Comment désactiver VBS sous Windows 10 et Windows 11, étape par étape

Accueil » Windows » Comment désactiver VBS sous Windows 10 et Windows 11, étape par étape

L'arrivée de Windows 10 et, surtout, de Windows 11 a complètement changé la façon dont le système d'exploitation gère la sécurité.L'un des éléments clés de ce changement est VBS, la sécurité basée sur la virtualisation, qui utilise les capacités de virtualisation du processeur pour isoler les parties critiques du système dans un environnement protégé.

Le problème, c'est que toute cette sécurité supplémentaire a un coût : elle consomme des ressources.Sur les systèmes modernes, la perte de performance est d'environ 5 %, mais sur les processeurs plus anciens, il n'est pas rare d'observer des baisses de 20 à 30 %, notamment lors de l'utilisation de jeux ou de tâches gourmandes en ressources processeur. C'est pourquoi de nombreux utilisateurs cherchent à désactiver VBS sous Windows. gagner quelques FPS supplémentaires ou être en mesure d'utiliser d'autres hyperviseurs et émulateurs.

Qu'est-ce que VBS et quelle est sa relation avec HCVI, Hyper-V et TPM ?

VBS signifie « Sécurité basée sur la virtualisation ».Il s'agit d'une technologie présente dans Windows 10, Windows 11 et les versions serveur comme Windows Server 2016 et ultérieures. Son principe est simple : utiliser la même virtualisation matérielle que celle utilisée pour exécuter des machines virtuelles, mais pour créer un environnement dédié. environnement de mémoire isolé où sont exécutés des composants système sensibles.

Cet environnement isolé est appelé mode de sécurité virtuel (VSM).Il fonctionne avec un niveau de privilèges encore plus élevé que le noyau Windows lui-même, de sorte que même les processus disposant de privilèges d'administrateur ou les codes malveillants se faisant passer pour des pilotes système ne peuvent y accéder. Certaines fonctions de sécurité du système d'exploitation sont « déplacées » vers ce VSM.

HCCI (Hypervisor-Enforced Code Integrity) est basé sur VBS.L'intégrité du code est renforcée par l'hyperviseur. Le rôle de HVCI est de vérifier, dans cet environnement sécurisé, que les pilotes et le code destinés à s'exécuter dans le noyau sont légitimes et n'ont pas été altérés. Tout élément suspect est chargé dans la zone isolée et bloqué sans affecter le reste du système.

Pour que tout cela fonctionne, Windows utilise plusieurs éléments matériels et logiciels.: Extensions de virtualisation du processeur (Intel VT-x, AMD-V), module de plateforme sécurisée TPM 2.0 pour stocker les informations d'identification et les clés, et l'hyperviseur Microsoft (le même pilier technologique que Hyper-V).

Concrètement, cela signifie que lorsque VBS est actif, l'hyperviseur Windows démarre.Et cela a deux conséquences évidentes : une partie de la puissance du processeur est dédiée au maintien de la sécurité de cet environnement virtuel, et d’autre part, elle peut bloquer ou interférer avec d’autres hyperviseurs ou émulateurs qui ont besoin d’un accès direct à la virtualisation matérielle.

Impact de VBS sur les performances et quand le désactiver

Microsoft a fortement promu VBS et HVCI dans les environnements d'entreprise et sur les nouveaux ordinateurs fonctionnant sous Windows 11.En fait, il est recommandé aux fabricants de vendre les ordinateurs avec VBS activé par défaut, et sur de nombreux PC nouvellement achetés, il semble déjà fonctionner sans que l'utilisateur n'ait à intervenir.

Du point de vue de la sécurité, c'est une très bonne nouvelle.En effet, il corrige des vulnérabilités classiques telles que les pilotes malveillants qui s'infiltrent avec des privilèges élevés. VBS et HVCI, par exemple, empêchent les applications frauduleuses de se faire passer facilement pour des pilotes légitimes afin d'infiltrer le noyau.

L'inconvénient, c'est que ce renforcement de la sécurité a un coût en termes de performance.Sur du matériel relativement récent, la pénalité est généralement d'environ 5 % pour les tâches du processeur, mais plus les processeurs sont anciens, plus ces couches supplémentaires sont problématiques : il existe des tests dans lesquels des processeurs comme le AMD Ryzen 1000 Les processeurs Intel Core de 10e génération et antérieurs peuvent perdre jusqu'à 25 à 30 % de FPS dans certains jeux.

