VMware Workstation i Device / Credential Guard nie są kompatybilne

Używam VMware przez ostatni rok bez problemów, dziś otworzyłem go, aby uruchomić jedną z moich maszyn wirtualnych i otrzymałem komunikat o błędzie, patrz zrzut ekranu.

Skorzystałem z linku i wykonałem kroki, w kroku 4 muszę zamontować wolumin za pomocą polecenia „mountvol”. kiedy próbuję zamontować wolumin, używając mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\go, ciągle powtarza, The directory is not empty.że utworzyłem nawet partycję z 2 GB i nadal tym samym komunikatem.

Moje pytania:

Jak mogę zamontować wolumin, który nie jest pusty, mimo że jest?

Dlaczego ta funkcja Device / Credential Guard automatycznie się włączyła i jak mogę się go pozbyć lub wyłączyć.

CMD:

Device / Credential Guard to maszyna wirtualna / wirtualny tryb bezpieczny oparty na technologii Hyper-V, która obsługuje bezpieczne jądro, dzięki czemu system Windows 10 jest znacznie bezpieczniejszy.

... instancja VSM jest oddzielona od normalnych funkcji systemu operacyjnego i jest chroniona przez próby odczytania informacji w tym trybie. Zabezpieczenia są wspomagane sprzętowo, ponieważ hiperwizor żąda od sprzętu, aby te strony pamięci traktować inaczej. Jest to taki sam sposób, w jaki dwie maszyny wirtualne na tym samym hoście nie mogą ze sobą współdziałać; ich pamięć jest niezależna i regulowana sprzętowo, aby każda maszyna wirtualna miała dostęp tylko do własnych danych.

Stąd mamy teraz tryb chroniony, w którym możemy wykonywać operacje wrażliwe na bezpieczeństwo. W chwili pisania tego tekstu obsługujemy trzy funkcje, które mogą się tutaj znajdować: lokalny organ bezpieczeństwa (LSA) i funkcje kontroli integralności kodu w postaci integralności kodu trybu jądra (KMCI) oraz samą kontrolę integralności kodu hiperwizora, która nosi nazwę Integralność kodu hiperwizora (HVCI).

Gdy te możliwości są obsługiwane przez Trustlety w VSM, system operacyjny hosta po prostu komunikuje się z nimi za pośrednictwem standardowych kanałów i funkcji w systemie operacyjnym. Chociaż ta komunikacja specyficzna dla Trustlet jest dozwolona, ​​próba odczytania lub manipulowania danymi w VSM przez złośliwy kod lub użytkowników w systemie operacyjnym hosta będzie znacznie trudniejsza niż w systemie bez tej konfiguracji, zapewniając korzyści w zakresie bezpieczeństwa.

Uruchomienie LSA w VSM powoduje, że sam proces LSA (LSASS) pozostaje w systemie operacyjnym hosta i tworzona jest specjalna, dodatkowa instancja LSA (zwana LSAIso - co oznacza LSA Isolated). Ma to na celu umożliwienie wszystkim standardowym wywołaniom LSA powodzenia, oferując doskonałą zgodność starszą i wsteczną, nawet w przypadku usług lub funkcji, które wymagają bezpośredniej komunikacji z LSA. Pod tym względem pozostałą instancję LSA w systemie operacyjnym hosta można traktować jako instancję „proxy” lub „stub”, która po prostu komunikuje się z wersją izolowaną w określony sposób.

Hyper-V i VMware nie działały w tym samym czasie aż do 2020 roku , kiedy VMware użyło platformy Hyper-V do współistnienia z Hyper-V, począwszy od wersji 15.5.5 .

Jak działa VMware Workstation przed wersją 15.5.5?

