Windows 11/10: Device Guard aktivieren, deaktivieren – So geht’s

Device Guard unter Windows 11 und Windows 10 aktivieren oder deaktivieren: So schützen Sie Ihr System vor Schadsoftware – Schritt-für-Schritt-Anleitung.

Device Guard ist eine leistungsstarke Sicherheitstechnologie in Windows 10 und Windows 11, die Ihren PC durch virtualisierungsbasierte Sicherheit vor Schadsoftware und unbefugtem Code schützt.

In diesem Artikel erfahren Sie, was Device Guard genau ist, wann Sie ihn aktivieren oder deaktivieren sollten, und wie Sie dies unter Windows 10 und Windows 11 Schritt für Schritt mit verschiedenen Methoden umsetzen.

Was ist Device Guard unter Windows?

Device Guard bezeichnet einen Satz hardware- und softwarebasierter Sicherheitstechnologien, den Microsoft in Windows 10 und Windows 11 integriert hat. Ziel ist es, das Betriebssystem durch virtualisierungsbasierte Sicherheit (VBS) vor der Ausführung unsignierten oder bösartigen Codes zu schützen. Dabei nutzt Device Guard den Windows-Hypervisor, um einen sicheren, vom restlichen System getrennten Speicherbereich zu schaffen.

Zu den Kernkomponenten von Device Guard zählen:

• Virtualisierungsbasierte Sicherheit (VBS): Die Grundlage von Device Guard. VBS isoliert kritische Betriebssystemfunktionen vom normalen Arbeitsspeicher, indem der Windows-Hypervisor einen abgeschlossenen Bereich erzeugt.
• Hypervisor-geschützte Codeintegrität (HVCI): Auch als „Memory Integrity“ bekannt. HVCI stellt sicher, dass nur vertrauenswürdiger, signierter Code im Kernel ausgeführt wird.
• Credential Guard: Schützt gespeicherte Anmeldeinformationen wie NTLM-Kennworthashes und Kerberos-Tickets vor Diebstahlangriffen, indem er diese in einer isolierten VBS-Umgebung ablegt.
• Windows Defender Application Control (WDAC): Kontrolliert, welche Anwendungen und Treiber auf einem Gerät ausgeführt werden dürfen.

Zusammen bilden diese Komponenten einen mehrschichtigen Schutz, der besonders in Unternehmensumgebungen unverzichtbar ist. Jedoch ist es wichtig zu wissen, dass Device Guard nicht in der Windows-Home-Edition verfügbar ist. Er steht ausschließlich auf Systemen mit Windows 10/11 Pro, Enterprise oder Education zur Verfügung.

Hardwarevoraussetzungen für Device Guard

Damit Device Guard korrekt funktioniert, müssen bestimmte Hardware- und Firmware-Anforderungen erfüllt sein. Anderenfalls lässt sich VBS nicht aktivieren oder nicht vollständig nutzen.

Folgende Voraussetzungen sind erforderlich:

• 64-Bit-Prozessor mit Virtualisierungserweiterungen: Intel VT-x (bei Intel-CPUs) oder AMD-V (bei AMD-CPUs), jeweils mit SLAT-Unterstützung (Second Level Address Translation)
• UEFI-Firmware in Version 2.3.1 oder höher mit Secure-Boot-Unterstützung
• TPM 2.0 (Trusted Platform Module), für maximalen Schutz empfohlen
• Virtualisierungsunterstützung im BIOS/UEFI muss aktiviert sein
• Mindestens 4 GB RAM, empfohlen werden 8 GB oder mehr

Zudem sollten Sie beachten, dass Windows 11 ab Version 22H2 auf kompatiblen Geräten VBS und Credential Guard automatisch und ohne weiteres Zutun aktiviert. Dies gilt insbesondere für domänenverbundene Systeme, die alle Hardwareanforderungen erfüllen.

