如何在Windows 11中彻底禁用基于虚拟化的安全（VBS）功能

1. VBS 简介与常见问题背景

基于虚拟化的安全性（Virtualization-Based Security, VBS）是Windows 11中用于增强系统安全的核心机制之一，依赖于硬件虚拟化技术（如Intel VT-x或AMD-V）、TPM 2.0和UEFI安全启动。VBS通过隔离关键操作系统组件（如Credential Guard、Hypervisor-Protected Code Integrity, HVCI）来防止高级攻击。

然而，在部分高性能计算、虚拟机嵌套（如VMware嵌套Hyper-V）或游戏兼容层（如Proton、DXVK）场景中，VBS可能导致显著性能下降或兼容性冲突。用户尝试关闭“内存完整性”后发现系统自动恢复，或注册表修改无效，这通常源于底层固件策略或组策略强制启用。

2. VBS 的依赖关系分析

VBS的启用受多个层级控制，形成“自底向上”的依赖链：

• BIOS/UEFI 层：必须支持并启用 CPU 虚拟化（VT-x/AMD-V）、安全启动（Secure Boot）、TPM 2.0
• Firmware Policy 层：OEM可能通过固件锁定VBS策略
• 操作系统层：通过组策略、注册表、PowerShell控制VBS组件

若任一底层条件不满足或被强制开启，上层设置将无法持久生效。

3. 彻底禁用 VBS 的多层级操作流程

以下步骤需按顺序执行，确保各层级配置一致：

3.1 BIOS/UEFI 设置调整

3.2 操作系统内禁用策略

使用管理员权限执行以下命令：

# 关闭内存完整性（UI方式失效时使用命令）
powershell -Command "Set-RandomizeMemoryOrdering 0"
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v "LsaCfgFlags" /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CI\Policy" /v "VerifiedAndReputablePolicyState" /t REG_DWORD /d 0 /f

# 通过组策略模拟器（需gpedit.msc）
Computer Configuration → Administrative Templates → System → Device Guard → 
→ Turn on Virtualization Based Security → Disabled
    

3.3 使用 PowerShell 强制禁用

运行以下脚本检查并关闭VBS：

# 检查当前VBS状态
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object -Property RequiredSecurityProperties, SecurityServicesRunning

# 若返回包含1（虚拟化）、2（代码完整性），则VBS运行中
# 强制禁用
Disable-WindowsOptionalFeature -Online -FeatureName HypervisorPlatform -NoRestart
Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All -NoRestart
# 注意：后者将移除Hyper-V角色，影响WSL2等依赖功能
    

4. 验证 VBS 是否已完全关闭

使用多种方法交叉验证：

1. TVMExit.exe 工具：微软官方工具，运行后若无输出表示VBS未运行
2. msinfo32.exe：查看“基于虚拟化的安全”是否显示“未运行”
3. PowerShell 查询：

   $(Confirm-SecureBootUEFI).IsSecureBootEnabled  # 应为False
   (Get-CimInstance -ClassName Win32_DeviceGuard).SecurityServicesRunning # 应为空或0
               

4. 任务管理器：性能页CPU信息中不应出现“虚拟化：已启用”（但此仅为提示，不代表VBS运行）

5. 常见陷阱与解决方案

以下情况会导致禁用失败：

• OEM固件策略锁定：如Dell、HP企业机型默认启用“Measured Boot”，需在BIOS中手动关闭“Intel Boot Guard”或“AMD Hardware Validated Boot”
• 域策略覆盖本地设置：企业环境中GPO可能强制启用VBS，需联系AD管理员
• Windows版本限制：Windows 11 家庭版某些安全功能不可控，建议升级至专业版或企业版

graph TD
    A[开始: 用户怀疑VBS导致性能问题] --> B{检查msinfo32中VBS状态}
    B -- VBS运行中 --> C[进入BIOS关闭Secure Boot & TPM]
    B -- VBS未运行 --> D[排除VBS干扰，转向驱动/软件优化]
    C --> E[保存BIOS设置并重启]
    E --> F[运行PowerShell禁用DeviceGuard/HVCI]
    F --> G[清除注册表策略残留]
    G --> H[重启后再次验证VBS状态]
    H -- 仍启用 --> I[检查OEM固件策略或域策略]
    I --> J[联系厂商获取BIOS更新或策略解锁]
    H -- 已关闭 --> K[完成VBS禁用，记录配置变更]