Device Guard: Что это такое и как включить или отключить

Device Guard — использует виртуализацию для изоляции секретов и тем самым обеспечивает защиту от взлома. Это гарантирует, что только привилегированное системное программное обеспечение может получить доступ к таким данным как хэши паролей NTLM и учетные данные домена. Credential Guard создает виртуальный контейнер и хранит все важные данные в нем, что не позволяет получить доступ к этим токенам на уровне системы без специальных прав авторизации. Примечательно то, что Credential Guard можно развернуть на виртуальной машине как Hyper-V.

К примеру, если хакер взломал и получил доступ к Windows 10, то он мог получить и доступ к хэшу, который используется для шифрования учетных записей, так как хэш храниться в локальной ОЗУ без защиты. В Credential Guard хэш храниться в виртуальном контейнере, и даже, если система будет скомпрометирована, то хакер не получит доступ к этому хэшу.

Ограничение на использование Device Guard

1. Поддержка виртуализации 64x битным процессором.
2. Безопасная загрузка.
3. Чип на материнской плате TPM версии 1.0 или 2.0.
4. Включенный Hyper-V.
5. Доступно в Windows 10 Education, Enterprise и Windows Server 2016.

В документации Microsoft вы можете обнаружить, что Credential Guard поддерживается в Windows 10, что означает Pro и Home. Я сам запутался, и дело в том, что документация не правильная и требует правок. На github есть обсуждение на эту тему, и функция Credential Guard как бы есть, но она не шифрует данные в виртуальном контейнере, т.е. она не работает. Обратите внимание на это сообщение и это .

Как включить и отключить Device Guard

В групповых политиках перейдите «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Device Guard» > справа выберите «Включить средство обеспечения безопасности на основе виртуализации«.

Ошибка несовместимости с Credential Guard сторонних виртуальных машин

Иногда, пользователи могут видеть ошибку «VMware Workstation и устройства Device/Credential Guard несовместимы. VMware Workstation можно запустить после отключения Device/Credential Guard» при использовании сторонних виртуальных машин как VirtualBox или VMware Workstation.

Способ 1. В этом случае нужно отключить несколько компонентов как Aplication Guard, Hyper-V и песочница Windows. Также, посмотрите не включен ли Credential Guard в групповых политиках, указанном выше способом.

Способ 2. Если выше способ не помог и виртуальные машины выдают ошибку на несовместимость Credential Guard, то откройте редактор реестра и перейдите по пути:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity
• Нажмите два раза по Enabled и установите значение 0.
• Перезагрузите ПК.

Если после перезапуска Windows, ошибка появляется, то запустите командную строку от имени администратора и введите:

• bcdedit /set hypervisorlaunchtype off

Если хотите вернуть команду по умолчанию, то введите bcdedit /set hypervisorlaunchtype auto

Исправляем ошибку запуска VMware в Windows 10: VMware Player and Device/Credential Guard are not compatible

Если вы столкнулись с проблемой, когда виртуальная машина VMware выдаёт ошибку вида: «VMware Player and Device/Credential Guard are not compatible…» при попытке запуска любой гостевой системы, то есть способ решения, позволяющий вернуть всё в работоспособное состояние.

Не будем здесь останавливаться на причинах, которые могли привести к возникновению данной проблемы (например, такая ошибка может возникнуть, если вы пытались запустить встроенную в Windows 10 песочницу, которая пока не работает с русской локализацией Windows 10), а перейдём непосредственно к решению, позволяющему устранить данную ошибку в VMware Player.

Как исправить ошибку VMware Player and Device/Credential Guard are not compatible

• Открываем «Редактор локальной групповой политики» (просто начните вводить «групп…» в поиске Windows 10 → нажмите «Изменение групповой политики» или так: сочетание клавиш WIN + R → gpedit.msc → OK;
  
• В редакторе политик: Конфигурация компьютера → Административные шаблоны → Система → Device Guard → дважды кликнуть по «Включить средство обеспечения безопасности на основе виртуализации» (смотрите скриншот);
  
• Выбираем в открывшемся окне «Отключено» → Применить → ОК.
  

На этом всё. Перезагружаем компьютер. После этого VMware должен работать без ошибки.

Если это не помогло, то дополнительно выполняем следующее:

• Переходим к меню «Включение или отключение компонентов Windows» (начните вводить в поиске «комп…» или Панель управления → Программы → Программы и компоненты);
  
• Отключаем Hyper-V → ОК;
  
• Перезагружаем компьютер.

Примечание: отключение компонента Hyper-V также может помочь исправить ошибку, приводящую к невозможности запуска виртуальной машины VirtualBox: «Raw-mode is unavailable courtesy of Hyper-V (VERR_SUPDRV_NO_RAW_MODE_HYPER_V_ROOT)» Если после проделанных манипуляций появится «The VM session was aborted», то просто попробуйте перезапустить виртуальную машину.

Как исправить ошибку VMware Workstation and Device/Credential Guard are not compatible при включении виртуальной машины.

VMware Workstation – программа виртуализации одной или нескольких операционных систем на персональном компьютере. Обычно её используют для тестирования различного софта и дистрибутивов. Но многие пользователи столкнулись с проблемой — vmware workstation ошибка при включении виртуальной машины:

VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.