Den aktuellen Status von Device Guard prüfen

Bevor Sie Device Guard aktivieren oder deaktivieren, sollten Sie zunächst überprüfen, welchen Status er auf Ihrem System aktuell hat. Dazu verwenden Sie am einfachsten das Tool msinfo32.

So prüfen Sie den Status:

1. Drücken Sie Windows-Taste + R, geben Sie msinfo32 ein und bestätigen Sie mit der Eingabetaste.
2. Wählen Sie links im Baum den Eintrag Systemübersicht aus.
3. Scrollen Sie auf der rechten Seite nach unten bis zum Abschnitt Geräteschutz bzw. Device Guard.
4. Dort sehen Sie Einträge wie „Virtualisierungsbasierte Sicherheit“ und „Ausgeführte Sicherheitsdienste“.

Zusätzlich können Sie den Status über die PowerShell abfragen. Öffnen Sie PowerShell als Administrator und geben Sie folgenden Befehl ein:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Die Ausgabe liefert Ihnen detaillierte Informationen zu allen VBS-Komponenten und deren aktuellem Zustand.

Device Guard aktivieren unter Windows 11 und Windows 10

Es gibt mehrere Wege, Device Guard zu aktivieren. Welche Methode für Sie geeignet ist, hängt von Ihrem Einsatzgebiet und Ihren Vorkenntnissen ab.

Methode 1: Device Guard über die Gruppenrichtlinie aktivieren (empfohlen)

Die Gruppenrichtlinie (Group Policy Editor) ist die empfohlene Vorgehensweise, um Device Guard auf einzelnen Rechnern oder in Domänenumgebungen zu konfigurieren. Diese Methode steht unter Windows 10/11 Pro, Enterprise und Education zur Verfügung, nicht jedoch unter der Home-Edition.

Schritt-für-Schritt-Anleitung:

1. Drücken Sie Windows-Taste + R, geben Sie gpedit.msc ein und bestätigen Sie mit der Eingabetaste.
2. Navigieren Sie im linken Bereich zu: Computerkonfiguration → Administrative Vorlagen → System → Device Guard.
3. Doppelklicken Sie auf die Richtlinie „Virtualisierungsbasierte Sicherheit aktivieren“.
4. Wählen Sie oben links „Aktiviert“ aus.
5. Legen Sie unter „Plattformsicherheitsstufe auswählen“ die gewünschte Stufe fest. Empfohlen wird „VBS mit sicherem Start aktiviert“ oder – bei unterstützter Hardware – „VBS mit sicherem Start und DMA“.
6. Aktivieren Sie unter „Credential Guard-Konfiguration“ die Option „Mit UEFI-Sperre aktiviert“ (maximaler Schutz) oder „Ohne Sperre aktiviert“ (flexibler, aber weniger sicher).
7. Klicken Sie auf „Übernehmen“ und dann auf „OK“.
8. Starten Sie den PC neu, damit die Änderungen wirksam werden.

Wichtiger Hinweis: Wenn Sie Credential Guard mit UEFI-Sperre aktivieren, können Sie ihn später nicht mehr remote deaktivieren. Überlegen Sie also sorgfältig, welche Option für Ihren Anwendungsfall sinnvoller ist.

Methode 2: Device Guard über die Windows-Sicherheitseinstellungen aktivieren (Memory Integrity)

Unter Windows 11 und Windows 10 können Sie die Speicherintegrität (HVCI) – eine Kernkomponente von Device Guard – direkt über die grafische Oberfläche aktivieren. Diese Methode ist auch für weniger erfahrene Nutzer gut geeignet.

Schritt-für-Schritt-Anleitung:

1. Öffnen Sie die Einstellungen über das Startmenü (Zahnrad-Symbol) oder durch Drücken von Windows-Taste + I.
2. Gehen Sie zu Datenschutz und Sicherheit → Windows-Sicherheit → Gerätesicherheit.
3. Klicken Sie unter „Core Isolation“ (Kernisolierung) auf den Link „Details zur Kernisolierung“.
4. Schalten Sie den Schalter bei „Speicherintegrität“ auf „Ein“.
5. Starten Sie den PC neu, wenn Sie dazu aufgefordert werden.