Les jeux qui souffrent le plus sont ceux où la charge sur le processeur est particulièrement élevée.Par exemple, les jeux de stratégie exigeants comme Civilization ou la série Total War dépendent fortement des performances du premier cœur du processeur. Comme VBS opère à un niveau très bas et affecte ce thread, son impact est plus perceptible.

Vous devriez alors l'éteindre ? Si vous travaillez avec des données sensibles, en entreprise, avec des informations clients ou sur des projets exigeant une sécurité renforcée, il est raisonnable de laisser VBS activé. Dans certains secteurs, le désactiver pourrait même entraîner une non-conformité réglementaire ou des risques juridiques. À l'inverse, si votre PC est principalement utilisé pour les jeux, une utilisation domestique courante ou des tâches gourmandes en ressources, désactiver VBS et récupérer ces ressources peut s'avérer judicieux, à condition d'être conscient de la réduction de la sécurité.

Comment savoir si VBS est activé sur votre Windows ?

Avant de toucher à quoi que ce soit, il est conseillé de vérifier si VBS est bien actif sur votre système.Lors d'une installation propre de Windows 11 sur un ordinateur compatible, cette fonction est généralement activée par défaut ; si vous avez effectué une mise à niveau depuis Windows 10, il est beaucoup plus probable qu'elle reste désactivée.

Vous avez deux manières très claires de l'envisager, en utilisant des outils intégrés au système.Et il est judicieux de consulter les deux car, parfois, l'un peut ne pas refléter la situation dans son ensemble si des considérations politiques sont en jeu.

Méthode rapide utilisant les informations système (msinfo32) : Tapez « informations système » dans la zone de recherche de la barre des tâches et ouvrez l’application du même nom. Dans le panneau de droite, faites défiler vers le bas jusqu’à trouver la ligne. « Sécurité basée sur la virtualisation »Là, vous verrez si c'est là. En cours d'exécution, Déshabilitada o Non activé.

Si msinfo32 affiche « Running » ou un message similaire, alors VBS est en cours d'exécution.Si vous voyez « Non activé » ou « Désactivé », cela signifie que le système n'utilise pas cette technologie et que vous ne devriez pas en constater l'impact ni rencontrer de problèmes de ce côté-ci avec d'autres hyperviseurs.

Vous pouvez également utiliser la commande systeminfo.Ouvrez l'invite de commandes ou PowerShell en tant qu'administrateur et exécutez systeminfoParmi les données qui apparaissent, recherchez les lignes relatives à Sécurité basée sur la virtualisation et l'état de l'hyperviseur. Vous verrez des messages comme « VBS : État : En cours d'exécution » et « Stratégie App Control for Business : Appliquée » si tout est opérationnel.

Désactiver VBS dans les paramètres Windows (isolation du noyau)

La méthode « conviviale » pour désactiver VBS consiste à utiliser l'application Sécurité Windows., au même endroit où sont gérés l'antivirus et les autres protections de l'appareil.

Voici les étapes générales sous Windows 10 et Windows 11 (Le texte peut varier légèrement selon la version, mais le chemin d'accès est fondamentalement le même et les options ont des noms similaires) :

• Ouvrir la sécurité Windows depuis le menu Démarrer en recherchant ce nom.
• Dans le panneau de gauche, accédez à Sécurité de l'appareil.
• À l'intérieur, recherchez la section isolation du noyau et cliquez sur Détails de l'isolation du noyau ou similaire
• Désactivez l'option Intégrité de la mémoire (apparaît parfois sous le nom d'intégrité de la mémoire ou HVCI).
• Redémarrez votre ordinateur lorsque vous y êtes invité pour que la modification prenne effet.

La désactivation de l'intégrité de la mémoire suffit généralement à empêcher le système d'utiliser le composant le plus agressif de VBS. et libérer des ressources, ainsi que résoudre les incompatibilités avec certains émulateurs, jeux ou pilotes plus anciens. Après le redémarrage, vérifiez msinfo32 Là encore : dans de nombreux cas, la ligne de sécurité basée sur la virtualisation indiquera qu'elle n'est pas en cours d'exécution.

Cependant, sur certains PC, notamment ceux préconfigurés pour un usage professionnel ou de jeu mais gérés par des politiques, cela ne suffit pas.Vous constaterez peut-être que, même si l'intégrité de la mémoire apparaît comme désactivée, msinfo32 vous indique toujours que VBS est en cours d'exécution et qu'une stratégie de contrôle des applications pour entreprises est appliquée.

