCI dans Windows Security ne coupe pas VBS.

Ma VM plante encore après la procédure. Pourquoi ?

  • Vérifiez que bcdedit n’a pas recréé de valeur vsmlaunchtype auto après Windows Update.
  • Sur AMD Ryzen 7000/8000, la fonction SMEE peut rester active ; désactivez SME / SEV dans l’UEFI.
  • Certaines cartes mères ASUS 2024 réécrivent la variable « Credential Guard lock » après un flash BIOS ; mettez le BIOS à jour.

Existe‑t‑il un risque de conformité PC Health Check ?

Oui : l’outil de Microsoft peut signaler un état Non conforme si VBS n’est pas actif alors que l’OEM l’exige. Documentez la dérogation auprès de votre RSSI.

Dépannage avancé

Contrôler l’existence de la variable UEFI via PowerShell

Get-WmiObject -Namespace "root\WMI" -Class "MS_SystemInformation" |
 Select-Object -ExpandProperty HostGuardStatus

1 = Locked, 0 = Unlockable.

Exporter un rapport MSINFO automatisé

msinfo32 /nfo "%USERPROFILE%\Desktop\msinfo.nfo"

Partagez ce fichier avec l’équipe sécurité pour valider la désactivation.

Comparer les performances avant/après

  1. Lancez winsat formal -restart clean avant la procédure.
  2. Désactivez VBS.
  3. Relancez winsat formal et comparez les scores CPU/Memory ; la différence moyenne observée est de 3‑6 % sur Alder Lake et Ryzen Zen 4.

Conclusion

Avec Windows 11 24H2, Microsoft verrouille VBS beaucoup plus près du cœur du système. Pour un laboratoire offensif, la virtualisation imbriquée ou un environnement GPU‑pass‑through, il devient indispensable de dénouer le triptyque stratégie GPO → variable UEFI → BCD. En production, pesez toujours le gain fonctionnel face à la perte de défense en profondeur. Là où la désactivation est prohibée, préférez une mise à jour de l’hyperviseur ou le cloisonnement des usages.

Notes et références

  1. Discussions d’utilisateurs confrontés à l’impossibilité de couper la Memory Integrity dans Windows 11 24H2.
  2. Documentation Microsoft « Configure Credential Guard ».
  3. Microsoft Learn « Credential Guard overview ».
  4. Fil de discussion VMware Broadcom « Windows 11 24H2 – comment désactiver VBS ».
  5. Thread Microsoft Q&A « VBS not disabled on Windows 11 24H2 ».
Windows11
Windows11 troubleshooting virtualisation VBS Credential Guard
Sommaire