Außerdem ist zu beachten, dass die Speicherintegrität auf manchen älteren Systemen zu Kompatibilitätsproblemen mit bestimmten Treibern führen kann. Sollte ein Treiber inkompatibel sein, zeigt Windows Ihnen einen entsprechenden Hinweis.

Methode 3: Device Guard über die Registrierung aktivieren

Für erfahrene Nutzer und Administratoren, die keine Gruppenrichtlinie verwenden möchten oder können, ist die Registrierung (Registry) eine weitere Option. Diese Methode erfordert besondere Sorgfalt, da fehlerhafte Registrierungseinträge das System beschädigen können.

Empfohlene Vorgehensweise:

1. Drücken Sie Windows-Taste + R, geben Sie regedit ein und bestätigen Sie. Bestätigen Sie die UAC-Abfrage.
2. Navigieren Sie zum Pfad: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
3. Sollte der Schlüssel DeviceGuard nicht vorhanden sein, erstellen Sie ihn: Klicken Sie mit der rechten Maustaste auf Control, wählen Sie Neu → Schlüssel und benennen Sie ihn DeviceGuard.
4. Erstellen Sie im Schlüssel DeviceGuard folgende DWORD-Werte (32-Bit):

• EnableVirtualizationBasedSecurity = 1 (VBS aktivieren)
• RequirePlatformSecurityFeatures = 1 (nur Secure Boot) oder 3 (Secure Boot und DMA)

1. Navigieren Sie anschließend zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
2. Erstellen Sie dort den DWORD-Wert Enabled = 1, um HVCI zu aktivieren.
3. Starten Sie den PC neu.

Device Guard deaktivieren unter Windows 11 und Windows 10

Es gibt legitime Gründe, Device Guard vorübergehend oder dauerhaft zu deaktivieren. Dazu zählen Kompatibilitätsprobleme mit Virtualisierungssoftware wie Oracle VirtualBox oder VMware, Leistungseinbußen auf älteren Hardware-Konfigurationen oder bestimmte Unternehmenssoftware, die nicht mit HVCI verträglich ist.

Methode 1: Deaktivierung über die Windows-Sicherheitseinstellungen

1. Öffnen Sie Einstellungen → Datenschutz und Sicherheit → Windows-Sicherheit → Gerätesicherheit.
2. Klicken Sie unter „Kernisolierung“ auf „Details zur Kernisolierung“.
3. Schalten Sie den Schalter bei „Speicherintegrität“ auf „Aus“.
4. Starten Sie den PC neu.

Deshalb ist diese Methode für die meisten Privatanwender die einfachste und schnellste Lösung, wenn sie Kompatibilitätsprobleme mit Treibern oder Virtualisierungssoftware beheben wollen.

Methode 2: Vollständige Deaktivierung über Gruppenrichtlinie

1. Drücken Sie Windows-Taste + R, geben Sie gpedit.msc ein und bestätigen Sie.
2. Navigieren Sie zu: Computerkonfiguration → Administrative Vorlagen → System → Device Guard.
3. Doppelklicken Sie auf „Virtualisierungsbasierte Sicherheit aktivieren“.
4. Wählen Sie „Deaktiviert“ und klicken Sie auf „OK“.
5. Starten Sie den PC neu.

Methode 3: Vollständige Deaktivierung über die Registrierung (PowerShell)

Eine besonders gründliche Deaktivierung – etwa wenn Device Guard trotz Gruppenrichtlinie aktiv bleibt – erfolgt über die Kombination aus Gruppenrichtlinie, Registrierung und einem PowerShell-Befehl.

