Device credential guard как отключить?

Device credential guard как отключить

Device credential guard как отключить?

Область применения

  • Windows 10
  • Windows Server2016
  • WindowsServer2019

Включение Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows можно включить с помощью групповой политики, реестра или средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.

Включение Credential Guard в Защитнике Windows с помощью групповой политики

Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.

  1. В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Система ->Device Guard.
  2. Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.
  3. В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.

В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.

Закройте консоль управления групповыми политиками.

Чтобы применить обработку групповой политики, можно запустить gpupdate /force .

Включение защиты учетных данных защитника Windows с помощью Intune

  1. На домашней странице выберите Microsoft Intune
  2. Нажмите кнопку » Конфигурация устройства «
  3. Щелкните Профили >. Создание >конечной точки для защиты >учетной записи Windows Defender Guard.

Он включит VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее. Если вам потребуется удаленно отключить Credential Guard, включите его без блокировки UEFI.

Включение Credential Guard в Защитнике Windows с помощью реестра

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.

Добавление функций безопасности на основе виртуализации

Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.

Читайте также  Hp pc hardware diagnostics uefi как отключить?

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).

Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.

Добавление функций безопасности на основе виртуализации с помощью раздела «Программы и компоненты»

  1. Откройте раздел Панели управления «Программы и компоненты».
  2. Выберите Включение или отключение компонентов Windows.
  3. Перейдите в раздел Hyper-V ->Платформа Hyper-V и установите флажок Низкоуровневая оболочка Hyper-V.
  4. Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.
  5. Нажмите кнопку OK.

Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM

  1. Откройте командную строку с повышенными привилегиями.
  2. Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды: dism /image: /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
  3. Добавьте режим изолированного пользователя с помощью следующей команды: dism /image: /Enable-Feature /FeatureName:IsolatedUserMode

Источник: https://4systems.ru/inf/device-credential-guard-kak-otkljuchit/

Защита учётной записи (Credential Guard) | База полезных знаний

Device credential guard как отключить?

Защита учётной записи (Credential Guard) изолирует секреты с помощью основанных на виртуализации технологий, так что только привилегированные системы могут получить к ним доступ.

  • 1 Credential Guard
  • 2 Удалённая защита учётных данных

Credential Guard

Credential Guard предоставляет следующие возможности:

  • Безопасность оборудования. Повышает безопасность учётных записей производного домена, используя для этого преимущества функций безопасности платформы, включая безопасную загрузку и виртуализацию.
  • Безопасность на основе виртуализации. Службы Windows, которые управляют учётными данными производного домена и другими секретами, выполняются в защищённой среде, изолированной от операционной системы.
  • Улучшенная защита от самых современных постоянных угроз. Обеспечивает учётные данные производных доменов с помощью безопасности на основе виртуализации. Блокирует атаки на учётные данные и инструменты, используемые в многих других атаках. Вредоносные программы, выполняющимися в ОС с административными привилегиями не могут извлечь секреты, которые находятся под защитой безопасности на основе виртуализации.
  • Управляемость. Управление с помощью групповой политики, WMI, из командной строки и Windows PowerShell.

Обычно в Windows, секреты хранятся в памяти Local Security Authority(LSA). С Credential Guard, LSA сообщается с новым компонентом, называемым изолированным LSA. Этот изолированный LSA основан на виртуализации и недоступен остальной ОС. На рисунке ниже показана изоляция, обеспечивающая безопасность на основе виртуализации для процесса LSAIso от процесса LSASS.

Основанный на виртуализации процесс LSA

Если включён Credential Guard, более старые варианты NTLM или Kerberos (то есть NTLM v1, MS-CHAPv2 и т. д.) больше не поддерживаются.

Поскольку Credential Guard основан на виртуализации, для него требуется определённая аппаратная поддержка. В следующей таблице приведены некоторые из этих требований:

 

Требования Описание
Windows Server 2016 S Защита учётных данных доступна на всех Windows Server 2016 SKU, за исключением Nano Server (поскольку Nano Server поддерживает только удалённое управление).
Версия прошивки UEFI 2.3.1 или выше и безопасная загрузка Чтобы убедиться, что прошивка использует UEFI версии 2.3.1 или выше и безопасную загрузку, вы можете проверить её на соответствие требованиям приложением System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby Program.
 Расширения виртуализации  Для поддержки безопасности на основе виртуализации необходимы следующие расширения виртуализации:

  • Intel VT-x или AMD-V
  • Second Level Address Translation
 x64 архитектура  Функции, которые использует защита на основе виртуализации в гипервизоре Windows, могут работать только на 64-битном ПК.
 VT-d или AMD-Vi IOMMU  IOMMU повышает устойчивость системы к атакам на память.
 TPM версии 1.2 или 2.0  Внимание: Если у вас нет установленного TPM, Credential Guard по-прежнему будет включён, но ключи, используемые для его шифрования, не будут защищены TPM.
 Прошивка обновлена для реализации Secure MOR  Credential Guard требует, чтобы защищённый бит MOR помог предотвратить определённые атаки на память.
 Физический ПК или ВМ  Credential Guard поддерживается как на физических машинах, так и на виртуальных. Для виртуальной машины Hypervisor должен поддерживать вложенную виртуализацию.
Читайте также  Host process for Windows services как отключить?

Самый простой способ получить Credential Guard для вашей организации — включить её с помощью групповой политики и выбрать машины на своём предприятии, для которых вы хотите её применить.

В консоли управления групповыми политиками создайте новую групповую политику или отредактируйте существующую. Затем перейдите в раздел «Конфигурация компьютера> Административные шаблоны> Система> Защита устройства».