Utilisez bcdedit pour arrêter l'hyperviseur Windows

Si vous souhaitez aller plus loin et empêcher le chargement de l'hyperviseur Microsoft au démarrage, voici comment procéder :Vous pouvez le faire avec la commande bcdedit, qui est utilisé pour modifier la configuration de démarrage du système (le BCD de Windows).

La procédure de base est simple, mais vous devez exécuter la console avec des privilèges d'administrateur.Sinon, la commande sera sans effet et semblera « ne rien faire ».

• Rechercher cmd à partir du menu Démarrer.
• Faites un clic droit sur Symbole du système et choisissez Exécuter en tant qu'administrateur.
• Dans la fenêtre qui s'ouvre, saisissez ou collez : bcdedit /set hypervisorlaunchtype off
• Appuyez sur Entrée et, si la commande s'exécute correctement, redémarrez votre ordinateur.

Cela indique à Windows de ne pas lancer son hyperviseur Au démarrage, cette opération désactive initialement VBS et tout ce qui en dépend. Pour revenir au comportement initial, vous devez utiliser bcdedit /set hypervisorlaunchtype auto o onselon le scénario.

Vous pouvez faire la même chose depuis PowerShell.L'ouverture du programme en tant qu'administrateur et l'exécution de la même commande fonctionneront également. PowerShell et CMD partagent cet utilitaire ; l'effet est donc identique.

Malgré cela, certains utilisateurs, même après avoir exécuté bcdedit et désactivé l'intégrité de la mémoire, voient toujours VBS listé comme actif. dans systeminfo ou msinfo32. Lorsque cela se produit, il existe presque toujours des politiques ou des fonctionnalités système supplémentaires qui continuent de maintenir certaines fonctionnalités de sécurité basées sur la virtualisation.

Désactiver VBS à partir du Registre Windows

Pour ceux qui préfèrent aller droit au but dans le Registre, il existe également une valeur directe liée à VBS.C'est une option plus avancée et vous devez procéder avec prudence, mais elle peut s'avérer utile pour terminer le travail lorsque les méthodes précédentes ne parviennent pas à le désactiver complètement.

Avant de modifier quoi que ce soit dans le Registre, il est fortement recommandé d'en effectuer une sauvegarde.Depuis l'Éditeur du Registre lui-même, dans le menu Fichier> ExporterVous pouvez enregistrer l'état actuel et le récupérer ensuite avec Fichier> Importer Si quelque chose tourne mal et que Windows se comporte étrangement.

La clé réside dans l'itinéraire : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuardVous y trouverez, entre autres, la valeur Activer la sécurité basée sur la virtualisation, qui détermine si VBS est activé ou non.

• Ouvrir l'Éditeur du Registre en effectuant une recherche regedit à partir du menu Démarrer.
• Aller vers HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard.
• Dans le panneau de droite, recherchez Activer la sécurité basée sur la virtualisation et double-cliquez.
• Changer la valeur de 1 a 0.
• Acceptez, fermez l'Éditeur du Registre et redémarrez votre ordinateur.

Cette modification indique au système de ne pas autoriser l'activation de VBS.Même si le matériel le permet et que d'autres configurations tentent de l'imposer, après le redémarrage, vérifiez à nouveau dans msinfo32 ou systeminfo si la sécurité basée sur la virtualisation est désormais désactivée.

En plus de cette clé primaire, il existe d'autres valeurs et chemins de registre liés à Device Guard, Hyper-V et à l'intégrité du code. qui empêchent parfois l'arrêt complet de VBS sur les équipements « récalcitrants » ; par exemple :

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity\Enabled
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy\Enabled
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\RequirePlatformSecurityFeatures
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LsaCfgFlags
• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired

La modification de ces paramètres peut désactiver d'autres fonctionnalités de sécurité telles que Credential Guard ou certaines politiques d'intégrité du code.Mais cela réduit aussi considérablement le niveau de protection du système, il est donc essentiel de savoir précisément ce que l'on fait et d'en comprendre clairement les raisons.