Schritt-für-Schritt-Anleitung:

1. Setzen Sie zunächst die Gruppenrichtlinie wie in Methode 2 beschrieben auf „Deaktiviert“.
2. Öffnen Sie anschließend PowerShell als Administrator: Rechtsklick auf das Startmenü → „Terminal (Administrator)“ oder „Windows PowerShell (Administrator)“.
3. Geben Sie folgenden Befehl ein, um den DeviceGuard-Registrierungsschlüssel vollständig zu entfernen:

reg delete "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /f

4. Navigieren Sie danach in der Registrierung zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
5. Setzen Sie dort den Wert LsaCfgFlags auf 0, sofern er vorhanden ist.
6. Starten Sie den PC neu.

Zusätzlich sollten Sie nach dem Neustart in msinfo32 überprüfen, ob der Status bei „Virtualisierungsbasierte Sicherheit“ nun „Nicht aktiviert“ oder „Nicht vorhanden“ lautet.

Device Guard und Credential Guard: Der Unterschied

Häufig werden Device Guard und Credential Guard in einem Atemzug genannt, jedoch handelt es sich um zwei unterschiedliche, wenn auch eng verwandte Technologien.

• Device Guard ist der Oberbegriff für alle VBS-basierten Sicherheitsmaßnahmen, einschließlich HVCI und WDAC. Er schützt primär die Codeintegrität des Systems.
• Credential Guard hingegen ist eine Unterkomponente von Device Guard, die sich ausschließlich auf den Schutz von Anmeldeinformationen konzentriert. Er verhindert, dass Angreifer NTLM-Kennworthashes oder Kerberos-Tickets stehlen können.

Beide Technologien nutzen VBS als gemeinsame Basis. Daher gilt: Wer VBS deaktiviert, deaktiviert zwangsläufig auch Credential Guard und HVCI.

Credential Guard gezielt konfigurieren

Neben der allgemeinen Device-Guard-Konfiguration können Sie Credential Guard separat steuern. Dies ist besonders dann relevant, wenn bestimmte Unternehmensanwendungen nicht mit Credential Guard kompatibel sind.

Credential Guard über die Registrierung aktivieren:

1. Öffnen Sie den Registrierungseditor (regedit).
2. Navigieren Sie zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard
3. Erstellen oder bearbeiten Sie den DWORD-Wert EnableVirtualizationBasedSecurity = 1.
4. Navigieren Sie zu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
5. Erstellen oder bearbeiten Sie den DWORD-Wert LsaCfgFlags:

• 1 = Credential Guard mit UEFI-Sperre aktivieren
• 2 = Credential Guard ohne UEFI-Sperre aktivieren (deaktivierbar per Fernzugriff)
• 0 = Credential Guard deaktivieren

1. Starten Sie den PC neu.

Zudem beachten Sie: Ab Windows 11 22H2 ist Credential Guard auf domänenverbundenen Geräten, die die Hardwareanforderungen erfüllen, standardmäßig aktiv – ohne explizite Konfiguration.

Häufige Probleme und Lösungen

Device Guard und Virtualisierungssoftware

Ein sehr häufiges Problem tritt auf, wenn Oracle VirtualBox, VMware Workstation oder Hyper-V zusammen mit aktiviertem Device Guard verwendet werden sollen. VBS und externe Hypervisoren können in Konflikt geraten, was zu stark verminderter VM-Performance oder sogar zu Abstürzen führt.

Lösung: Deaktivieren Sie HVCI/Memory Integrity über die Windows-Sicherheitseinstellungen, wenn Sie regelmäßig mit Virtualisierungssoftware arbeiten. Alternativ können Sie in neueren VirtualBox-Versionen ab Version 7 den experimentellen Hyper-V-Backend-Modus nutzen, der mit VBS kompatibel ist.

Treiber-Inkompatibilitäten nach HVCI-Aktivierung

Manche ältere oder unsignierte Treiber werden nach der Aktivierung der Speicherintegrität blockiert. Windows zeigt Ihnen in diesem Fall eine Warnung unter Gerätesicherheit → Details zur Kernisolierung.

Lösung: Aktualisieren Sie den betroffenen Treiber auf eine neuere, HVCI-kompatible Version über die Website des Herstellers oder den Windows Update-Treiberkatalog.

