it-swarm.com.de

VMware Workstation und Device / Credential Guard sind nicht kompatibel

Ich habe VMware seit dem letzten Jahr ohne Probleme ausgeführt, heute habe ich es geöffnet, um eines meiner VM zu starten und eine Fehlermeldung zu erhalten, siehe Screenshot.

enter image description here

Ich bin dem Link gefolgt und habe die Schritte durchgearbeitet. In Schritt 4 muss ich ein Volume mit "mountvol" mounten. Wenn ich versuche, ein Volume mit mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\ zu mounten, wird immer The directory is not empty. angezeigt. Ich habe sogar eine Partition mit 2 GB erstellt und immer noch dieselbe Nachricht.

Meine Fragen:

Wie kann ich ein Volume bereitstellen, das nicht leer ist, obwohl es leer ist?

Warum hat sich dieser Device/Credential Guard automatisch aktiviert und wie kann ich ihn entfernen oder deaktivieren?.

CMD: enter image description here

80
Gman

Device/Credential Guard ist ein auf Hyper-V basierender Virtual Machine/Virtual Secure Mode der einen sicheren Kernel hostet, um Windows 10 viel sicherer zu machen.

enter image description here

... die VSM-Instanz von den normalen Betriebssystemfunktionen getrennt ist und durch Versuche, Informationen in diesem Modus zu lesen, geschützt ist. Die Schutzfunktionen werden von der Hardware unterstützt, da der Hypervisor anfordert, dass die Hardware diese Speicherseiten unterschiedlich behandelt. Auf diese Weise können zwei virtuelle Maschinen auf demselben Host nicht miteinander interagieren. Ihr Speicher ist unabhängig und hardwaregeregelt, um sicherzustellen, dass jeder VM nur auf seine eigenen Daten zugreifen kann.

Von hier aus haben wir jetzt einen geschützten Modus, in dem wir sicherheitsrelevante Vorgänge ausführen können. Zum Zeitpunkt des Schreibens unterstützen wir drei Funktionen, die sich hier befinden können: Local Security Authority (LSA) und Code Integrity Control-Funktionen in Form von Kernel Mode Code Integrity (KMCI) und Hypervisor Code Integrity Control selbst, die aufgerufen wird Hypervisor Code Integrity (HVCI).

enter image description here

Wenn diese Funktionen von Trustlets in VSM verwaltet werden, kommuniziert das Host-Betriebssystem einfach über Standardkanäle und -funktionen innerhalb des Betriebssystems mit ihnen. Obwohl diese Trustlet-spezifische Kommunikation zulässig ist, ist der Versuch von böswilligem Code oder Benutzern im Host-Betriebssystem, die Daten in VSM zu lesen oder zu bearbeiten, erheblich schwieriger als auf einem System ohne diese Konfiguration, was den Sicherheitsvorteil bietet.

Wenn Sie LSA in VSM ausführen, verbleibt der LSA-Prozess selbst (LSASS) im Host-Betriebssystem, und es wird eine spezielle zusätzliche Instanz von LSA (LSAIso - steht für LSA Isolated) erstellt. Auf diese Weise können alle Standardanrufe an LSA weiterhin erfolgreich ausgeführt werden und bieten eine hervorragende Legacy- und Abwärtskompatibilität, selbst für Dienste oder Funktionen, die eine direkte Kommunikation mit LSA erfordern. In dieser Hinsicht können Sie sich die verbleibende LSA-Instanz im Host-Betriebssystem als eine "Proxy" - oder "Stub" -Instanz vorstellen, die einfach auf vorgeschriebene Weise mit der isolierten Version kommuniziert.





Und Hyper-V und VMware können nicht gleichzeitig bis 202 , wenn VMware Hyper-V Platform verwendet, um mit Hyper-V zusammen zu existieren .

In Windows 10 haben wir viele Sicherheitsfunktionen eingeführt, die den Windows Hypervisor verwenden. Credential Guard, Windows Defender Application Guard und Virtualization Based Security verwenden den Windows Hypervisor. Gleichzeitig verwenden neue Entwicklerfeatures wie Windows Server Container und WSL 2 den Windows Hypervisor.

Dies hat es für unsere Kunden schwierig gemacht, VMware Workstation zu verwenden. In der Vergangenheit war es nicht möglich, VMware Workstation auszuführen, als Hyper-V aktiviert war.

In Zukunft können Benutzer alle diese Anwendungen zusammen ausführen. Dies bedeutet, dass Benutzer von VMware Workstation alle in Windows 10 verfügbaren Sicherheitsverbesserungen und Entwicklerfunktionen nutzen können.

Sie müssen Ihre VMs auf Hyper-V migrieren oder die Funktion deaktivieren.

Wenn Sie bei VMware bleiben möchten, deaktivieren Sie die Hyper-V- und isolierten Benutzermodus-/Sandbox-/Device Guard-Funktionen in der Systemsteuerung-> Programme & Funktionen-> Funktionen aktivieren oder deaktivieren und starten Sie das Gerät neu:

enter image description here

63
magicandre1981

Es gibt einen viel besseren Weg, um mit diesem Problem umzugehen. Anstatt Hyper-V vollständig zu entfernen, müssen Sie nur einen alternativen Start durchführen, um es vorübergehend zu deaktivieren, wenn Sie VMWare verwenden müssen. Wie hier gezeigt ...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

hinweis: Die aus dem ersten Befehl generierte ID verwenden Sie im zweiten Befehl. Führen Sie es nicht nur wörtlich aus.

Beim Neustart sehen Sie dann nur ein Menü mit zwei Optionen ...

  • Windows 10
  • Kein Hyper-V

Die Verwendung von VMWare ist also nur eine Frage des Neustarts und der Auswahl der Option "Kein Hyper-V".