Начиная с версии VMware Workstation 12.5 на Windows 10 не запускается виртуальная машина. Всё из-за защиты учётных записей, и для того чтобы виртуалка работала корректно, нужно отключить этот самый защитник.

Исправляем ошибку VMware Workstation.

Для начала нужно открыть командную строку комбинацией клавиш «WIN+R» и ввести команду «gpedit.msc» и подтвердить действие, кликнув на «ОК» или нажать «Enter» на клавиатуре.

Откроется Редактор групповой политики, ищем раздел «Политика Локальный компьютер», далее переходим в «Конфигурация компьютера», потом «Административные шаблоны», дальше «Система», и справа ищем папку «Device Guard».

В ней находятся два элемента, выбираем и открываем «Включить средство обеспечения безопасности на основе виртуализации».

В открывшемся окне слева будет три пункта (так называемые «радиобаттон»), нужно будет переключить на «Отключено» и кликнуть на «ОK».

Следующий шаг, заходим в «Панель управления» — «Программы и компоненты» — «Включение или отключение компонентов Windows», снимаем галочку с «Hyper-V», нажимаем «ОК» и не перезагружаем компьютер.

Далее нужно замустить командную строку «CMD» от имени администратора и выполнить несколько команд:

• bcdedit /create <0cb3b571-2f2e-4343-a879-d86a476d7215>/d «DebugTool» /application osloader
• bcdedit /set <0cb3b571-2f2e-4343-a879-d86a476d7215>path «\EFI\Microsoft\Boot\SecConfig.efi»
• bcdedit /set bootsequence
• bcdedit /set <0cb3b571-2f2e-4343-a879-d86a476d7215>loadoptions DISABLE-LSA-ISO,DISABLE-VBS
• bcdedit /set hypervisorlaunchtype off

Теперь можно перезагрузить ПК и запустить виртуальную машину, всё должно заработать и никакой ошибки не должно всплывать.

Теперь вы знаете как исправить ошибку VMware Workstation and Device/Credential Guard are not compatible, если статья вам помогла, вступайте в наш паблик ВК, где можно найти полезную и интересную информацию.

Обязательно подпишитесь на наш Телеграм-канал @hightechreview

VMware Workstation and Device/Credential Guard are not compatible.

🔥 На прошлой неделе после того как решил потестить windows sandbox у меня перестал загружаться виндоус (если у вас такая же проблема читайте мою статью как я это победил) так вот в выходные переставил свой Windows 10 PRO (скачать оригинальный образ Windows 10PRO можно по этой статье) и при установке WMware версия 15.5.1 и запуску одной из моей виртуалок выдала такую ошибку:

✅ VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.

🔥 Не запускается виртуальные машины VMware что делать?

Наша же задача решить данную проблему для того что бы запустить нашу виртуальную машину.

✅ VMware Workstation и Hyper-V несовместимы — Данная проблема возникает по большей части из-за конфликта виртуализации Hyper-V которая уже при загрузки ОС резервирует на себя все аппаратные возможности виртуализации процессора, а остальным ничего не остается поэтому нам это надо отключить!

🔥 В статье приведу несколько способов которые можно использовать!

Способ 1 — Отключаем Hyper-V

1. Запускаем командную строку WIN + R
2. Вводим команду cmd которая нам откроет терминал в котором мы вводим следующую команду

Этой командой мы отключаем службу Hyper-V на нашем компьютеере

Перезагружаем компьютер

Если его нужно вернуть все обратно, тогда нужно будет выполнить команду bcdedit /set hypervisorlaunchtype auto

PS Если после перезагрузки у Вас не заработала VMware тогда переходите ко второму способу.

Способ 2 — Отключаем ядро

В данном способе мы не просто отключим изоляцию ядра в настройках.

1. Заходим в настройки и в меню выбираем Обновление и Безопасность
   
2. Переходим в меню Безопасность Windows и выбираем Безопасность Устройства
   
   
3. Далее переходим в Безопасность устройства и в пункте Изоляция ядра нажимаем на ссылку
   
4. переводим ползунок в режим Откл закрываем и перезагружаем компьютер
   
5. Если этот способ не помог, переходим ко второй инструкции

Способ 3 — Отключаем Credential Guard

1. Запускаем командную строку WIN + R
2. Вводим команду gpedit.msc которая нам откроет — Редактор локальной и групповой политики
3. Длаее идем в ветку: Конфигурация компьютера => Административные шаблоны => Система => Device Guard
   
4. Открываем службу Включить средство обеспечения безопасности на основе виртуализации и нам надо ее отключить
   
5. на этом закрываем Редактор локальной и групповой политики
6. Запускаем командную строку WIN + R
7. Вводим команду appwiz.cpl которая нам откроет Программы и компоненты и тут выбираем меню Включение или отключение компонентов Windows
   
8. В открывшемся окне снимаем галку с пункта Hyper-V
   
9. Перезагружаем компьютер

Вот наверно и все! Таким образом мы решили проблему конфликта виртуализации между приложениями VMware Workstation и Hyper-V! Если у вас есть какие то замечания или дополнения пишите в комментариях.