VMware Workstation tradycyjnie korzystało z monitora maszyny wirtualnej (VMM), który działa w trybie uprzywilejowanym, wymagającym bezpośredniego dostępu do procesora, a także dostępu do wbudowanej obsługi wirtualizacji procesora (Intel VT-x i AMD-V AMD). Gdy host systemu Windows włącza funkcje zabezpieczeń opartych na wirtualizacji („VBS”), system Windows dodaje warstwę hiperwizora opartą na technologii Hyper-V między sprzętem a systemem Windows. Jakakolwiek próba uruchomienia tradycyjnego VMware VMware kończy się niepowodzeniem, ponieważ będąc w Hyper-V, VMM nie ma już dostępu do obsługi wirtualizacji sprzętu.

Przedstawiamy Monitor poziomu użytkownika

Aby rozwiązać ten problem ze zgodnością Hyper-V / Host VBS, zespół platformy VMware przeprojektował hiperwizor VMware, aby używał interfejsów API WHP firmy Microsoft. Oznacza to zmianę naszego programu VMM tak, aby działał na poziomie użytkownika zamiast w trybie uprzywilejowanym, a także zmodyfikowanie go tak, aby korzystał z interfejsów API WHP do zarządzania wykonywaniem gościa zamiast bezpośredniego używania podstawowego sprzętu.

Co to dla ciebie oznacza?

VMware Workstation / Player może teraz działać, gdy włączona jest funkcja Hyper-V. Nie musisz już wybierać między uruchomieniem VMware Workstation a funkcjami systemu Windows, takimi jak WSL, Device Guard i Credential Guard. Gdy funkcja Hyper-V jest włączona, tryb ULM zostanie automatycznie użyty, aby można było normalnie uruchomić VMware Workstation. Jeśli w ogóle nie używasz Hyper-V, VMware Workstation jest wystarczająco inteligentny, aby to wykryć i zostanie użyty VMM.

wymagania systemowe

Aby uruchomić stację roboczą / odtwarzacz przy użyciu interfejsów API funkcji Windows Hypervisor, minimalna wymagana wersja systemu Windows 10 to Windows 10 20H1, kompilacja 19041.264. Minimalna wersja VMware Workstation / Player to 15.5.5.

Aby uniknąć tego błędu, zaktualizuj system Windows 10 do wersji 2004 / kompilacja 19041 (aktualizacja z maja 2020 r.) I użyj co najmniej VMware 15.5.5 .

Istnieje znacznie lepszy sposób rozwiązania tego problemu. Zamiast całkowicie usuwać Hyper-V, po prostu wykonaj alternatywny rozruch, aby tymczasowo go wyłączyć, gdy musisz użyć VMWare. Jak pokazano tutaj ...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

uwaga: identyfikator wygenerowany z pierwszego polecenia jest tym, którego używasz w drugim. Nie uruchamiaj go dosłownie.

Po ponownym uruchomieniu zobaczysz menu z dwiema opcjami ...

• Windows 10
• Brak funkcji Hyper-V

Zatem używanie VMWare to tylko kwestia ponownego uruchomienia i wybrania opcji Bez Hyper-V.

Jeśli chcesz ponownie usunąć wpis rozruchowy. Możesz użyć opcji / delete dla bcdedit.

Najpierw pobierz listę bieżących wpisów rozruchowych ...

C:\>bcdedit /v

Zawiera listę wszystkich wpisów z ich identyfikatorami. Skopiuj odpowiedni identyfikator, a następnie usuń go w ten sposób ...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Jak wspomniano w komentarzach, musisz to zrobić z wiersza polecenia z podwyższonym poziomem uprawnień, a nie z PowerShell. W programie PowerShell polecenie spowoduje błąd.

aktualizacja: Możliwe jest uruchomienie tych poleceń w programie PowerShell, jeśli nawiasy klamrowe są poprzedzone znakiem odwrotnego znaku (`). Tak jak tak ...

C:\WINDOWS\system32> bcdedit /copy `{current`} /d "No Hyper-V"

Nadal nie jestem przekonany, że Hyper-V jest dla mnie The Thing, nawet z zeszłorocznymi próbami i problemami Dockera i myślę, że nie będziesz chciał zmieniać zbyt często, więc zamiast tworzyć nowy rozruch i potwierdzać domyślny rozruch lub czekając na przekroczenie limitu czasu przy każdym uruchomieniu włączam na żądanie w konsoli w trybie administratora przez

bcdedit /set hypervisorlaunchtype off

Kolejny powód dla tego postu - aby zaoszczędzić Ci trochę bólu głowy: Myślałeś, że ponownie włączasz Hyper-V z argumentem „on”? Nie. Zbyt proste dla MiRKoS..t. To auto !