Wenn Sie einen Starteintrag wieder entfernen möchten. Sie können die/delete-Option für bcdedit verwenden.

Holen Sie sich zunächst eine Liste der aktuellen Boot-Einträge ...

C:\>bcdedit /v

Hier werden alle Einträge mit ihren IDs aufgelistet. Kopieren Sie die entsprechende ID und entfernen Sie sie dann wie folgt ...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Wie in den Kommentaren erwähnt, müssen Sie dies von einer Eingabeaufforderung mit erhöhten Rechten aus tun, nicht von der Powershell. In Powershell wird der Befehl fehlschlagen.

61
user1751825

Ich bin immer noch nicht davon überzeugt, dass Hyper-V das Richtige für mich ist, selbst bei den Docker-Tests und Problemen des letzten Jahres. Ich denke, Sie möchten nicht sehr häufig wechseln, anstatt einen neuen Boot zu erstellen und die Boot-Standardeinstellung oder zu bestätigen das timeout warte ich bei jedem booten auf wunsch in der konsole im admin modus durch

bcdedit /set hypervisorlaunchtype off

Ein weiterer Grund für diesen Beitrag - um Ihnen Kopfschmerzen zu ersparen: Sie dachten, Sie schalten Hyper-V mit dem Argument "Ein" wieder ein? Nee. Zu einfach für MiRKoS..t. Es ist auto!

Habe Spaß!
G.

23
gue22

Um es super einfach zu machen:

  1. Einfach dieses Skript herunterladen direkt von Microsoft.

  2. Führen Sie Ihre PowerShell als Administrator aus und führen Sie dann die folgenden Befehle aus:

    • So überprüfen Sie, ob DG/CG aktiviert ist: DG_Readiness.ps1 -Ready
    • DG/CG deaktivieren. DG_Readiness.ps1 -Disable
9
Sharpowski

Ich hatte auch viel Probleme mit diesem Thema. Die Antworten in diesem Thread waren hilfreich, reichten aber nicht aus, um meinen Fehler zu beheben. Sie müssen Hyper-V und Device Guard wie in den anderen Antworten vorgeschlagen deaktivieren. Weitere Informationen dazu finden Sie in hier .

Zusätzlich zu den oben angegebenen Antworten füge ich die erforderlichen Änderungen hinzu. Der Link, der mir schließlich geholfen hat, war this .

Meine Antwort wird nur den Unterschied zwischen den restlichen Antworten (d. H. Deaktivieren von Hyper-V und Geräteschutz) und den folgenden Schritten zusammenfassen:

  1. Wenn Sie Gruppenrichtlinien verwendet haben, deaktivieren Sie die Gruppenrichtlinieneinstellung, die Sie zum Aktivieren von Windows Defender Credential Guard verwendet haben (Computerkonfiguration -> Administrative Vorlagen -> System -> Geräteschutz -> Virtualisierungsbasierte Sicherheit aktivieren).
  2. Löschen Sie die folgenden Registrierungseinstellungen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\LsaCfgFlags HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures

    Wichtig: Wenn Sie diese Registrierungseinstellungen manuell entfernen, müssen Sie alle löschen. Wenn Sie nicht alle entfernen, wechselt das Gerät möglicherweise in die BitLocker-Wiederherstellung.

  3. Löschen Sie die EFI-Variablen von Windows Defender Credential Guard mithilfe von bcdedit. Geben Sie an einer Eingabeaufforderung mit erhöhten Rechten (Start im Administratormodus) die folgenden Befehle ein:

     mountvol X: /s
    
     copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
    
     bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
    
     bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
    
     bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    
     bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
    
     bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
    
     mountvol X: /d
    
  4. Starten Sie den PC neu.

  5. Akzeptieren Sie die Aufforderung zum Deaktivieren von Windows Defender Credential Guard.

  6. Alternativ können Sie die virtualisierungsbasierten Sicherheitsfunktionen deaktivieren, um Windows Defender Credential Guard zu deaktivieren.

1
Nicholas K

Wenn Sie ein offenes benutzerdefiniertes "Als Administrator ausführen" -Befehlsfenster oder ein PowerShell-Befehlszeilenfenster haben, können Sie optional die folgenden Aliase/Makros einrichten, um die Ausführung der von @ gue22 genannten Befehle zu vereinfachen und Hyper-V-Hypervisor einfach zu deaktivieren Wenn Sie einen VMware-Player oder eine Workstation verwenden und diese anschließend wieder aktivieren müssen.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command Prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command Prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

Mit dem oben Gesagten geben Sie einfach "hpvenb" [Hypervisor beim Booten aktiviert], "hpvdis" [Hypervisor beim Booten deaktiviert] und "bcdl" [Liste der Startkonfigurationsgeräte] ein, um die Befehle on, off, list auszuführen.

0
myusrn

Nun Jungen und Mädchen, nachdem ich die Versionshinweise für Build 17093 in den frühen Morgenstunden gelesen habe, habe ich den Änderungspunkt gefunden, der sich auf meine VMware Workstation-VM auswirkt und bewirkt, dass sie nicht funktionieren In den Einstellungen finden Sie die Core-Isolationseinstellungen unter Gerätesicherheit unter Windows-Sicherheit (neuer Name für Windows Defender-Seite).

Standardmäßig ist es aktiviert, aber wenn ich es ausschaltete und meinen PC neu startete, arbeiteten alle meine VMware-VMs wieder richtig. Möglicherweise könnte im nächsten Build eine Option nach Gerät integriert werden, mit der wir die Antworten einzelner Geräte/Apps testen können, um die Core-Isolation je nach Bedarf für jedes Gerät oder jede App aktivieren oder deaktivieren zu können.

0
Devesh Sharma