Ошибка vmware player and device

Ошибка vmware player and device/credential guard are not compatible что это и как исправить?

После очередных обновлений от Windows 10 у многих пользователей VM Ware Workstation при первом запуске созданной VM возникает вот такая ошибка. В окошке размещена ссылка на базу знаний WM Ware по этой проблеме. В базе знаний я нашел видео и ответы, как решить проблему, но все на английском языке.

Разобравшись, я решил написать это дополнение к своим статьям о виртуальных машинах. Ошибка появляется при попытке запуска любой из виртуальных машин на последних редакциях «десятки». Связано это с политиками безопасности и доступа к ядру, которые обновили разработчики, якобы для той же самой безопасности.

Исправляем vmware workstation and device/credential guard are not compatible

На деле они просто продвигают свою Hyper-V, потому как получается, что вы будете пользоваться либо Hyper -V, либо VM Ware Workstation Pro. Хотя, не исключено,что в более поздних версиях разрабы учтут этот баг и гипервизор будет работать без ошибок. Итак, что нам рекомендуют в базе знаний? Сначала проверяем настройку групповых политик безопасности для виртуализации. Нажимаем Win+r и вводим комаду gpedit.msc

Открываем ветви как на рисунке, доходим до «настроек безопасности виртуализации» (справа):

Отключаем данную политику:

Переходим в «Панель управления», «Программы», «Удаление программы». Находим справа ссылку на «Установка компонентов Windows»:

Проверяем наличие установленных компонентов виртуальной машины Hyper-V. Если галочки напротив стоят — снимаем, жмем ОК; компьютер попросит перезагрузку, но перезагружаемся только когда закончим дело. Должно выглядеть так:

Виртуальная машина Hyper-V будет удалена. После вызываем командную строку от имени администратора (правой кнопкой мыши по кнопке «Пуск», либо через поиск): По очереди копируем туда команды, которые отредактируют загрузчик Windows. После ввода КАЖДОЙ команды нажимаем ENTER . В CMD вставка текста производится нажатием Ctrl +V.

  • bcdedit /create <0cb3b571-2f2e-4343-a879-d86a476d7215>/d «DebugTool» /application osloader
  • bcdedit /set <0cb3b571-2f2e-4343-a879-d86a476d7215>path «EFIMicrosoftBootSecConfig.efi»
  • bcdedit /set bootsequence
  • bcdedit /set <0cb3b571-2f2e-4343-a879-d86a476d7215>loadoptions DISABLE-LSA-ISO,DISABLE-VBS
  • bcdedit /set hypervisorlaunchtype off

После всех манипуляций в вашей командной строке результаты должны быть такие:

Все операции успешно завершены? Перезагружаем компьютер. Специально не проверял, но после произведенных изменений встроенный Hyper-V может не заработать при его повторной установке. Если кто проверял — напишите в комментариях, надо ли настройки загрузчика возвращать при этом обратно.

Выходит, что Microsoft таким ненавязчивым сервисом предлагает пользоваться своей технологией виртуализации. Так что при выборе машины которая будет крутиться на сервере, теперь надо все еще раз взвесить — что будет лучше на перспективу — «родное» или стороннее с точки зрения обновлений, настроек и совместимости.

fast-wolker.ru

Безопасно и быстро отключить Windows Defender Credential Guard и Device Guard

В последних обновлениях Windows 10 по умолчанию включен Windows Defender Credential Guard (Защитник Windows Защита учетной записи) и может получиться так, что ранее подготовленные виртуальные машины не запускаются в VMware Workstation или Hyper-V.

Не буду останавливаться на том, что это за технологии, т.к. цель данной заметки — просто и надежно отключить новый функуионал безопасности и тем самым исправить ошибку: «VMware Workstation and Device/Credential Guard are not compatible. VMware Workstation can be run after disabling Device/Credential Guard«.

При запуске несовместимой VM, появляется данное предупреждение и сразу же есть ссылка на официальный мануал по устранению этой проблемы. Там пошагово описан процесс включения и отключения Защиты учетной записи, но самый быстрый и безопасный вариант спрятан в самом конце заметки — что ж исправим ситуацию.

    Скачиваем официальны набор скриптов — Windows Defender Credential Guard hardware readiness tool — microsoft.com/en-us/download/details.aspx? >В нашем примере используется ключ автоматической перезагрузки системы:

После перезагрузки можем как и прежде запустать виртуальные машины в VMware Workstation в нашей любимой Windows 10 😉

Нашли ошибку в тексте? Выделите фрагмент текста и нажмите Ctrl+Enter

www.gotoadm.ru

Исправляем ошибку запуска VMware в Windows 10: VMware Player and Device/Credential Guard are not compatible

Если вы столкнулись с проблемой, когда виртуальная машина VMware выдаёт ошибку вида: «VMware Player and Device/Credential Guard are not compatible…» при попытке запуска любой гостевой системы, то есть способ решения, позволяющий вернуть всё в работоспособное состояние.