Baw się dobrze!
SOL.

Aby było to bardzo łatwe:

1. Wystarczy pobrać ten skrypt bezpośrednio z firmy Microsoft.

2. Uruchom Powershell jako administrator, a następnie wykonaj następujące polecenia:

   • Aby sprawdzić, czy funkcja DG / CG jest włączona DG_Readiness.ps1 -Ready
   • Aby wyłączyć DG / CG. DG_Readiness.ps1 -Disable

Dla tych, którzy mogą napotkać ten problem z ostatnimi zmianami na komputerze związanymi z Hyper-V, musisz go wyłączyć podczas korzystania z VMWare lub VirtualBox. Nie pracują razem. Windows Sandbox i WSL 2 wymagają włączonego Hyper-V Hypervisora, który obecnie niszczy VMWare. Zasadniczo musisz uruchomić następujące polecenia, aby włączyć / wyłączyć usługi Hyper-V przy następnym ponownym uruchomieniu.

Aby wyłączyć Hyper-V i uruchomić VMWare, w PowerShell jako administrator:

bcdedit /set hypervisorlaunchtype off

Aby ponownie włączyć Hyper-V i na razie przerwać VMWare, w PowerShell jako administrator:

bcdedit /set hypervisorlaunchtype auto

Po tym będziesz musiał ponownie uruchomić komputer. Napisałem skrypt PowerShell, który przełączy to za Ciebie i potwierdzi to w oknach dialogowych. Nawet samoczynnie podnosi się do poziomu Administratora za pomocą tej techniki, dzięki czemu wystarczy kliknąć prawym przyciskiem myszy i uruchomić skrypt, aby szybko zmienić tryb Hyper-V. Można go łatwo zmodyfikować, aby zrestartował się również dla ciebie, ale osobiście nie chciałem, aby tak się stało. Zapisz to jako hypervisor.ps1 i upewnij się, że jesteś uruchomiony Set-ExecutionPolicy RemoteSigned, aby móc uruchamiać skrypty PowerShell.

# Get the ID and security principal of the current user account
$myWindowsID = [System.Security.Principal.WindowsIdentity]::GetCurrent();
$myWindowsPrincipal = New-Object System.Security.Principal.WindowsPrincipal($myWindowsID);

# Get the security principal for the administrator role
$adminRole = [System.Security.Principal.WindowsBuiltInRole]::Administrator;

# Check to see if we are currently running as an administrator
if ($myWindowsPrincipal.IsInRole($adminRole))
{
    # We are running as an administrator, so change the title and background colour to indicate this
    $Host.UI.RawUI.WindowTitle = $myInvocation.MyCommand.Definition + "(Elevated)";
    $Host.UI.RawUI.BackgroundColor = "DarkBlue";
    Clear-Host;
}
else {
    # We are not running as an administrator, so relaunch as administrator

    # Create a new process object that starts PowerShell
    $newProcess = New-Object System.Diagnostics.ProcessStartInfo "PowerShell";

    # Specify the current script path and name as a parameter with added scope and support for scripts with spaces in it's path
    $newProcess.Arguments = "-windowstyle hidden & '" + $script:MyInvocation.MyCommand.Path + "'"

    # Indicate that the process should be elevated
    $newProcess.Verb = "runas";

    # Start the new process
    [System.Diagnostics.Process]::Start($newProcess);

    # Exit from the current, unelevated, process
    Exit;
}

Add-Type -AssemblyName System.Windows.Forms


$state = bcdedit /enum | Select-String -Pattern 'hypervisorlaunchtype\s*(\w+)\s*'


if ($state.matches.groups[1].ToString() -eq "Off"){

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Enable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype auto
        [System.Windows.Forms.MessageBox]::Show("Enabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