Device Guard lässt sich nicht deaktivieren

Sollte Device Guard trotz aller Schritte weiterhin aktiv bleiben, liegt dies häufig an einer UEFI-Sperre. Wurde Credential Guard mit der Option „Mit UEFI-Sperre aktiviert“ eingerichtet, ist eine Deaktivierung über Software allein nicht möglich. In diesem Fall müssen Sie ins UEFI/BIOS wechseln und den betreffenden Eintrag dort zurücksetzen.

Device Guard unter Windows Server 2022 und 2025

Device Guard ist nicht nur für Client-Betriebssysteme relevant. Auch unter Windows Server 2022 und Windows Server 2025 steht VBS zur Verfügung. Auf Windows Server 2025 ist Credential Guard – analog zu Windows 11 22H2 – auf kompatiblen, domänenverbundenen Systemen standardmäßig aktiv.

Die Konfiguration erfolgt dort über dieselben Methoden: Gruppenrichtlinie, Registrierung oder MDM-Richtlinien (z. B. über Microsoft Intune). Administratoren können explizit konfigurierte Werte setzen, die den Standard-Aktivierungsstatus nach einem Neustart überschreiben.

Empfohlene Vorgehensweisen für Device Guard

Damit Device Guard langfristig stabil und effektiv arbeitet, sollten Sie folgende Punkte beachten:

• Aktivieren Sie Device Guard, bevor ein Gerät in eine Domäne eingebunden wird. Wenn VBS erst nach dem Domänenbeitritt aktiviert wird, könnten Anmeldeinformationen bereits kompromittiert sein.
• Verwenden Sie Credential Guard ohne UEFI-Sperre in verwalteten Unternehmensumgebungen. Dadurch behalten Administratoren die Möglichkeit, die Funktion bei Bedarf remote zu deaktivieren.
• Testen Sie Treiber-Kompatibilität vor der unternehmensweiten Aktivierung von HVCI, um Produktionsausfälle zu vermeiden.
• Nutzen Sie Microsoft Intune, wenn Sie Device Guard in größeren Umgebungen mit vielen Endgeräten verwalten müssen. Intune ermöglicht zentrale Richtlinienverteilung ohne lokale Gruppenrichtlinienobjekte.
• Führen Sie nach jeder Konfigurationsänderung eine Prüfung mit msinfo32 durch, um den tatsächlichen Aktivierungsstatus zu verifizieren.

Häufige Fragen zu Device Guard

Was ist Device Guard unter Windows genau?

Device Guard ist ein Sammelbegriff für mehrere hardware- und softwarebasierte Sicherheitsfunktionen in Windows 10 und Windows 11. Er umfasst die virtualisierungsbasierte Sicherheit (VBS), die hypervisorgeschützte Codeintegrität (HVCI), Credential Guard und Windows Defender Application Control. Ziel ist der Schutz vor nicht autorisiertem oder schädlichem Code auf Kernel-Ebene.

Für welche Windows-Editionen ist Device Guard verfügbar?

Device Guard steht ausschließlich für Windows 10 und Windows 11 in den Editionen Pro, Enterprise und Education zur Verfügung. Die Home-Edition unterstützt weder den Gruppenrichtlinien-Editor noch die vollständige Device-Guard-Konfiguration. Lediglich die Speicherintegrität lässt sich über die Windows-Sicherheitseinstellungen in einigen Home-Versionen umschalten.

Ist Device Guard unter Windows 11 standardmäßig aktiviert?

Ja, ab Windows 11 Version 22H2 aktiviert Microsoft VBS und Credential Guard automatisch auf Geräten, die die Hardwareanforderungen erfüllen und in eine Domäne eingebunden sind. Auf modernen Consumer-Geräten ist zudem die Speicherintegrität (HVCI) häufig bereits werkseitig aktiviert.

Wie erkenne ich, ob Device Guard auf meinem PC aktiv ist?

