Рабочая станция VMware и устройство /Credential Guard не совместимы

Ответ 1

Device/Credential Guard - это виртуальная машина на основе Hyper-V/Virtual Secure Mode, в которой размещено защищенное ядро, что делает Windows 10 намного более безопасной.

... экземпляр VSM отделен от нормальной работы система функционирует и защищена попытками чтения информации в этот режим. Защита аппаратная, поскольку гипервизор просит аппаратное обеспечение обрабатывать эти страницы памяти по-разному. Этот одинаково для двух виртуальных машин на одном хосте нельзя взаимодействовать друг с другом; их память независима и аппаратна регулируется для обеспечения доступа каждой виртуальной машины только к своим собственным данным.

Отсюда у нас теперь есть защищенный режим, в котором мы можем запустить безопасность чувствительные операции. На момент написания статьи мы поддерживаем три Возможности, которые могут находиться здесь: локальный орган безопасности (LSA), и функции контроля целостности кода в виде кода режима ядра Целостность (KMCI) и сам контроль целостности кода гипервизора, которая называется целостностью кода гипервизора (HVCI).

Когда эти возможности обрабатываются Trustlets в VSM, хост-ОС просто общается с ними по стандартным каналам и возможности внутри ОС. Хотя этот Trustlet-специфичный общение разрешено при наличии вредоносного кода или пользователей на хосте Попытка ОС читать или манипулировать данными в VSM будет значительно сложнее, чем в системе без этой настройки, обеспечивая преимущество безопасности.

Запуск LSA в VSM приводит к тому, что сам процесс LSA (LSASS) остается в ОС хоста и специальный дополнительный экземпляр LSA (называемый LSAIso - что означает LSA Isolated). Это позволяет всем стандартные призывы к АЛП все еще успешны, предлагая превосходное наследие и обратно совместимость, даже для услуг или возможностей, которые Требуется прямая связь с АЛП. В этом отношении вы можете думать оставшегося экземпляра LSA в ОС хоста в качестве "прокси" или "заглушки" экземпляр, который просто связывается с изолированной версией в предписанные пути.

И Hyper-V и VMware не могут работать одновременно до 2020 года, , когда VMware использует платформу Hyper-V для сосуществования с Hyper-V.

В Windows 10 мы ввели много функций безопасности, которые используют Гипервизор Windows. Защитник учетных данных, Защитник Windows Защита приложений и защита на основе виртуализации используют Гипервизор Windows. В то же время, новые функции разработчика, такие как Контейнеры Windows Server и WSL 2 используют Windows Гипервизор.

Это усложнило задачу для наших клиентов, которым необходимо использовать VMware. Рабочая станция. Исторически, не было возможности запустить VMware Рабочая станция, когда Hyper-V был включен.

В будущем пользователи смогут запускать все эти приложения. все вместе. Это означает, что пользователи рабочей станции VMware смогут воспользоваться всеми улучшениями безопасности и функциями разработчика которые доступны в Windows 10.

Вы должны перенести свои виртуальные машины в Hyper-V или отключить эту функцию.

Если вы хотите остаться в VMware, отмените выбор функций Hyper-V и изолированного пользовательского режима/"Песочницы"/Device Guard в Control Panel-> Program & Features-> включить или выключить функции и перезагрузить устройство:

Ответ 2

Существует гораздо лучший способ справиться с этой проблемой. Вместо того, чтобы полностью удалять Hyper-V, вы просто делаете альтернативную загрузку, чтобы временно отключить ее, когда вам нужно использовать VMWare. Как показано здесь...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

Примечание. Идентификатор, сгенерированный из первой команды, - это то, что вы используете во второй. Не просто запустите это дословно.

При перезапуске вы увидите меню с двумя вариантами...

• Windows 10
• Нет Hyper-V

Таким образом, использование VMWare - это всего лишь вопрос перезагрузки и выбора опции No Hyper-V.

Если вы хотите удалить загрузочную запись снова. Вы можете использовать параметр /delete для bcdedit.

Сначала получите список текущих загрузочных записей...

C:\>bcdedit /v

Здесь перечислены все записи с их идентификаторами. Скопируйте соответствующий идентификатор, а затем удалите его следующим образом...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Как упоминалось в комментариях, это нужно делать из командной строки с повышенными привилегиями, а не powershell. В powershell команда выдаст ошибку.

Обновить: Эти команды можно запускать в powershell, если фигурные скобки экранированы с помощью backtick ('). Вот так...

