Vuoi eseguire VMware Workstation con virtualizzazione annidata o semplicemente recuperare qualche fps nei videogiochi? Da Windows 11 24H2 in poi la sola disattivazione dell’hypervisor non basta: il sistema riattiva automaticamente Virtualization‑based Security (VBS) attraverso LSA Isolation e criteri di gruppo. Questa guida pratica spiega perché accade e come spegnere davvero VBS su qualsiasi edizione di Windows 11 24H2, senza lasciare zone d’ombra che potrebbero riaccenderlo al riavvio.
Problema
Con l’aggiornamento 24H2 Microsoft ha rafforzato la difesa di credenziali e kernel:
- VBS viene ri‑attivato anche se imposti
bcdedit /set hypervisorlaunchtype off, disattivi Core Isolation e azzeri le classiche chiavi di registro (EnableVirtualizationBasedSecurity,HypervisorEnforcedCodeIntegrity…). - Le cause sono due:
- LSA Isolation con UEFI lock – il firmware conserva una variabile che forza il caricamento di
SecConfig.efia ogni boot, riattivando VBS. - Criteri di gruppo/MDM – basta che l’oggetto “Turn on Virtualization‑based Security” esista, anche in sola lettura, perché prevalga su registro e UI.
- LSA Isolation con UEFI lock – il firmware conserva una variabile che forza il caricamento di
Soluzione completa passo‑passo
Avviso sicurezza: VBS protegge credenziali, tabelle di paging e hyper‑kernel. Disattivalo solo su macchine di test o dove è indispensabile (ad esempio per far girare hypervisor di terze parti con VT‑x/AMD‑V annidato).
1 Disabilitare Credential Guard / LSA Isolation
1.1 Group Policy
- Apri gpedit.msc → Computer Configuration ▸ Administrative Templates ▸ System ▸ Device Guard.
- Imposta Turn On Virtualization‑Based Security su Disabled. Lascia vuoti tutti i parametri sottostanti.
- Esegui
gpupdate /forceper applicare istantaneamente il criterio.
1.2 Registro (alternativa se non hai GPEdit)
Windows Registry Editor Version 5.00
; Spegne Credential Guard / Device Guard
[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LsaCfgFlags"=dword:0
; Disattiva VBS e HVCI
[HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard]
"EnableVirtualizationBasedSecurity"=dword:0
"RequirePlatformSecurityFeatures"=dword:0
"HypervisorEnforcedCodeIntegrity"=dword:0
2 Rimuovere l’UEFI lock
Finché il firmware carica SecConfig.efi, Windows riattiverà LSA Isolation appena possibile. Occorre quindi inserire una voce temporanea di boot che disabiliti LSA ISO prima dell’avvio del sistema operativo.
@echo off
:: Monta la partizione EFI
mountvol X: /s
:: Copia SecConfig.efi per poterlo lanciare in modo indipendente
copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
:: Crea una voce di bootstrap che disabilita VBS
bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "VBS‑OFF" /application osloader
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
:: Disabilita il motore VSM
bcdedit /set vsmlaunchtype off
:: Smonta la partizione EFI
mountvol X: /d
Al primo riavvio apparirà il messaggio “Secure Boot has been modified”. Premi F3 poi Enter per confermare e salvare la nuova configurazione nel firmware.
3 Bloccare servizi e feature Hyper‑V
- Vai su Impostazioni ▸ App ▸ Funzionalità opzionali ▸ Altre funzionalità Windows e togli la spunta a Hyper‑V, Virtual Machine Platform, Windows Hypervisor Platform, WSL.
- Apri services.msc e arresta (o imposta su Disabled) qualunque servizio che inizi con “Hyper‑V”.
4 Core Isolation e Windows Security
- In Windows Security ▸ Device Security ▸ Core Isolation porta su Off sia Memory Integrity sia la voce Microsoft VBS (se presente).
- Disattiva Tamper Protection finché non avrai verificato che le modifiche restino attive dopo il reboot.
5 Verifica finale
Dopo il riavvio usa uno dei due metodi seguenti:
# PowerShell
(Get‑CimInstance -Class Win32_DeviceGuard).SecurityServicesRunning
oppure avvia msinfo32.exe e controlla la voce Virtualizzazione basata su sicurezza → Non abilitato.
Se compare ancora “Eseguito” significa che un criterio di dominio, un MDM o il firmware ha ripristinato il flag; ripeti il paragrafo 1 e assicurati che non ci siano policy ereditarie in conflitto.