Не будем здесь останавливаться на причинах, которые могли привести к возникновению данной проблемы (например, такая ошибка может возникнуть, если вы пытались запустить встроенную в Windows 10 песочницу, которая пока не работает с русской локализацией Windows 10), а перейдём непосредственно к решению, позволяющему устранить данную ошибку в VMware Player.

Как исправить ошибку VMware Player and Device/Credential Guard are not compatible

  • Открываем «Редактор локальной групповой политики» (просто начните вводить «групп…» в поиске Windows 10 → нажмите «Изменение групповой политики» или так: сочетание клавиш WIN + R → gpedit.msc → OK;
  • В редакторе политик: Конфигурация компьютера → Административные шаблоны → Система → Device Guard → дважды кликнуть по «Включить средство обеспечения безопасности на основе виртуализации» (смотрите скриншот);
  • Выбираем в открывшемся окне «Отключено» → Применить → ОК.

На этом всё. Перезагружаем компьютер. После этого VMware должен работать без ошибки.

Если это не помогло, то дополнительно выполняем следующее:

  • Переходим к меню «Включение или отключение компонентов Windows» (начните вводить в поиске «комп…» или Панель управления → Программы → Программы и компоненты);
  • Отключаем Hyper-V → ОК;
  • Перезагружаем компьютер.

Примечание: отключение компонента Hyper-V также может помочь исправить ошибку, приводящую к невозможности запуска виртуальной машины VirtualBox: «Raw-mode is unavailable courtesy of Hyper-V (VERR_SUPDRV_NO_RAW_MODE_HYPER_V_ROOT)» Если после проделанных манипуляций появится «The VM session was aborted», то просто попробуйте перезапустить виртуальную машину.

alpinefile.ru

Управление Credential Guard в Защитнике Windows

Область применения

  • Windows 10
  • Windows Server2016
  • WindowsServer2019

Включение Credential Guard в Защитнике Windows

Credential Guard в Защитнике Windows можно включить с помощью групповой политики, реестра или средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows. Credential Guard в Защитнике Windows может защищать секретные сведения на виртуальной машине Hyper-V, как и на физическом компьютере. Тот же набор процедур, который используется для включения Credential Guard в Защитнике Windows на физических компьютерах, применяется и к виртуальным машинам.

Включение Credential Guard в Защитнике Windows с помощью групповой политики.

Включить Credential Guard в Защитнике Windows можно с помощью групповой политики. При этом будут активированы функции безопасности на основе виртуализации, если это необходимо.

  1. В консоли управления групповыми политиками перейдите в раздел Конфигурация компьютера ->Административные шаблоны ->Система ->Device Guard.
  2. Дважды щелкните Включить средство обеспечения безопасности на основе виртуализации, а затем выберите вариант Включено.
  3. В поле Выберите уровень безопасности платформы выберите Безопасная загрузка или Безопасная загрузка и защита DMA.

В поле Конфигурация Credential Guard щелкните элемент Включено с блокировкой UEFI, а затем нажмите кнопку ОК. Чтобы можно было отключить Credential Guard в Защитнике Windows удаленно, выберите пункт Включено без блокировки.

Закройте консоль управления групповыми политиками.

Чтобы применить обработку групповой политики, можно запустить gpupdate /force .

Включение защиты учетных данных защитника Windows с помощью Intune

  1. На домашней странице выберите Microsoft Intune
  2. Нажмите кнопку » Конфигурация устройства «
  3. Щелкните Профили >. Создание >конечной точки для защиты >учетной записи Windows Defender Guard.

Он включит VBS и безопасную загрузку, и вы можете сделать это с блокировкой UEFI или без нее. Если вам потребуется удаленно отключить Credential Guard, включите его без блокировки UEFI.

Включение Credential Guard в Защитнике Windows с помощью реестра

Если вы не используете групповую политику, вы можете включить Credential Guard в Защитнике Windows с помощью реестра. Credential Guard в Защитнике Windows использует функции безопасности на основе виртуализации, которые нужно включить в некоторых операционных системах.

Добавление функций безопасности на основе виртуализации

Начиная с Windows 10 версии 1607 и Windows Server 2016 включать функции безопасность на основе виртуализации необязательно, и этот шаг можно пропустить.

Если вы используете Windows 10 версии 1507 (RTM) или Windows 10 версии 1511, необходимо включить функции безопасности на основе виртуализации. Для этого можно воспользоваться панелью управления или системой обслуживания образов развертывания и управления ими (DISM).

