Aprende paso a paso a desactivar Virtualization‑Based Security (VBS) y sus componentes asociados en Windows 11 Pro 24H2 para recuperar la compatibilidad total con VMware Workstation y otras soluciones que requieren virtualización anidada, sin perder de vista los posibles impactos en la seguridad.
Por qué Windows 11 24H2 habilita VBS y LSA ISO de forma predeterminada
Desde la versión 24H2 Microsoft eleva el listón de seguridad inicial activando automáticamente:
- VBS (Virtualization‑Based Security) – genera un sub‑hipervisor ligero que aísla los secretos de Windows en memoria protegida.
- HVCI o Memory Integrity – verifica firmas de controladores en tiempo real.
- LSA‑ISO (LSA Isolation) con UEFI lock – protege credenciales incluso antes del arranque completo.
El problema: este hipervisor consume las extensiones de virtualización de hardware y bloquea la nested virtualization necesaria para que VMware Workstation o VirtualBox puedan hospedar máquinas virtuales que, a su vez, ejecuten sus propios hipervisores.
Síntomas cuando VBS interfiere con VMware Workstation
- Error «”VT‑x/AMD‑V is not available”» al iniciar una VM.
- En
msinfo32aparecen mensajes como «Virtualización basada en Hyper‑V: Sí». - Rendimiento anormalmente bajo o congelación durante la instalación de sistemas operativos invitados.
Antes de empezar: requisitos y advertencias
| ¿Qué necesitas? | Detalle |
|---|---|
| Permisos de administrador local y acceso al firmware (UEFI) | Los cambios afectan a la configuración de arranque protegida. |
| Respaldo de tu sistema | Aunque el procedimiento es reversible, un backup completo evita sorpresas. |
| Conformidad con la política de la organización | Desactivar VBS deshabilita protecciones críticas; verifícalo con tu equipo de seguridad. |
Procedimiento comprobado para desactivar VBS en Windows 11 24H2
| Paso | Acción | Detalle |
|---|---|---|
| 1. Deshabilitar VBS y LSA‑ISO en el BCD | Abre Símbolo del sistema como administrador: bcdedit /set {current} loadoptions DISABLE-LSA-ISO,DISABLE-VBS bcdedit /set vsmlaunchtype off Si tu GUID de arranque no es {current}, localízalo con bcdedit /enum y sustitúyelo. | Evita que el hipervisor y la protección LSA se carguen en el arranque. |
| 2. Desactivar políticas de Device Guard | Ejecuta gpedit.msc ⇒ Configuración del equipo ⇒ Plantillas administrativas ⇒ System ⇒ Device Guard: Turn on Virtualization‑Based Security ⇒ Disabled (Opcional) Turn On Credential Guard ⇒ Disabled | Evita que una GPO o Intune reactive VBS. |
| 3. Desactivar «Aislamiento del núcleo» | Seguridad de Windows ⇒ Seguridad del dispositivo ⇒ Aislamiento del núcleo ⇒ desactiva Integridad de memoria y reinicia. | Deshabilita HVCI/HVIC. |
| 4. Verificar | Abre msinfo32 y comprueba la sección Requisitos de Hyper‑V: «La virtualización basada en virtualización está deshabilitada» «Hyper‑V no detectado» | Confirma que VBS ya no está activo. |
Explicación técnica de cada paso
Opciones loadoptions en BCD
DISABLE-LSA-ISO y DISABLE-VBS instruyen al gestor de arranque para que omita la inicialización del hipervisor (HVL) y del enclave protegido que Windows usa para el proceso LSASS. Es la única forma de saltarse el UEFI lock introducido en 24H2.
Clave vsmlaunchtype off
Fuerza el parámetro VSM Launch Type a off. La nueva arquitectura de 24H2 ignora hypervisorlaunchtype off, pero sí respeta esta instrucción heredada de Windows Server para desactivar el VSM.
Políticas de Group Policy
Incluso con BCD modificado, una GPO de Seguridad Endpoint o una configuración de Intune puede volver a habilitar VBS en el próximo arranque. Desactivar las opciones indicadas asegura persistencia.
Aislamiento del núcleo (HVCI)
Una vez desactivado el hipervisor, HVCI no puede funcionar, pero la interfaz gráfica puede dejarlo en estado «pendiente». Deshabilitarlo explícitamente evita que vuelva a habilitarse tras actualizaciones de Windows Defender.
Cómo revertir los cambios
- Vuelve a abrir PowerShell o CMD como administrador.
- Ejecuta:
bcdedit /deletevalue {current} loadoptions bcdedit /deletevalue vsmlaunchtype - Rehabilita «Aislamiento del núcleo» en la interfaz de Seguridad de Windows.
- En GPO, establece «Not configured» o «Enabled» según la directiva requerida.
- Reinicia y verifica con
msinfo32.
Windows restablecerá VBS y LSA‑ISO junto con sus protecciones derivadas.
Solución de problemas frecuentes
| Problema | Causa probable | Solución |
|---|---|---|
| Los comandos BCD devuelven «Acceso denegado» | CMD sin privilegios de Administrador o arranque protegido (Secure Boot) configurado para impedir cambios. | Inicia «Símbolo del sistema» con botón derecho → Ejecutar como administrador. Verifica que tu usuario pertenezca al grupo Administradores y que no existan políticas de Secure Boot lockdown. |
| Tras reiniciar, VBS vuelve a activarse | Script de cumplimiento de Intune o GPO reinicia Device Guard. | Revisa la consola de Endpoint Manager y las GPO dentro de Computer Configuration\Administrative Templates\System\Device Guard. |
| VMware aún muestra error VT‑x/AMD‑V | Otra función de Windows usa Hyper‑V (Windows Subsystem for Android™, Windows Sandbox). | Desinstala las «Características opcionales» que dependan de Hyper‑V (Administrator → Características de Windows). |
Preguntas frecuentes
¿Puedo conservar Hyper‑V pero desactivar VBS?
No. En 24H2, Hyper‑V depende intrínsecamente de VBS. Si necesitas ambas tecnologías simultáneamente (Hyper‑V para contenedores y VMware Workstation con anidación), evalúa trasladarte a Windows Server 2022 o mantenerte en Windows 11 23H2.
¿Existe riesgo de inestabilidad al modificar el BCD?
El riesgo es bajo si introduces los comandos correctamente. BCD almacena parámetros de arranque críticos; un valor incorrecto puede impedir iniciar el sistema. Copia la configuración original con bcdedit /export bcd_backup.txt antes de empezar.
¿La desactivación reduce el rendimiento de mi equipo?
Al contrario: la mayoría de usuarios experimenta una mejora notable en cargas de trabajo de virtualización tras desactivar VBS porque se liberan las instrucciones VT‑x/AMD‑V para los hipervisores de terceros. En tareas ofimáticas o gaming la diferencia suele ser imperceptible.
Conclusión
Deshabilitar VBS, HVCI y LSA‑ISO en Windows 11 Pro 24H2 es viable mediante la combinación de ajustes en el BCD, políticas de Device Guard y la interfaz de Seguridad de Windows. Este procedimiento, validado por administradores y entusiastas, devuelve la compatibilidad con la virtualización anidada de VMware Workstation y VirtualBox en equipos AMD Ryzen y Intel Core de última generación. Asegúrate, eso sí, de valorar el impacto de seguridad y de documentar los cambios para conservar el control de tu entorno.