Дважды нажмите «Включить защиту на основе виртуализации», а затем в открывшемся диалоговом окне выберите параметр «Включено». В диалоговом окне «Выбор уровня безопасности платформы» выберите «Безопасная загрузка» или «Безопасная загрузка и защита DMA». В списке «Конфигурация учётных данных» выберите «Включено с блокировкой UEFI» и нажмите «ОК». Если вы хотите удалённо отключить Credential Guard, в списке настроек Credential Guard вместо «Enabled With UEFI Lock», выберите «Enabled Without Lock».

Параметры групповой политики для Credential Guard

Подробнее. Для получения дополнительной информации перейдите на страницу https://technet.microsoft.com/library/mt483740(v=vs.85).aspx.

Удалённая защита учётных данных

Удалённая защита учётной записи, обеспечивает защиту от кражи ваших учётных данных при дистанционном подключении к системе через сеанс удалённого рабочего стола.

Когда пользователь пытается получить доступ к удалённому рабочему столу на удалённом хосте, запрос Kerberos перенаправляется для аутентификации обратно на исходный узел. Учётные данные, на удалённом хосте больше не существуют. Если удалённый хост (то есть, компьютер конечного пользователя или сервер) имеет вредоносный код, удалённый credential guard смягчит это злонамеренное воздействие, так как учётные данные на удалённый хост передаваться не будут.

К удалённой защите учётных данных существуют некоторые требования:

  • Пользователь должен быть присоединён к домену Active Directory или сервер удалённого рабочего стола должен быть присоединён к домену с доверительными отношениями к клиентскому устройству.
  • Пользователь должен использовать аутентификацию Kerberos.
  • Пользователь должен работать как минимум на Windows 10, версии 1607 или Windows Server 2016.
  • Требуется классическое приложение Windows для удалённого рабочего стола. Приложение Remote Desktop Universal Windows Platform не поддерживает Remote Credential Guard.
Читайте также  Удаленное разностное сжатие можно ли отключить?

Чтобы включить защиту удалённых учётных данных, настройте её с помощью групповой политики и разверните в своих сетях.

Чтобы настроить это с помощью групповой политики, откройте консоль управления групповыми политиками, а затем перейдите к «Конфигурация компьютера > Административные шаблоны > Система > Делигирование учётных данных». Далее дважды щёлкните «Restrict Delegation To Remote Servers», а затем выберите «Require Remote Credential Guard». Наконец, нажмите «ОК» и, чтобы вывести групповую политику, запустите gpupdate/force. (также вы можете включить удалённую защиту учётных данных с помощью ключа реестра — посмотрите следующую ссылку «Подробнее».)

Подробнее. Чтобы узнать больше о развёртывании защиты удалённых учётных данных, перейдите на https://technet.microsoft.com/itpro/windows/keep-secure/remote-credential-guard.

Источник: https://datbaze.ru/windows/zashhita-uchyotnoy-zapisi-credential-guard.html

Как исправить ошибку VMware Workstation and Device/Credential Guard are not compatible при включении виртуальной машины

Device credential guard как отключить?

VMware Workstation – программа виртуализации одной или нескольких операционных систем на персональном компьютере. Обычно её используют для тестирования различного софта и дистрибутивов. Но многие пользователи столкнулись с проблемой — vmware workstation ошибка при включении виртуальной машины:

VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard.

Начиная с версии VMware Workstation 12.5 на Windows 10 не запускается виртуальная машина. Всё из-за защиты учётных записей, и для того чтобы виртуалка работала корректно, нужно отключить этот самый защитник.

Исправляем ошибку VMware Workstation

Для начала нужно открыть командную строку комбинацией клавиш «WIN+R» и ввести команду «gpedit.msc» и подтвердить действие, кликнув на «ОК» или нажать «Enter» на клавиатуре.

Откроется Редактор групповой политики, ищем раздел «Политика Локальный компьютер», далее переходим в «Конфигурация компьютера», потом «Административные шаблоны», дальше «Система», и справа ищем папку «Device Guard».

В ней находятся два элемента, выбираем и открываем «Включить средство обеспечения безопасности на основе виртуализации».

В открывшемся окне слева будет три пункта (так называемые «радиобаттон»), нужно будет переключить на «Отключено» и кликнуть на «ОK».

Следующий шаг, заходим в «Панель управления» — «Программы и компоненты» — «Включение или отключение компонентов Windows», снимаем галочку с «Hyper-V», нажимаем «ОК» и не перезагружаем компьютер.

Далее нужно замустить командную строку «CMD» от имени администратора и выполнить несколько команд:

  • bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d «DebugTool» /application osloader
  • bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path «\EFI\Microsoft\Boot\SecConfig.efi»
  • bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
  • bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS
  • bcdedit /set hypervisorlaunchtype off

Теперь можно перезагрузить ПК и запустить виртуальную машину, всё должно заработать и никакой ошибки не должно всплывать.

Теперь вы знаете как исправить ошибку VMware Workstation and Device/Credential Guard are not compatible, если статья вам помогла, вступайте в наш паблик ВК, где можно найти полезную и интересную информацию.

Обязательно подпишитесь на наш Телеграм-канал @hightechreview

Источник: http://hightech-review.ru/platformy/soft/item/136-kak-ispravit-oshibku-vmware-workstation-and-device-credential-guard-are-not-compatible

VMware Workstation and Device/Credential Guard are not compatible

Device credential guard как отключить?

» VMWare » VMware Workstation and Device/Credential Guard are not compatible.

Источник: https://www.nibbl.ru/vmware/vmware-workstation-and-device-credential-guard-are-not-compatible.html