Если вы включите Credential Guard в Защитнике Windows с помощью групповой политики, действия для включения компонентов Windows с помощью панели управления или DISM не требуются. Групповая политика сама установит эти компоненты Windows.

Добавление функций безопасности на основе виртуализации с помощью раздела «Программы и компоненты»

  1. Откройте раздел Панели управления «Программы и компоненты».
  2. Выберите Включение или отключение компонентов Windows.
  3. Перейдите в раздел Hyper-V ->Платформа Hyper-V и установите флажок Низкоуровневая оболочка Hyper-V.
  4. Установите флажок Режим изолированного пользователя на верхнем уровне выбора функций.
  5. Нажмите кнопку OK.

Добавление функций безопасности на основе виртуализации в автономный образ с помощью системы DISM

  1. Откройте командную строку с повышенными привилегиями.
  2. Добавьте низкоуровневую оболочку Hyper-V с помощью следующей команды: dism /image: /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all
  3. Добавьте режим изолированного пользователя с помощью следующей команды: dism /image: /Enable-Feature /FeatureName:IsolatedUserMode

Вы также можете добавить эти возможности в оперативный образ с помощью системы DISM или Configuration Manager.

Включение безопасности на основе виртуализации и Credential Guard в Защитнике Windows

  1. Откройте редактор реестра.
  2. Включите средство обеспечения безопасности на основе виртуализации.
    • Откройте раздел реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlDeviceGuard.
    • Добавьте новый параметр типа DWORD с именем EnableVirtualizationBasedSecurity. Для включения средства обеспечения безопасности на основе виртуализации установите для этого параметра реестра значение 1, а для отключения — значение 0.
    • Добавьте новый параметр типа DWORD с именем RequirePlatformSecurityFeatures. Задайте для этого параметра реестра значение1, чтобы использовать только режим Безопасная загрузка, или значение3, чтобы использовать режим Безопасная загрузка и защита DMA.
  3. Включение Credential Guard в Защитнике Windows:
    • Откройте раздел реестра HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA.
    • Добавьте новый параметр типа DWORD с именем LsaCfgFlags. Присвойте этому параметру значение1, чтобы включить Credential Guard в Защитнике Windows с блокировкой UEFI, значение2, чтобы включить Credential Guard в Защитнике Windows без блокировки, или значение0, чтобы отключить этот компонент.
  4. Закройте редактор реестра.

Вы можете включить Credential Guard в Защитнике Windows, настроив записи реестра в параметре автоматической установки FirstLogonCommands.

Включение Credential Guard в Защитнике Windows с помощью средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows

При запуске средства проверки готовности оборудования для Windows Defender и Windows Defender Guard в операционной системе, отличной от английской, в сценарии $OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() вместо этого используйте команду «Изменить», чтобы инструмент работал. Это известная проблема.

Оценка работы Credential Guard в Защитнике Windows

Запущен ли Credential Guard в Защитнике Windows?

Чтобы убедиться, что Credential Guard в Защитнике Windows работает на компьютере, вы можете использовать программу «Сведения о системе».

  1. Нажмите кнопку Пуск, введите msinfo32.exe, а затем щелкните Сведения о системе.
  2. Выберите Сводные сведения о системе.

Убедитесь, что строка Credential Guard отображается рядом с пунктом Службы обеспечения безопасности Hyper-V на основе виртуализации настраиваются.

При запуске средства проверки готовности оборудования для Windows Defender и Windows Defender Guard в операционной системе, отличной от английской, в сценарии *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSAch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() вместо этого используйте команду «Изменить», чтобы инструмент работал. Это известная проблема.

На клиентских компьютерах под управлением Windows 10 1703 LsaIso.exe включается каждый раз, когда средство обеспечения безопасности на основе виртуализации включается для других функций.

Мы рекомендуем включать Credential Guard в Защитнике Windows до присоединения устройства к домену. Если Credential Guard в Защитнике Windows был включен после присоединения устройства к домену, может оказаться, что секреты пользователя и устройства уже скомпрометированы. Другими словами, включение Credential Guard не поможет защитить устройство или удостоверение, которое уже уязвимо, именно поэтому мы рекомендуем включить Credential Guard как можно раньше.

Следует регулярно проводить проверку компьютеров с включенным Credential Guard в Защитнике Windows. Это можно сделать с помощью политик аудита безопасности или запросов WMI. Ниже представлен список кодов событий WinInit, которые следует искать.