Supprimer les fonctionnalités optionnelles liées à Hyper-V et à la virtualisation

Une autre stratégie consiste à désinstaller ou désactiver les fonctionnalités optionnelles de Windows qui dépendent de l'hyperviseur.Bien que VBS puisse fonctionner même sans qu'Hyper-V soit « visible », certains composants permettent de l'activer ou peuvent engendrer des conflits avec d'autres logiciels de virtualisation.

Dans le panneau classique « Activer ou désactiver des fonctionnalités Windows », vous pouvez examiner plusieurs cases à cocher. lié à Hyper-V, à la plateforme de machines virtuelles ou au sous-système Windows pour Linux (WSL), entre autres.

Si vous préférez utiliser des commandes, plusieurs options s'offrent à vous avec DISM et PowerShell. Pour désactiver toutes les fonctions en une seule fois :

• dism /online /Disable-Feature /FeatureName:HypervisorPlatform /NoRestart
• dism /online /Disable-Feature /FeatureName:VirtualMachinePlatform /NoRestart
• dism /online /Disable-Feature /FeatureName:Microsoft-Hyper-V-All /NoRestart
• Disable-WindowsOptionalFeature -Online -FeatureName Windows-Subsystem-Linux -NoRestart -ErrorAction SilentlyContinue
• Disable-WindowsOptionalFeature -Online -FeatureName Containers -NoRestart -ErrorAction SilentlyContinue
• Disable-WindowsOptionalFeature -Online -FeatureName Windows-Sandbox -NoRestart -ErrorAction SilentlyContinue

Après avoir exécuté ces commandes, il est conseillé de redémarrer votre ordinateur.Vérifiez si l'hyperviseur ne se charge plus et contrôlez à nouveau l'état du VBS dans systeminfo et msinfo32. Dans de nombreux cas, la désactivation de l'intégrité de la mémoire et la modification des paramètres dans bcdedit permettent de libérer le système de la virtualisation de sécurité.

Directives de groupe et politiques d'entreprise qui imposent VBS

Dans les environnements plus avancés, notamment lorsque l'ordinateur fait partie d'un domaine ou est livré d'usine avec une configuration d'entreprise, VBS peut être imposé par les stratégies de groupe.Dans ces cas-là, même si vous modifiez les options localement, les politiques sont réappliquées et VBS est réactivé ou ne s'arrête jamais complètement.

Le premier endroit à vérifier est l'Éditeur de stratégie de groupe locale (gpedit.msc).Disponible dans Windows Pro et versions ultérieures. Il permet de contrôler de nombreuses options de Device Guard et d'App Control for Business.

• Ouvre gpedit.msc depuis la commande Exécuter (Win + R) ou le menu Démarrer.
• Aller vers Configuration ordinateur > Modèles d'administration > Système > Protection des périphériques.
• Localisez la directive « Activer la sécurité basée sur la virtualisation » et le placer dans Déshabilitada.
• Appliquez les modifications et redémarrez l'ordinateur.

Si votre PC est connecté à un domaine ou géré par une organisation, ces stratégies peuvent être « écrasées » par le serveur. et que la modification locale n'est valable que jusqu'à la mise à jour des politiques. Dans ce cas, il y a peu de choses à faire sans l'intervention de l'administrateur système.

Un symptôme typique de ce problème est l'apparition de messages tels que « Stratégies App Control for Business : Appliquées » dans les informations système.Cela indique qu'une politique de contrôle des applications est en place (souvent via des fichiers de politique d'intégrité du code, CIPolicies).

Certains utilisateurs extrémistes ont tenté de supprimer ou de remplacer des fichiers de stratégie tels que « C:\Windows\System32\CodeIntegrity\VbsSiPolicy.p7b » ou de supprimer les stratégies actives dans « C:\Windows\System32\CodeIntegrity\CIPolicies\Active », voire même sur la partition EFI.Cela peut empêcher le système de démarrer ; cette approche n'est donc pas recommandée, sauf si vous savez exactement ce que vous faites et que vous disposez de sauvegardes et de supports de récupération.

Relation entre VBS, TPM 2.0, UEFI et les jeux comme VALORANT

La sécurité renforcée offerte par VBS est étroitement liée à d'autres exigences telles que le mode de démarrage UEFI et la présence de TPM 2.0.En fait, ce sont les mêmes éléments que Windows 11 exige au minimum pour une installation officielle.

Certains jeux dotés de systèmes anti-triche agressifs, comme VALORANT, ont jeté de l'huile sur le feu.Ils nécessitent TPM 2.0 et le démarrage sécurisé pour leur mode le plus strict sous Windows 11, et affichent des avertissements de type VAN9005 indiquant que le jeu cessera de fonctionner sur cette machine à partir d'une certaine date si ces fonctionnalités ne sont pas activées.