} else {

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Disable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype off
        [System.Windows.Forms.MessageBox]::Show("Disabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

}

najprostszym rozwiązaniem tego problemu jest pobranie narzędzia gotowości sprzętowej „Device Guard and Credential Guard” w celu usunięcia niezgodności:

• https://www.microsoft.com/en-us/download/details.aspx?id=53337
• Rozpakuj suwak
• znajdziesz :

• wykonaj „DG_Readiness_Tool_v3.6.ps1” za pomocą PowerShell

• Teraz powinieneś być w stanie normalnie włączyć maszynę wirtualną.

Nie wiem dlaczego, ale wersja 3.6 DG_Readiness_Tool nie działała dla mnie. Po ponownym uruchomieniu problem nadal występował. Szukałem rozwiązania iw końcu trafiłem na wersję 3.7 narzędzia i tym razem problem zniknął. Tutaj możesz znaleźć najnowszy skrypt PowerShell:

DG_Readiness_Tool_v3.7

Z tym problemem też walczyłem. Odpowiedzi w tym wątku były pomocne, ale nie były wystarczające, aby rozwiązać mój błąd. Będziesz musiał wyłączyć Hyper-V i Ochronę urządzenia, tak jak sugerowały inne odpowiedzi. Więcej informacji na ten temat można znaleźć tutaj .

Oprócz odpowiedzi udzielonych powyżej załączam zmiany, które należy wprowadzić. Link, który w końcu mi pomógł, był następujący .

Moja odpowiedź podsumuje tylko różnicę między pozostałymi odpowiedziami (tj. Wyłączenie funkcji Hyper-V i Ochrona urządzenia) i następującymi krokami:

1. Jeśli korzystałeś z zasad grupy, wyłącz ustawienie zasad grupy, które zostało użyte do włączenia ochrony poświadczeń programu Windows Defender (Konfiguracja komputera -> Szablony administracyjne -> System -> Ochrona urządzeń -> Włącz zabezpieczenia oparte na wirtualizacji).

2. Usuń następujące ustawienia rejestru:

   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ RequireSurity

   Ważne: jeśli ręcznie usuniesz te ustawienia rejestru, pamiętaj, aby usunąć je wszystkie. Jeśli nie usuniesz ich wszystkich, urządzenie może przejść do odzyskiwania funkcji BitLocker.

3. Usuń zmienne EFI funkcji Windows Defender Credential Guard za pomocą narzędzia bcdedit. W wierszu polecenia z podwyższonym poziomem uprawnień (uruchom w trybie administratora) wpisz następujące polecenia:

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d
   

4. Uruchom ponownie komputer.

5. Zaakceptuj monit o wyłączenie ochrony poświadczeń programu Windows Defender.

6. Alternatywnie możesz wyłączyć funkcje zabezpieczeń oparte na wirtualizacji, aby wyłączyć Ochronę poświadczeń usługi Windows Defender.

SZYBKIE ROZWIĄZANIE NA KAŻDYM KROKU:

Naprawiono błąd w VMware Workstation na Windows 10 Host Transport (VMDB) Błąd -14: Połączenie rurowe zostało zerwane.

Dzisiaj będziemy naprawiać błąd VMWare na komputerze z systemem Windows 10.

1. W polu RUN wpisz „gpedit”, a następnie przejdź do [ERROR SEE POINT 3]

1- Konfiguracja komputera 2- Szablony administracyjne 3- System - Ochrona urządzenia: JEŚLI NIE MA URZĄDZENIA STRAŻNIKA: (POBIERZ https://www.microsoft.com/en-us/download/100591 zainstaluj tę "c:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)\PolicyDefinitions" KOPIĘ, aby c:\windows\PolicyDefinitions) 4- Włącz opcję opartą na wirtualizacji Bezpieczeństwo. Teraz kliknij to dwukrotnie i „Wyłącz”

2. Otwórz wiersz polecenia jako administrator i wpisz następujące polecenie gpupdate / force [NIE ROBIĆ, JEŚLI NIE MASZ STRAŻNIKA URZĄDZENIA W INNYM MIEJSCU PONOWNIE PRZEJDZIE]

3. Otwórz Edytor rejestru, teraz przejdź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard. Dodaj nową wartość DWORD o nazwie EnableVirtualizationBasedSecurityi ustaw ją na 0, aby ją wyłączyć. Dalej Idź do HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA. Dodaj nową wartość DWORD o nazwie LsaCfgFlagsi ustaw ją na 0, aby ją wyłączyć.

