Отключить Windows Defender Credential Guard и Device Guard
В последних обновлениях Windows 10 по умолчанию включен Windows Defender Credential Guard (Защитник Windows Защита учетной записи) и может получиться так, что ранее подготовленные виртуальные машины не запускаются в VMware Workstation или Hyper-V.
Не буду останавливаться на том, что это за технологии, т.к. цель данной заметки — просто и надежно отключить новый функуионал безопасности и тем самым исправить ошибку: «VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard«.
При запуске несовместимой VM, появляется данное предупреждение и сразу же есть ссылка на официальный мануал по устранению этой проблемы. Там пошагово описан процесс включения и отключения Защиты учетной записи, но самый быстрый и безопасный вариант спрятан в самом конце заметки — что ж исправим ситуацию.
- Скачиваем официальны набор скриптов — Windows Defender Credential Guard hardware readiness tool — microsoft.com/en-us/download/details.aspx?id=53337 ;
- Распаковываем содержимое архива в удобную директорию;
- Запускаем Power Shell от имени администратора, переходим в папку с распакованным скриптом;
- Запускаем скрипт с нужными ключами (при необходимости подтверждаем выполнение операции — R).
В нашем примере используется ключ автоматической перезагрузки системы:
После перезагрузки можем как и прежде запускать виртуальные машины в VMware Workstation в нашей любимой Windows 10 😉
Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter
Контроль приложений и защита целостности кода на основе виртуализации Windows Windows Defender Application Control and virtualization-based protection of code integrity
Относится к Applies to
- Windows 10 Windows 10
- WindowsServer2016 Windows Server 2016
В Windows 10 имеется набор технологий аппаратного обеспечения и операционной системы, которые при настройке совместно позволяют предприятиям «заблокировать» системы Windows 10, чтобы они работали с многими из свойств мобильных устройств. Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to «lock down» Windows 10 systems so they operate with many of the properties of mobile devices. В этой конфигурации конкретные технологии работают вместе, чтобы ограничить количество устройств для выполнения только авторизованными приложениями с помощью функции, которая называется конфигурируемой целостность кода, а также одновременной фиксации операционной системы для атак из памяти ядра с помощью Защита целостности кода на основе виртуализации (точнее, ХВЦИ). In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks through the use of virtualization-based protection of code integrity (more specifically, HVCI).
Настраиваемые политики целостности кода и ХВЦИ — это очень мощная защита, которую можно использовать отдельно. Configurable code integrity policies and HVCI are very powerful protections that can be used separately. Тем не менее, если эти две технологии настроены для совместной работы, они представляют собой очень надежную функцию защиты для устройств с Windows 10. However, when these two technologies are configured to work together, they present a very strong protection capability for Windows 10 devices.
Использование настраиваемой целостности кода для ограничения доступа к устройствам только авторизованным приложениям имеет следующие преимущества по сравнению с другими решениями: Using configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:
- Настраиваемая политика целостности кода обеспечивается самим ядром Windows. Configurable code integrity policy is enforced by the Windows kernel itself. Таким образом, политика вступает в силу на ранней стадии загрузки перед тем, как все остальные коды ОС и традиционные антивирусные решения работают. As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
- Настраиваемая целостность кода позволяет пользователям устанавливать политику управления приложениями не только для программного кода, но и для аппаратных и программных драйверов и даже для программного кода, работающего в составе Windows. Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
- Пользователи могут защищать настраиваемые политики целостности кода даже от несанкционированного изменения администратором, используя цифровую подпись политики. Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. Это означает, что для изменения политики требуется как привилегия администратора, так и доступ к процессу цифровых подписей Организации, что затрудняет ее для атак с правами администратора или вредоносных программ, управляемых для получение прав администратора для изменения политики управления приложениями. This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it extremely difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
- Весь настраиваемый механизм обеспечения целостности кода можно защитить с помощью ХВЦИ, где даже если в коде режима ядра есть уязвимость, что злоумышленник может успешно воспользоваться ею. The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is significantly diminished. Почему это уместно? Why is this relevant? Это связано с тем, что злоумышленник, который подключается к ядру, в противном случае имеет достаточные полномочия для отключения большей защиты системы и переопределяет политики управления приложением, принудительно примененные с помощью настраиваемой целостности кода или любого другого решения для управления приложением. That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.