Dans ce contexte, Riot propose deux voies: si votre PC prend en charge UEFI y TPM 2.0Il est recommandé de les activer depuis le BIOS/UEFI, en suivant le guide. activer la virtualisation et continuez à jouer avec VBS activé. Si toutefois votre matériel ne le permet pas, ils offrent l'option de Désactiver VBS sous Windows 10 continuer à utiliser le jeu, au prix de renoncer à ce niveau de sécurité.

Pour vérifier la compatibilité avec UEFI et TPM 2.0, vous devez accéder au BIOS/UEFI de la carte mère.Vérifiez le mode de démarrage (Legacy ou UEFI) et les options fTPM (sur AMD) ou PTT (sur Intel). Les fabricants fournissent généralement des guides spécifiques, car chaque interface varie d'un modèle à l'autre.

Si vous n'avez pas la possibilité d'activer l'UEFI et le TPM, mais que vous pouvez modifier les paramètres VBS, les mêmes étapes de désactivation que nous avons vues (bcdedit, isolation du noyau, etc.) permettent à des jeux comme VALORANT de fonctionner sous Windows 10 sans cette couche de sécurité basée sur la virtualisation.Sous Windows 11, les choses sont plus strictes, surtout si le jeu exige la chaîne de démarrage sécurisée complète.

Problèmes courants rencontrés lors de la désactivation de VBS et points à prendre en compte

Tous les appareils ne réagissent pas de la même manière lorsqu'on tente de désactiver VBS.Il existe des cas relativement simples où la désactivation de l'intégrité de la mémoire et l'exécution d'un bcdedit /set hypervisorlaunchtype off Ça suffit. Et il existe des scénarios bien plus problématiques, notamment avec les nouveaux PC « conçus pour les entreprises » ou les configurations où App Control for Business est imposé.

Dans ces configurations avancées, plusieurs éléments peuvent converger pour maintenir VBS actif.Stratégies de groupe, valeurs de registre dans Device Guard et CI, fichiers de stratégie d'intégrité (CIPolicies), exigences de démarrage sécurisé, etc. La suppression d'un seul élément ne suffit parfois pas, car les autres obligent l'hyperviseur à se recharger.

Il convient d'être particulièrement vigilant face aux « solutions miracles » qui circulent sur les forums, voire face à certaines réponses automatisées qui recommandent de supprimer des fichiers critiques. como VbsSiPolicy.p7b ou en modifiant les paramètres sensibles du démarrage sécurisé sans surveillance adéquate. Des utilisateurs signalent qu'après avoir supprimé ou remplacé ces fichiers par inadvertance, leur système Windows ne démarre plus.

Si votre objectif est simplement d'améliorer les performances dans les jeux ou de pouvoir utiliser un émulateur incompatible avec Hyper-V, il est conseillé de s'en tenir aux méthodes « officielles ».La configuration système, l'utilisation de bcdedit, la modification de base du registre et, au maximum, la désinstallation des fonctionnalités optionnelles inutiles ne sont envisageables que si vous savez exactement ce que vous faites, et de préférence sur un ordinateur qui ne risque pas de compromettre votre système.

Quoi qu’il en soit, il convient de rappeler qu’en désactivant VBS, vous supprimez une barrière importante mise en place par Microsoft pour vous protéger des codes malveillants.Si vous installez fréquemment des logiciels provenant de sources douteuses, participez à des jeux en ligne sujets à des vulnérabilités ou manipulez des informations que vous ne souhaitez pas voir compromises, le léger gain de performance que vous pourriez obtenir n'en vaut peut-être pas la peine.

Compte tenu de tout cela, la décision de désactiver VBS sous Windows doit être basée sur votre utilisation réelle de votre PC.S'il s'agit de votre outil de travail dans un environnement sensible, il est préférable de privilégier la sécurité à quelques FPS ; si vous l'utilisez presque exclusivement pour les jeux et que vous n'évoluez pas dans des situations à haut risque, la désactivation de VBS à l'aide des techniques expliquées peut vous permettre de tirer un peu plus parti de votre matériel sans surprises, à condition de respecter les limites et de ne pas vous aventurer dans des changements radicaux qui pourraient rendre le système inutilisable.