4. W polu URUCHOM wpisz Włącz lub wyłącz funkcje systemu Windows, teraz odznacz Hyper-V i uruchom ponownie system.

5. Otwórz wiersz polecenia jako administrator i wpisz następujące polecenia

    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

    bcdedit /set hypervisorlaunchtype off

Teraz uruchom ponownie system

Jeśli jesteś osobą, która przez cały czas utrzymuje otwarty, dostosowany wiersz poleceń „Uruchom jako administrator” lub okno wiersza poleceń programu PowerShell, możesz opcjonalnie skonfigurować następujące aliasy / makra, aby uprościć wykonywanie poleceń wymienionych przez @ gue22, aby po prostu wyłączyć hiperwizor hyper-v gdy trzeba użyć odtwarzacza vmware lub stacji roboczej, a następnie włączając je ponownie po zakończeniu.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

Mając powyższe na miejscu, wystarczy wpisać polecenia „hpvenb” [hiperwizor włączony podczas rozruchu], „hpvdis” [hiperwizor wyłączony podczas rozruchu] i „bcdl” [lista urządzeń konfiguracyjnych rozruchu], aby wykonać polecenia włączania, wyłączania listy.

Cóż, Chłopcy i dziewczęta, po przeczytaniu informacji o wydaniu kompilacji 17093 we wczesnych godzinach nocnych, znalazłem punkt zmiany, który wpływa na moje maszyny wirtualne VMware Workstation i powoduje, że nie działają, są to ustawienia Core Isolation w obszarze Device Security w sekcji Windows Security (nowa nazwa strony Windows Defender) w ustawieniach .

Domyślnie jest włączony, jednak kiedy go wyłączyłem i zrestartowałem komputer, wszystkie moje maszyny wirtualne VMware wznowiły działanie. Być może opcja według urządzenia mogłaby zostać włączona do następnej kompilacji, aby umożliwić nam testowanie odpowiedzi poszczególnych urządzeń / aplikacji, aby umożliwić włączanie lub wyłączanie izolacji rdzenia dla każdego urządzenia lub aplikacji zgodnie z wymaganiami.

Oto odpowiednie instrukcje, których każdy może przestrzegać.

• Najpierw pobierz narzędzie gotowości sprzętowej Device Guard i Credential Guard z tego łącza: https://www.microsoft.com/en-us/download/details.aspx?id=53337
• wypakuj zawartość folderu zip do lokalizacji, takiej jak: C: \ guard_tool
• będziesz mieć pliki takie jak ta kopia nazwa pliku z rozszerzeniem ps1 w moim przypadku jego wersja 3.6, więc będzie to: DG_Readiness_Tool_v3.6.ps1

• Następnie kliknij menu Start i wyszukaj PowerShell, a następnie kliknij prawym przyciskiem myszy i uruchom jako Administrator.

• Następnie zobaczysz niebieski terminal, wprowadź polecenie cd C: \ guard_tool , zamień ścieżkę po cd na wyodrębnioną lokalizację narzędzia
• Teraz wpisz polecenie :. \ DG_Readiness_Tool_v3.6.ps1 -Disable
• Po tym zrestartuj system
• Po ponownym uruchomieniu systemu podczas rozruchu system wyświetli powiadomienie z czarnym tłem, aby sprawdzić, czy chcesz wyłączyć te funkcje, więc naciśnij klawisz F3, aby potwierdzić.
• zrób +1, jeśli to pomogło :)