C:\WINDOWS\system32> bcdedit /copy '{current'} /d "No Hyper-V"

Ответ 3

Я все еще не уверен, что Hyper-V - это The Thing для меня, даже с прошлыми испытаниями и несчастьями Docker, и я думаю, вы не захотите переключаться очень часто, вместо того, чтобы создавать новую загрузку и подтверждать загрузки по умолчанию или ожидания таймаута при каждой загрузке, я включаю запрос на консоль в режиме администратора с помощью

bcdedit /set hypervisorlaunchtype off

Другая причина для этого сообщения - избавить вас от головной боли: вы думали, что снова включите Hyper-V с аргументом "on"? Неа. Слишком просто для MiRKoS..t. Это авто!

Удачи!
G.

Ответ 4

Чтобы сделать это очень просто:

1. Просто загрузите этот скрипт прямо из Microsoft.

2. Запустите ваш Powershell от имени администратора, а затем выполните следующие команды:

   • Чтобы проверить, включен ли DG/CG DG_Readiness.ps1 -Ready
   • Отключить DG/CG. DG_Readiness.ps1 -Disable

Ответ 5

Я также много боролся с этой проблемой. Ответы в этой теме были полезны, но их было недостаточно, чтобы устранить мою ошибку. Вам нужно будет отключить Hyper-V и защиту устройства, как предложили другие ответы. Более подробную информацию об этом можно найти здесь.

Я включаю изменения, которые необходимо сделать в дополнение к ответам, представленным выше. Ссылка, которая, наконец, помогла мне, была следующей.

В моем ответе будет кратко изложена только разница между остальными ответами (т.е. отключение Hyper-V и защита устройства) и следующими шагами:

1. Если вы использовали групповую политику, отключите параметр групповой политики, который вы использовали для включения защиты учетных данных Защитника Windows (Конфигурация компьютера → Административные шаблоны → Система → Защита устройства → Включить защиту на основе виртуализации).

2. Удалите следующие параметры реестра:

   HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags HKEY_LOCAL_MACHINE\Программное обеспечение\Политики\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE\Программное обеспечение\Политики\Microsoft\Windows\SecuritySecureSecureSecure

   Важное замечание: Если вы удалите эти параметры реестра вручную, обязательно удалите их все. Если вы не удалите их все, устройство может перейти в режим восстановления BitLocker.

3. Удалите переменные EFI Защитника учетных данных Windows с помощью bcdedit. В командной строке с повышенными привилегиями (запуск в режиме администратора) введите следующие команды:

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d
   

4. Перезагрузите компьютер.

5. Примите запрос на отключение Защитника учетных данных Защитника Windows.

6. Кроме того, вы можете отключить функции безопасности на основе виртуализации, чтобы отключить Защиту учетных данных Защитника Windows.

Ответ 6

Мой хост-компьютер - Windows 10 Enterprise и VMWare Workstation 15 Player, на этой странице я пробовал разные предложения, чтобы попытаться отключить защиту учетных данных. Тем не менее, я все еще получил сообщение об ошибке: "VMWare Player можно запустить после отключения Device/Credential Guard. Пожалуйста, посетите http://www.vmware.com/go/turnoff_CG_DG для более подробной информации. Есть идеи?

Ответ 7

Запуск этой команды в CMD (Admin) помог мне. "bcdedit/отключить запуск типа гипервизора" Источник: https://communities.vmware.com/thread/598091

Ответ 8

Если вы постоянно поддерживаете настраиваемую открытую командную строку "Запуск от имени администратора" или окно командной строки powershell, вы можете при желании настроить следующие псевдонимы/макросы, чтобы упростить выполнение команд, упомянутых @gue22, для простого отключения гипервизора hyper-v. когда нужно использовать vmware player или рабочую станцию, а затем снова включить его, когда закончите.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

Имея вышесказанное, вы просто вводите команды "hpvenb" [гипервизор включен при загрузке], "hpvdis" [гипервизор отключен при загрузке] и "bcdl" [список устройств конфигурации загрузки] для выполнения команд включения, выключения, списка.

Ответ 9

Ну, мальчики и девочки, прочитав заметки о выпуске для сборки 17093 в крошечные часы ночи, я обнаружил точку изменения, которая влияет на мою виртуальную машину VMware Workstation, заставляя их не работать, это настройки Core Isolation в Защита устройства под защитой Windows (новое имя для страницы защитника Windows) в настройках.

По умолчанию он включен, однако, когда я его выключил и перезапустил свой компьютер, все мои VMware VM возобновили работу правильно. Возможно, в следующую сборку может быть включена опция "по устройству", чтобы мы могли тестировать ответы отдельных устройств/приложений, чтобы обеспечить включение или выключение изоляции ядра для каждого устройства или приложения в соответствии с требованиями.