Управление приложениями в Защитнике Windows Windows Defender Application Control
Когда мы первоначально разработали это состояние конфигурации, мы сделали это, учитывая некоторые особенности системы безопасности. When we originally designed this configuration state, we did so with a specific security promise in mind. Несмотря на то, что между настраиваемой целостностью кода и ХВЦИ не было ни одной прямой зависимости, мы намеренно засфокусировани на наше обсуждение о состоянии блокировки, которое вы разработали при развертывании вместе. Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. Тем не менее, если ХВЦИ полагается на безопасность на основе виртуализации Windows, она включает дополнительные аппаратные средства, микропрограммы и требования совместимости драйверов ядра, которые не соответствуют более старым системам. However, given that HVCI relies on Windows virtualization-based security, it comes with additional hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. В результате многие ИТ-специалисты предполагают, что поскольку некоторые системы не смогли использовать ХВЦИ, они не могут использовать настраиваемую целостность кода. As a result, many IT Professionals assumed that because some systems couldn’t use HVCI, they couldn’t use configurable code integrity either.
Возможность настройки целостности кода не несет особых требований к оборудованию и программному обеспечению, кроме Windows 10, что означает, что многие ИТ-специалисты не смогли получить доступ к преимуществам этой мощной функции управления приложениями. Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.
С момента первоначального выпуска Windows 10 в мире есть возможность несанкционированного доступа к атакам злоумышленников и вредоносных программ. Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. С учетом этого мы будем обсуждать и документировать настраиваемую целостность кода в качестве независимой технологии в своем стеке безопасности и предоставлять ему собственное имя: элемент управления «Защитник Windows». With this in mind, we are discussing and documenting configurable code integrity as a independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. Надеемся, что это изменение поможет нам улучшить взаимодействие с другими способами для принятия управления приложением в Организации. We hope this change will help us better communicate options for adopting application control within an organization.
Отключение Credential Guard or Device Guard в Windows 10 Pro / SL
Привет всем. Итак, недавно моя вторая система Windows 10 SL обновилась до сборки 1803, ну и все бы ничего, но при попытке создать и запустить новую виртуальную машину использюя VMWare Workstation 14, я обнаружил ошибку, которая сообщала мне что Credential Guard or Device Guard не позволяет мне использовать МОЮ виртуализацию, по этому я должен ее отключить и мне предлагается перейти по ссылке на сайт VMWare где подробно описано как это сделать. И все бы ничего, но инструкция предназначена для Windows 10 редакции Server и, конечно же, есть определенные отличия в плане ПО и не только, между серверной редакцией и моей десктопной. Инструкция мне не подходит.
Посетив несколько тематических забугорных форумов и почитав активные обсуждения, я обратил внимание что тем людям, которые задают такой же вопрос, обычно пишут ответ типа «ерунду несешь, данная фича — Credential Guard or Device Guard есть только в Windows редакции Server». Звучит глупо, знатоки еще те. Читая дальше и вникая в суть мне стало понятно, что в этой ошибке есть некоторая связь с Hyper-V (нативной системой виртуализации в Windows), но для десктопных Windows 10 Hyper-V доступен только в редакциях Pro и выше (типа Enterprise) как это связано с моей Single Language мне было не понятно. Данный тип редакции базово не имеет поддержки Hyper-V.
РЕШЕНИЕ.
Каким-то странным истечением обстоятельств я забрел в в установку и удаление компонентов системы и обнаружил там некоторую включенную опцию, которой ранее не было в моей системе. Опция называется Windows Hypervisor Platform. Ну вот, собственно, отключив эту опцию после перезагрузки системы, виртуальная машина под управлением VMWare Workstation начала работать без ошибок как обычно.
Если вы столкнулись с этой проблемой, попробуйте решить ее так. Отпишитесь обязательно в комментариях, у кого получилось / не получислоь.