首页
社区
课程
招聘
[翻译] 微软Hyper-V与VMware的不兼容
发表于: 2020-5-19 15:09 5218

[翻译] 微软Hyper-V与VMware的不兼容

2020-5-19 15:09
5218


【前言】

    文章内容主要来自微软官方;

      英文版:https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage

      中文版:https://docs.microsoft.com/zh-cn/windows/security/identity-protection/credential-guard/credential-guard-manage

     一般是失鸡无神Win10上的WMware突然因为系统更新或其他神不知鬼不觉的原因,导致运行不了WMware,而WMware提示跟微软的Hper-V或Credential Guard冲突,人们才会辗转到上面的连接。

    页面内容主要目的是设置(或说管理)【Windows Defender Credential Guard】,即开启或关闭(启用或禁用)

    页面内容一堆猛操作,云里雾里,主要它们表达都是后缀方式的逻辑,一些步骤可能根本没有,跟着步骤走也很懵逼,除非心大些无所谓看到后面的某某版本不用某一步(为啥不提前说!)


快速关闭Hyper-V和Credential Guard:

 步骤一: 依次打开 【设置】【应用】【应用和功能】【程序和功能】【启用或关闭Windows功能】,取消勾选【Hyper-V】。(不使用微软的Hyper-V虚拟机,应该也没多少人用的玩意,除非玩针对)

步骤二:通过【1】禁用;看下【2】的注册表,确认没有或LsaCfgFlags的值为零即可

    若开启了带UEFI锁的【Credential Guard】则我们必须使用如下步骤,因为设置被保存在EFI固件中;若没有带锁,则可以通过组策略关闭。

    1. cmd 执行 gpedit.msc 打开组策略控制台,从【计算机配置】->【管理模板】->【系统】->【Device Guard】, 双击【打开基于虚拟化安全】,选中【已禁用】

    2. 删除下面注册表设置

      【 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags 】

      【 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags 】

    3. 若也希望关闭针对虚拟化的安全性,则可以删除如下注册表配置

      【 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity 】

      【 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures 】

步骤三:【重启】



以下是半吊水的意译,后来才发现应该有中文页面的,一些表述也是很意外,如

【Hypervisor-Protected Code Integrity and Windows Defender Credential Guard】工具,实际就是指一个powershell脚本

链接: https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/dg-readiness-tool



【Windows Defender Credential Guard】

  可通过组策略、注册表,或者【Hypervisor-Protected Code Integrity and Windows Defender Credential Guard】脚本工具工具来设置。

  其也能如同在物理机上一样保护Hyper-V虚拟机的秘钥,设置步骤相同。


【通过组策略设置】

    若有需要这也会添加针对虚拟化的安全功能。

    1. cmd 执行 gpedit.msc 打开组策略控制台,从【计算机配置】->【管理模板】->【系统】->【Device Guard】

    2. 双击【打开基于虚拟化安全】,选中【已启用】

    3. 在【选择平台安全级别】中选择【安全启动】或【安全启动和DMA保护】

    4. 在【Credential Guard配置】中选择【使用UEFI锁启用】,然后【OK】。

        若想远程关闭【Windows Defender Credential Guard】,则选择【无锁启用】

    5. 在【安全启动配置】中选择【未配置】、【已启用】或【已禁用】

    6. 关闭组策略控制台

    可以运行【gpupdate /force】强制执行该组策略


【通过微软 Intune设置】//此方式忽略


【通过注册表设置】

    一些系统需要先启用【Windows Defender Credential Guard】使用的针对虚拟化的安全特性。

    (A)添加针对虚拟化的安全特性

        Win10.1607和WinServer.2016的该功能不需要做此步骤,可以忽略。

        但如果使用win10.1507.RTM 或Win10.1511 ,则必须启动针对虚拟化的安全特性。

        这可以通过控制面板或【镜像部署服务与管理工具(DISM)】实现。

        

        注意:若通过组策略开启【Windows Defender Credential Guard】,这些通过控制面板或DISM开启特定功能的步骤是不需要的,

        组策略会为你安装这些特性。

        

        (A.1)通过【应用和功能】添加虚拟化安全特性。

          1. 【设置】【应用】【应用和功能】【程序和功能】

          2. 【启用或关闭Windows功能】

          3. 在【Hyper-V】【Hyper-V平台】处,勾选【Hyper-V Hypervisor】(Hyper-V 虚拟机监控程序)

          4. 选择【Isolated User Mode】(隔离用户模式)(只在企业版或window server 2016中有)

          5. 点击【确定】

        (A.2)通过【DISM】给一个离线的镜像添加虚拟化安全特性。

          1. 打开命令行

          2. 执行下述命令添加【Hyper-V Hypervisor】

           【dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all】

          3. 执行下述命令添加【Isolated User Mode】

           【dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode】

         注意:

            Win10 1607 或之后版本,【Isolated User Mode】功能已经集成到系统核心中。因此上述第三步不在需要。

    (B)设置针对虚拟化的安全和【Windows Defender Credential Guard】

       1. 打开注册表编辑器

       2. 设置针对虚拟化的安全:

           * 找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard

           * 添加一个DWORD类型名为 EnableVirtualizationBasedSecurity 的值,设置1开启,0关闭。

           * 添加一个Dword类型名为 RequirePlatformSecurityFeatures 的值,设置1使用【Secure Boot】(安全启动),设置3使用【Secure Boot and DMA protection】

       3. 设置【Windows Defender Credential Guard】

           * 找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA

           *  添加一个DWORD类型名为 LsaCfgFlags 的值,设置1开启带UEFI锁的【Windows Defender Credential Guard】,设置2开启不带锁的,而设置0为关闭。

       4. 关闭注册表编辑器


【通过(Hypervisor-Protected Code Integrity and Windows Defender Credential Guard hardware readiness tool)脚本工具设置(Windows Defender Credential Guard)】


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//