  • Код события 13. Credential Guard в Защитнике Windows (LsaIso.exe) запущен и защищает учетные данные LSA.
  • Код события 14. Конфигурация Credential Guard в Защитнике Windows (LsaIso.exe): 0x1, 0
    • Первая переменная: 0x1 означает, что Credential Guard в Защитнике Windows настроен для запуска. 0x0 означает, что средство не настроено для запуска.
    • Вторая переменная: 0 означает, что Credential Guard настроен для работы в режиме защиты. 1 означает, что Credential Guard для работы в тестовом режиме. Эта переменная должна всегда иметь значение 0.
  • Код события 15. Credential Guard в Защитнике Windows (LsaIso.exe) настроен, но ядро системы безопасности не запущено. Операция будет продолжена без Credential Guard в Защитнике Windows.
  • Код события 16. Не удалось запустить Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]
  • Код события 17. Ошибка чтения конфигурации UEFI Credential Guard в Защитнике Windows (LsaIso.exe): [код ошибки]. Вы также можете узнать, используется ли доверенный платформенный модуль для защиты ключей, проверив указанное ниже событие с идентификатором 51 в источнике событий Microsoft ->Windows ->Kernel-Boot. Если вы используете доверенный платформенный модуль, то значение маски реестра конфигурации платформы доверенного платформенного модуля будет отличным от0.
    • Код события 51. Подготовка главного ключа шифрования VSM. Состояние использования кэшированной копии: 0x0. Состояние распечатывания кэшированной копии: 0x1. Состояние создания нового ключа: 0x1. Состояние запечатывания: 0x1. Маска регистра конфигурации платформы доверенного платформенного модуля: 0x0.

Отключение Credential Guard в Защитнике Windows

Чтобы отключить защиту учетных данных защитника Windows, вы можете использовать следующий набор процедур или средство проверки готовности оборудования для Device Guard и Credential Guard. Если защита учетных данных была включена с блокировкой UEFI, необходимо выполнить описанную ниже процедуру, так как параметры сохраняются в переменных EFI (микропрограмм), и для них требуется физическое присутствие на компьютере для нажатия функциональной клавиши для подтверждения изменения. Если защита учетных данных включена без блокировки UEFI, вы можете отключить ее с помощью групповой политики.

  1. Если вы использовали групповую политику, отключите параметр групповой политики, с помощью которого вы включали Credential Guard в Защитнике Windows (Конфигурация компьютера ->Административные шаблоны ->Система ->Device Guard ->Включить средство обеспечения безопасности на основе виртуализации).
  2. Удалите указанные ниже параметры реестра.
    • HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSALsaCfgFlags
    • HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDeviceGuardLsaCfgFlags

Если вы также хотите отключить безопасность на основе виртуализации, удалите следующие параметры реестра:

  • HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDeviceGuardEnableVirtualizationBasedSecurity
  • HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsDeviceGuardRequirePlatformSecurityFeatures > [!IMPORTANT] > Если вы удаляете эти параметры реестра вручную, убедитесь, что вы удалили их все. Если вы не удалите какие-либо из этих параметров, устройство может перейти в режим восстановления BitLocker.

Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями введите следующие команды:

  • Ответьте утвердительно на запрос об отключении Credential Guard в Защитнике Windows.
  • Для отключения Credential Guard в Защитнике Windows также можно отключить функции безопасности на основе виртуализации.
  • Компьютер должен иметь однократный доступ к контроллеру домена для расшифровки содержимого, например файлов, которые были зашифрованы с помощью EFS. Если вы хотите отключить учетные данные Windows Defender Guard и безопасность на основе виртуализации, выполните следующие команды BCDedit после отключения групповой политики безопасности на основе виртуализации и параметров реестра.

    В настоящее время защита учетных данных и Device Guard не поддерживается при использовании виртуальных машин Azure IaaS. Эти параметры будут доступны для будущих Gen 2 ВМ.

    Дополнительные сведения о системе безопасности на основе виртуализации и Device Guard в Защитнике Windows см. в руководстве по развертыванию Device Guard в Защитнике Windows.

    Отключение Credential Guard в Защитнике Windows с помощью средства проверки готовности оборудования к Device Guard в Защитнике Windows и Credential Guard в Защитнике Windows

    При запуске средства проверки готовности оборудования для Windows Defender и Windows Defender Guard в операционной системе, отличной от английской, в сценарии *$OSArch = $(gwmi win32_operatingsystem).OSArchitecture $OSArch = $((gwmi win32_operatingsystem).OSArchitecture).tolower() вместо этого используйте команду «Изменить», чтобы инструмент работал. Это известная проблема.

    Отключение Credential Guard в Защитнике Windows для виртуальной машины

    На узле вы можете отключить Credential Guard в Защитнике Windows для виртуальной машины:

    docs.microsoft.com

    Читайте также:

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *