Device guard windows 10 как отключить

Отключить Windows Defender Credential Guard и Device Guard

В последних обновлениях Windows 10 по умолчанию включен Windows Defender Credential Guard (Защитник Windows Защита учетной записи) и может получиться так, что ранее подготовленные виртуальные машины не запускаются в VMware Workstation или Hyper-V.

Не буду останавливаться на том, что это за технологии, т.к. цель данной заметки — просто и надежно отключить новый функуионал безопасности и тем самым исправить ошибку: «VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard«.

Ошибка при запуске виртуальной машины в VMware Workstation в Windows 10

При запуске несовместимой VM, появляется данное предупреждение и сразу же есть ссылка на официальный мануал по устранению этой проблемы. Там пошагово описан процесс включения и отключения Защиты учетной записи, но самый быстрый и безопасный вариант спрятан в самом конце заметки — что ж исправим ситуацию.

1. Скачиваем официальны набор скриптов — Windows Defender Credential Guard hardware readiness tool — microsoft.com/en-us/download/details.aspx?id=53337 ;
2. Распаковываем содержимое архива в удобную директорию;
3. Запускаем Power Shell от имени администратора, переходим в папку с распакованным скриптом;
4. Запускаем скрипт с нужными ключами (при необходимости подтверждаем выполнение операции — R).

В нашем примере используется ключ автоматической перезагрузки системы:

После перезагрузки можем как и прежде запускать виртуальные машины в VMware Workstation в нашей любимой Windows 10 ��

How to Enable or Disable Device Guard in Windows 10

Device Guard is a combination of enterprise-related hardware and software security features that, when configured together, will lock a device down so that it can only run trusted applications that you define in your code integrity policies. If the app isn’t trusted it can’t run, period. With hardware that meets basic requirements, it also means that even if an attacker manages to get control of the Windows kernel, he or she will be much less likely to be able to run malicious executable code. With appropriate hardware, Device Guard can use the new virtualization-based security in Windows 10 (available in Enterprise and Education desktop SKUs and in all Server SKUs) to isolate the Code Integrity service from the Microsoft Windows kernel itself. In this case, the Code Integrity service runs alongside the kernel in a Windows hypervisor-protected container.

This tutorial will show you how to enable or disable Device Guard virtualization-based security on Windows 10 Enterprise and Windows 10 Education PCs.

Disabling device credential guard

Credential Guard в Защитнике Windows можно включить с помощью групповой политики, реестра или средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.

Включение Credential Guard в Защитнике Windows с помощью групповой политики.

Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.

1. В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Система ->Device Guard.
2. Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.
3. В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.

В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.

Закройте консоль управления групповыми политиками.

Чтобы применить обработку групповой политики, можно запустить gpupdate /force .

Включение защиты учетных данных защитника Windows с помощью Intune

1. На домашней странице выберите Microsoft Intune
2. Нажмите кнопку " Конфигурация устройства "
3. Щелкните Профили >. Создание >конечной точки для защиты >учетной записи Windows Defender Guard.

Он включит VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее. Если вам потребуется удаленно отключить Credential Guard, включите его без блокировки UEFI.

Включение Credential Guard в Защитнике Windows с помощью реестра

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.

Добавление функций безопасности на основе виртуализации

Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).

Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.

Добавление функций безопасности на основе виртуализации с помощью раздела "Программы и компоненты"

1. Откройте раздел Панели управления "Программы и компоненты".
2. Выберите Включение или отключение компонентов Windows.
3. Перейдите в раздел Hyper-V ->Платформа Hyper-V и установите флажок Низкоуровневая оболочка Hyper-V.
4. Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.
5. Нажмите кнопку OK.

Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM

1. Откройте командную строку с повышенными привилегиями.
2. Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды: dism /image: /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
3. Добавьте режим изолированного пользователя с помощью следующей команды: dism /image: /Enable-Feature /FeatureName:IsolatedUserMode

Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.

Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows

1. Откройте редактор реестра.
2. Включите средство обеспечения безопасности на основе виртуализации.
3. Откройте раздел реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlDeviceGuard.
4. Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.
5. Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.
6. Включение Credential Guard в Защитнике Windows:
7. Откройте раздел реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA.
8. Добавьте новый параметр типа DWORD с именем LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.
9. Закройте редактор реестра.

Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.

