【前言】
文章内容主要来自微软官方;
英文版:https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage
中文版:https://docs.microsoft.com/zh-cn/windows/security/identity-protection/credential-guard/credential-guard-manage
一般是失鸡无神Win10上的WMware突然因为系统更新或其他神不知鬼不觉的原因,导致运行不了WMware,而WMware提示跟微软的Hper-V或Credential Guard冲突,人们才会辗转到上面的连接。
页面内容主要目的是设置(或说管理)【Windows Defender Credential Guard】,即开启或关闭(启用或禁用)
页面内容一堆猛操作,云里雾里,主要它们表达都是后缀方式的逻辑,一些步骤可能根本没有,跟着步骤走也很懵逼,除非心大些无所谓看到后面的某某版本不用某一步(为啥不提前说!)
快速关闭Hyper-V和Credential Guard:
步骤一: 依次打开 【设置】【应用】【应用和功能】【程序和功能】【启用或关闭Windows功能】,取消勾选【Hyper-V】。(不使用微软的Hyper-V虚拟机,应该也没多少人用的玩意,除非玩针对)
步骤二:通过【1】禁用;看下【2】的注册表,确认没有或LsaCfgFlags的值为零即可
若开启了带UEFI锁的【Credential Guard】则我们必须使用如下步骤,因为设置被保存在EFI固件中;若没有带锁,则可以通过组策略关闭。
1. cmd 执行 gpedit.msc 打开组策略控制台,从【计算机配置】->【管理模板】->【系统】->【Device Guard】, 双击【打开基于虚拟化安全】,选中【已禁用】
2. 删除下面注册表设置
【 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags 】
【 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags 】
3. 若也希望关闭针对虚拟化的安全性,则可以删除如下注册表配置
【 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity 】
【 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures 】
步骤三:【重启】
以下是半吊水的意译,后来才发现应该有中文页面的,一些表述也是很意外,如
【Hypervisor-Protected Code Integrity and Windows Defender Credential Guard】工具,实际就是指一个powershell脚本
链接: https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/dg-readiness-tool
【Windows Defender Credential Guard】
可通过组策略、注册表,或者【Hypervisor-Protected Code Integrity and Windows Defender Credential Guard】脚本工具工具来设置。
其也能如同在物理机上一样保护Hyper-V虚拟机的秘钥,设置步骤相同。
【通过组策略设置】
若有需要这也会添加针对虚拟化的安全功能。
1. cmd 执行 gpedit.msc 打开组策略控制台,从【计算机配置】->【管理模板】->【系统】->【Device Guard】
2. 双击【打开基于虚拟化安全】,选中【已启用】
3. 在【选择平台安全级别】中选择【安全启动】或【安全启动和DMA保护】
4. 在【Credential Guard配置】中选择【使用UEFI锁启用】,然后【OK】。
若想远程关闭【Windows Defender Credential Guard】,则选择【无锁启用】
5. 在【安全启动配置】中选择【未配置】、【已启用】或【已禁用】
6. 关闭组策略控制台
可以运行【gpupdate /force】强制执行该组策略
【通过微软 Intune设置】//此方式忽略
【通过注册表设置】
一些系统需要先启用【Windows Defender Credential Guard】使用的针对虚拟化的安全特性。
(A)添加针对虚拟化的安全特性
Win10.1607和WinServer.2016的该功能不需要做此步骤,可以忽略。
但如果使用win10.1507.RTM 或Win10.1511 ,则必须启动针对虚拟化的安全特性。
这可以通过控制面板或【镜像部署服务与管理工具(DISM)】实现。
注意:若通过组策略开启【Windows Defender Credential Guard】,这些通过控制面板或DISM开启特定功能的步骤是不需要的,
组策略会为你安装这些特性。
(A.1)通过【应用和功能】添加虚拟化安全特性。
1. 【设置】【应用】【应用和功能】【程序和功能】
2. 【启用或关闭Windows功能】
3. 在【Hyper-V】【Hyper-V平台】处,勾选【Hyper-V Hypervisor】(Hyper-V 虚拟机监控程序)
4. 选择【Isolated User Mode】(隔离用户模式)(只在企业版或window server 2016中有)
5. 点击【确定】
(A.2)通过【DISM】给一个离线的镜像添加虚拟化安全特性。
1. 打开命令行
2. 执行下述命令添加【Hyper-V Hypervisor】
【dism /image:<WIM file name> /Enable-Feature /FeatureName:Microsoft-Hyper-V-Hypervisor /all】
3. 执行下述命令添加【Isolated User Mode】
【dism /image:<WIM file name> /Enable-Feature /FeatureName:IsolatedUserMode】
注意:
Win10 1607 或之后版本,【Isolated User Mode】功能已经集成到系统核心中。因此上述第三步不在需要。
(B)设置针对虚拟化的安全和【Windows Defender Credential Guard】
1. 打开注册表编辑器
2. 设置针对虚拟化的安全:
* 找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard
* 添加一个DWORD类型名为 EnableVirtualizationBasedSecurity 的值,设置1开启,0关闭。
* 添加一个Dword类型名为 RequirePlatformSecurityFeatures 的值,设置1使用【Secure Boot】(安全启动),设置3使用【Secure Boot and DMA protection】
3. 设置【Windows Defender Credential Guard】
* 找到 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA
* 添加一个DWORD类型名为 LsaCfgFlags 的值,设置1开启带UEFI锁的【Windows Defender Credential Guard】,设置2开启不带锁的,而设置0为关闭。
4. 关闭注册表编辑器
【通过(Hypervisor-Protected Code Integrity and Windows Defender Credential Guard hardware readiness tool)脚本工具设置(Windows Defender Credential Guard)】
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