Alternative pratiche se non puoi disattivare VBS
| Esigenza | Soluzione consigliata |
|---|---|
| VMware Workstation su host VBS‑ON | Aggiorna a Workstation 17.5 e abilita l’opzione “VBS compatible”. Le VM si avviano, ma la virtualizzazione annidata resta disabilitata. |
| Hyper‑V con nested virtualization | Rimani su Hyper‑V o WSL 2: entrambe supportano il nesting anche con VBS attivo. |
| Laboratorio insicuro ma isolato | Lascia VBS attivo sull’host principale e utilizza un secondo PC (o un dual‑boot) privo di VBS per test avanzati. |
Domande frequenti
Quanto incide VBS sulle prestazioni?
Dipende dal carico. In scenari gaming ad alto framerate si possono perdere dal 2 al 5 %, mentre con virtualizzazione annidata il degrado è molto più marcato (fino al 30 – 40 % nei test I/O).
Disattivare VBS invalida BitLocker o Secure Boot?
No, BitLocker resta operativo perché si affida al TPM e alle PCR di Secure Boot, non a VBS. Tuttavia LSA Isolation fornisce protezione aggiuntiva alle credenziali NTLM e Kerberos: valutane l’impatto in ambiente aziendale.
Le future cumulative update riaccenderanno VBS?
In genere no, ma un aggiornamento di sicurezza può ripristinare SecConfig.efi in caso venga rilevato come “manomesso”. Tieni a portata di mano lo script del paragrafo 2 per riapplicarlo rapidamente.
È possibile automatizzare l’intero processo?
Sì. Puoi incorporare i comandi bcdedit e le chiavi di registro in uno script PowerShell firmato, eseguendolo in modalità Run once via Intune o SCCM su host di laboratorio.
Risoluzione dei problemi più comuni
- “Installer detected that Hyper‑V is enabled” – Ricontrolla che Windows Hypervisor Platform e Virtual Machine Platform siano disabilitati, quindi esegui
dism /online /disable-feature /featurename:Microsoft-Hyper-V. - Voce VBS ancora “Running” dopo ogni patch Tuesday – Verifica se il team sicurezza ha distribuito il criterio “Credential Guard” via MDM. In tal caso occorre escludere il dispositivo o modificare il profilo.
- Schermata blu UNEXPECTEDKERNELMODE_TRAP – L’hardware non supporta il pass‑through di NMI a hypervisor di terze parti. Aggiorna BIOS/UEFI e chipset o lascia VBS attivo.
- Errore “VMX is disabled in BIOS” all’interno di una VM – Assicurati che il processore host abbia Intel VT‑x/AMD‑V abilitato e che VMware Workstation usi “Expose IOMMU to guest”.
Perché Microsoft ha complicato la disattivazione di VBS?
Dopo gli attacchi credential‑stealing degli ultimi anni (PetitPotam, NTLM Relay, volumi offline con SAM), Microsoft ha alzato l’asticella rendendo obbligatoria l’isolazione LSA su device che soddisfano la configurazione hardware certificata. Per gli amministratori questa scelta porta due ricadute:
- Una maggiore sicurezza out‑of‑the‑box – i dump di LSASS non sono più utilizzabili senza compromettere anche il contenitore protetto.
- Un costo operativo quando servono hypervisor di terze parti o tool di debug kernel che richiedono accesso nativo alle estensioni VT‑x/AMD‑V.
La guida che stai leggendo nasce proprio per colmare questo gap, spiegando come disattivare VBS in modo pulito, senza rimuovere del tutto Secure Boot o BitLocker.
Conclusione
Spegnere VBS su Windows 11 24H2 richiede tre interventi coordinati:
- Neutralizzare LSA Isolation (registro o criteri di gruppo).
- Lanciare una voce di boot che disattivi LSA ISO e VBS prima del kernel.
- Eliminare tutte le feature Hyper‑V che potrebbero rialzare il servizio HV.
Seguendo i passaggi descritti otterrai la voce “Virtualizzazione basata su sicurezza → Non abilitato” e potrai sfruttare VT‑x/AMD‑V annidato su VMware Workstation, VirtualBox o soluzioni simili. Mantieni però un host “hardening‑compliant” per la produttività quotidiana: la sicurezza perimetrale vale quanto – se non più di – qualche benchmark in più.