Включение Credential Guard в Защитнике Windows с помощью средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows

При запуске средства проверки готовности оборудования для Windows Defender и Windows Defender Guard в операционной системе, отличной от английской, в сценарии $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() вместо этого используйте команду "Изменить", чтобы инструмент работал. Это известная проблема.

Оценка работы Credential Guard в Защитнике Windows

Запущен ли Credential Guard в Защитнике Windows?

Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу "Сведения о системе".

1. Нажмите кнопку Пуск, введите msinfo32.exe, а затем щелкните Сведения о системе.
2. Выберите Сводные сведения о системе.

Убедитесь, что строка Credential Guard отображается рядом с пунктом Службы обеспечения безопасности Hyper-V на основе виртуализации настраиваются.

При запуске средства проверки готовности оборудования для Windows Defender и Windows Defender Guard в операционной системе, отличной от английской, в сценарии *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() вместо этого используйте команду "Изменить", чтобы инструмент работал. Это известная проблема.

На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.

Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже уязвимо, именно поэтому мы рекомендуем включить Credential Guard как можно раньше.

Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Ниже представлен список кодов событий WinInit, которые следует искать.

• Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.
• Код события 14. Конфигурация Credential Guard в Защитнике Windows (LsaIso.exe): 0x1, 0

• Первая переменная: 0x1 означает, что Credential Guard в Защитнике Windows настроен для запуска. 0x0 означает, что средство не настроено для запуска.
• Вторая переменная: 0 означает, что Credential Guard настроен для работы в режиме защиты. 1 означает, что Credential Guard для работы в тестовом режиме. Эта переменная должна всегда иметь значение 0.

Отключение Credential Guard в Защитнике Windows

Чтобы отключить защиту учетных данных защитника Windows, вы можете использовать следующий набор процедур или средство проверки готовности оборудования для Device Guard и Credential Guard. Если защита учетных данных была включена с блокировкой UEFI, необходимо выполнить описанную ниже процедуру, так как параметры сохраняются в переменных EFI (микропрограмм), и для них требуется физическое присутствие на компьютере для нажатия функциональной клавиши для подтверждения изменения. Если защита учетных данных включена без блокировки UEFI, вы можете отключить ее с помощью групповой политики.

1. Если вы использовали групповую политику, отключите параметр групповой политики, с помощью которого вы включали Credential Guard в Защитнике Windows (Конфигурация компьютера ->Административные шаблоны ->Система ->Device Guard ->Включить средство обеспечения безопасности на основе виртуализации).
2. Удалите указанные ниже параметры реестра.
3. HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSALsaCfgFlags
4. HKEY _LOCAL _MACHINE СофтвареполиЦиесмикрософтвиндовсдевицегуардлсакфгфлагс

Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:

• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDeviceGuardEnableVirtualizationBasedSecurity
• HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDeviceGuardRequirePlatformSecurityFeatures > [!IMPORTANT] > Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.

Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

Компьютер должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, которые были зашифрованы с помощью EFS. Если вы хотите отключить учетные данные Windows Defender Guard и безопасность на основе виртуализации, выполните следующие команды BCDedit после отключения групповой политики безопасности на основе виртуализации и параметров реестра.

В настоящее время защита учетных данных и Device Guard не поддерживается при использовании виртуальных машин Azure IaaS. Эти параметры будут доступны для будущих Gen 2 ВМ.

Дополнительные сведения о системе безопасности на основе виртуализации и Device Guard в Защитнике Windows см. в руководстве по развертыванию Device Guard в Защитнике Windows.

Отключение Credential Guard в Защитнике Windows с помощью средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows

При запуске средства проверки готовности оборудования для Windows Defender и Windows Defender Guard в операционной системе, отличной от английской, в сценарии *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() вместо этого используйте команду "Изменить", чтобы инструмент работал. Это известная проблема.

Отключение Credential Guard в Защитнике Windows для виртуальной машины

На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:

2 Effective Ways to Disable Credential Guard Windows 10 [MiniTool Tips]

Credential Guard is one of the main security features in Windows 10. This post shows 2 ways to disable Credential Guard. In addition, you can visit MiniTool to look for more Windows solutions and tips.

What Is Credential Guard?

Credential Guard is a virtualization-based isolation technology for Local Security Authority Subsystem Service that can prevent attackers from stealing credentials. Hence, it can provide a kind of protection for your data.