Öffnen Sie msinfo32 (über Windows-Taste + R) und schauen Sie unter Systemübersicht nach dem Abschnitt „Geräteschutz“. Dort sehen Sie, ob „Virtualisierungsbasierte Sicherheit“ läuft und welche Dienste aktiv sind. Alternativ liefert der PowerShell-Befehl Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard detaillierte Statusinformationen.

Warum verlangsamt Device Guard meinen PC?

Insbesondere auf älteren Systemen mit begrenzten Ressourcen kann VBS die Performance spürbar beeinträchtigen, da ein Teil der CPU- und RAM-Kapazität für die isolierte Sicherheitsumgebung reserviert wird. Außerdem kann HVCI die Ladezeit des Betriebssystems leicht verlängern. Auf modernen Systemen mit ausreichend RAM und einer aktuellen CPU ist der Leistungsunterschied jedoch in der Regel vernachlässigbar.

Kann ich Device Guard deaktivieren, ohne das System neu zu starten?

Nein. Alle Änderungen an den Device-Guard-Einstellungen – ob über Gruppenrichtlinie, Registrierung oder Windows-Sicherheitseinstellungen – erfordern einen Neustart des Systems, um wirksam zu werden. Ohne Neustart bleiben die alten Einstellungen aktiv.

Was passiert, wenn ich Device Guard deaktiviere?

Wenn Sie VBS und die zugehörigen Komponenten deaktivieren, verliert Windows den durch den Hypervisor abgesicherten Schutzmechanismus. Schadsoftware, die auf Kernel-Ebene operiert, hat dann einen leichteren Angriffspfad. Deshalb sollten Sie Device Guard nur dann deaktivieren, wenn es einen konkreten technischen Grund gibt – zum Beispiel Inkompatibilitäten mit Virtualisierungssoftware.

Ist Credential Guard dasselbe wie Device Guard?

Nein, aber Credential Guard ist eine Unterkomponente von Device Guard. Während Device Guard die Codeintegrität des gesamten Systems schützt, konzentriert sich Credential Guard ausschließlich auf die Isolation und den Schutz von Anmeldeinformationen wie NTLM-Hashes und Kerberos-Tickets. Beide nutzen VBS als gemeinsame technologische Grundlage.

Wie deaktiviere ich Credential Guard separat?

Öffnen Sie gpedit.msc und navigieren Sie zu Computerkonfiguration → Administrative Vorlagen → System → Device Guard → Virtualisierungsbasierte Sicherheit aktivieren. Stellen Sie dort die „Credential Guard-Konfiguration“ auf „Deaktiviert“. Alternativ setzen Sie in der Registrierung unter HKLM\SYSTEM\CurrentControlSet\Control\Lsa den Wert LsaCfgFlags auf 0. Anschließend ist ein Neustart erforderlich.

Funktioniert VirtualBox mit aktiviertem Device Guard?

Oracle VirtualBox in Versionen älter als 7 hat erhebliche Probleme mit aktiviertem VBS und zeigt dabei oft stark reduzierte VM-Performance (erkennbar am „Schildkröten“-Symbol). Ab VirtualBox 7 gibt es einen experimentellen Hyper-V-Backend-Modus, der mit VBS kompatibel ist. Alternativ können Sie HVCI deaktivieren, wenn Sie regelmäßig virtuelle Maschinen unter VirtualBox betreiben.

Fazit

Device Guard ist unter Windows 10 und Windows 11 ein zentrales Sicherheits-Feature, das durch virtualisierungsbasierte Technologien einen robusten Schutz vor Schadsoftware auf Kernel-Ebene bietet. Die Aktivierung und Deaktivierung gelingt über Gruppenrichtlinie, Registrierung oder die Windows-Sicherheitseinstellungen.

Wer maximale Sicherheit benötigt, sollte Device Guard aktiviert lassen. Für Nutzer mit Virtualisierungssoftware oder älterer Hardware kann eine gezielte Deaktivierung einzelner Komponenten sinnvoll sein.