The Windows Defender Credential Guard was introduced in Windows 10 Enterprise and Windows Server 2016, and Windows Server 2019. Windows Defender Credential Guard prevents these attacks by protecting NTLM password hashes, Kerberos Ticker Granting Tickets, and credentials stored by applications as domain credentials.

However, some users complain that the VMware may fail to work if the Windows Defender Credential Guard is running. Hence, they ask whether there is a possibility to disable Credential Guard.

Of course, you can do that. In the following section, we will show you 2 ways to disable Credential Guard Windows 10. Keep on your reading.

2 Ways to Disable Credential Guard

In this section, we will show 2 ways to disable device guard or Credential Guard.

Way 1. Disable Credential Guard Windows 10 via Group Policy

First of all, we will show you the first way to disable Credential Guard Windows 10. In this way, you can disable device guard or Credential Guard via Control Panel.

Now, here is the tutorial.

Enable Hyper-V

To disable Credential Guard, you need to enable Hyper-V first.

Step 1: Type Control Panel in the search box of Windows 10 and choose the best-matched one. Then choose Programs and Features to continue.

Step 2: In the left panel, choose Turn Windows features on or off to continue.

Step 3: In the Windows Feature window, check Hyper-V and click OK to continue.

Step 4: Then click OK to confirm the changes. After that, it may prompt you to restart your computer. So, restart the computer to continue.

After having enabled Hyper-V, you can begin to disable Credential Guard.

Disable Credential Guard

In this section, we will show you how to disable Credential Guard to continue.

Step 1: Press Windows key and R key together to open Run dialog, then type gpedit.msc in the box and click OK to continue.

Step 2: In the Local Group Policy Editor window, navigate to the following location.

Computer Configuration > Administrative Templates > System > Device Guard

Step 3: Then select Device Guard to continue.

Step 4: Then find the Turn on Virtualization Based Security on the right panel and double-click it to continue.

Step 5: Then in the pop-up window, choose Disabled to continue.

Step 6: After that, click Apply and OK to confirm the changes.

When it is finished, you have disabled Credential Guard and can work with Hyper-V as well as VMware without any issues.

The problem of failed to enumerate objects in the container occurs when trying to change the permission of files or folders. This post shows how to solve it.

Way 2. Disable Credential Guard via Registry Editor

Now, we will show you the second way to disable Credential Guard. In this way, you can disable Credential Guard via Registry Editor.

Now, here is the tutorial.

Step 1: Press Windows key and R key together to open Run dialog, then type regedit in the box and click OK to continue.

Step 2: In the Registry Editor window, navigate to the following registry key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

Step 3: Right-click on the DeviceGuard and choose New, then choose DWORD(32-bit) Value to continue.

Step 4: Name the newly created value as the EnableVirtualizationBasedSecurity and hit Enter to continue.

Step 5: Double-click it and then change its value data to 0.

Step 6: After that, right-click the DeviceGuard again, choose New, and choose DWORD(32-bit) Value to continue.

Step 7: Name the new key as RequirePlatformSecurityFeatures to continue.

Step 8: Double-click it to change its value data to 1 to use Secure Boot only or change value data to 3 to use Secure Boot and DMA protection.

Step 9: Returning to the Registry Editor window, and then navigate to the following folder.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

Step 10: Right-click on LSA, select New, and choose DWORD(32-bit) Value to continue.

Step 11: Name it as the LsaCfgFlags to continue.

Step 12: Double-click it to change its value data to 0.

When you have finished all steps, close the Registry Editor window and you have successfully disabled the Credential Guard.

From above information, you can know that Credential Guard can provide protection for your data. But if it is disabled, computer would be in a risky status. So, in order to better keep computer safe, you can make a system image.

You may encounter the error the requested operation requires elevation when running a program or opening a file. This post shows how to fix it.

Final Words

To sum up, this post has introduced 2 ways to disable Credential Guard. So, if you want to disable Windows Defender Credential Guard for a Virtual Machine, these ways can help you out.

• Facebook
• Twitter
• Linkedin
• Reddit

About The Author

Tina is a technology enthusiast and joined MiniTool in 2018. As an editor of MiniTool, she is keeping on sharing computer tips and providing reliable solutions, especially specializing in Windows and files backup and restore. Besides, she is expanding her knowledge and skills in data recovery, disk space optimizations, etc.

On her spare time, Tina likes to watch movies, go shopping or chat with friends and enjoy her life.