VMware Workstation и Device / Credential Guard несовместимы

Я использую VMware в течение последнего года без проблем, сегодня я открыл ее, чтобы запустить одну из моих виртуальных машин и получить сообщение об ошибке, см. Снимок экрана.

Я перешел по ссылке и выполнил шаги, на шаге 4 мне нужно смонтировать том с помощью «mountvol». когда я пытаюсь смонтировать том, используя mountvol X: \\?\Volume{5593b5bd-0000-0000-0000-c0f373000000}\его, он продолжает говорить, что The directory is not empty.я даже создал раздел размером 2 ГБ, но сообщение остается тем же.

Мои вопросы:

Как смонтировать непустой том, даже если он пуст?

Почему это устройство / Credential Guard автоматически включилось и как я могу от него избавиться или отключить.

CMD:

Device / Credential Guard - это виртуальная машина / виртуальный безопасный режим на основе Hyper-V , в котором размещено безопасное ядро, чтобы сделать Windows 10 намного более безопасной.

... экземпляр VSM отделен от обычных функций операционной системы и защищен попытками чтения информации в этом режиме. Защита осуществляется с помощью оборудования, поскольку гипервизор запрашивает, чтобы оборудование обрабатывало эти страницы памяти по-разному. Таким же образом две виртуальные машины на одном хосте не могут взаимодействовать друг с другом; их память независима, а аппаратно регулируется, чтобы каждая виртуальная машина могла получить доступ только к своим собственным данным.

Отсюда у нас теперь есть защищенный режим, в котором мы можем выполнять операции, чувствительные к безопасности. На момент написания мы поддерживаем три возможности, которые могут находиться здесь: локальный орган безопасности (LSA) и функции контроля целостности кода в форме целостности кода режима ядра (KMCI) и сам контроль целостности кода гипервизора, который называется Целостность кода гипервизора (HVCI).

Когда эти возможности обрабатываются трастлетами в VSM, ОС хоста просто связывается с ними через стандартные каналы и возможности внутри ОС. Хотя эта специфическая для трастлетов связь разрешена, попытка злонамеренного кода или пользователей в ОС хоста читать или манипулировать данными в VSM будет значительно сложнее, чем в системе без этой настройки, что обеспечивает преимущество безопасности.

Запуск LSA в VSM приводит к тому, что сам процесс LSA (LSASS) остается в ОС хоста, и создается специальный дополнительный экземпляр LSA (называемый LSAIso, что означает LSA Isolated). Это сделано для того, чтобы все стандартные вызовы LSA по-прежнему успешно выполнялись, предлагая отличную унаследованную и обратную совместимость даже для услуг или возможностей, требующих прямого взаимодействия с LSA. В этом отношении вы можете рассматривать оставшийся экземпляр LSA в ОС хоста как «прокси» или «заглушку», которые просто связываются с изолированной версией предписанными способами.

И Hyper-V, и VMware не работали одновременно до 2020 года , когда VMware использовала платформу Hyper-V для сосуществования с Hyper-V, начиная с версии 15.5.5 .

Как работает VMware Workstation до версии 15.5.5?

VMware Workstation традиционно использует монитор виртуальной машины (VMM), который работает в привилегированном режиме, требуя прямого доступа к ЦП, а также доступа к встроенной поддержке виртуализации ЦП (Intel VT-x и AMD-V от AMD). Когда хост Windows включает функции безопасности на основе виртуализации («VBS»), Windows добавляет уровень гипервизора на основе Hyper-V между оборудованием и Windows. Любая попытка запустить традиционный VMM от VMware терпит неудачу, потому что, находясь внутри Hyper-V, VMM больше не имеет доступа к поддержке виртуализации оборудования.

Представляем User Level Monitor

Чтобы решить эту проблему совместимости Hyper-V / Host VBS, команда разработчиков платформы VMware изменила архитектуру гипервизора VMware для использования API-интерфейсов Microsoft WHP. Это означает изменение нашего VMM для работы на уровне пользователя, а не в привилегированном режиме, а также изменение его для использования API-интерфейсов WHP для управления выполнением гостя вместо прямого использования базового оборудования.

Что это значит для тебя?

VMware Workstation / Player теперь может работать, когда включен Hyper-V. Вам больше не нужно выбирать между запуском VMware Workstation и такими функциями Windows, как WSL, Device Guard и Credential Guard. Когда Hyper-V включен, автоматически будет использоваться режим ULM, чтобы вы могли нормально запускать VMware Workstation. Если вы вообще не используете Hyper-V, VMware Workstation достаточно умен, чтобы обнаружить это, и VMM будет использоваться.

Системные Требования

Для запуска Workstation / Player с использованием API-интерфейсов гипервизора Windows минимально необходимая версия Windows 10 - это Windows 10 20H1 build 19041.264. Минимальная версия VMware Workstation / Player - 15.5.5.

Чтобы избежать ошибки, обновите Windows 10 до версии 2004 / сборки 19041 (обновление Mai 2020) и используйте как минимум VMware 15.5.5 .

Есть гораздо лучший способ справиться с этой проблемой. Вместо того, чтобы полностью удалять Hyper-V, вы просто выполняете альтернативную загрузку, чтобы временно отключить его, когда вам нужно использовать VMWare. Как показано здесь ...

http://www.hanselman.com/blog/SwitchEasilyBetweenVirtualBoxAndHyperVWithABCDEditBootEntryInWindows81.aspx

C:\>bcdedit /copy {current} /d "No Hyper-V" 
The entry was successfully copied to {ff-23-113-824e-5c5144ea}. 

C:\>bcdedit /set {ff-23-113-824e-5c5144ea} hypervisorlaunchtype off 
The operation completed successfully.

Примечание: ID, сгенерированный из первой команды, - это то, что вы используете во второй. Не пишите просто дословно.

После перезапуска вы просто увидите меню с двумя вариантами ...

• Windows 10
• Нет Hyper-V

Таким образом, использование VMWare - это просто вопрос перезагрузки и выбора параметра «Без Hyper-V».

Если вы хотите снова удалить загрузочную запись. Вы можете использовать параметр / delete для bcdedit.

Сначала получите список текущих загрузочных записей ...

C:\>bcdedit /v

Здесь перечислены все записи с их идентификаторами. Скопируйте соответствующий идентификатор, а затем удалите его вот так ...

C:\>bcdedit /delete {ff-23-113-824e-5c5144ea}

Как упоминалось в комментариях, вам нужно сделать это из командной строки с повышенными привилегиями, а не из PowerShell. В PowerShell команда выдаст ошибку.

update: эти команды можно запускать в PowerShell, если фигурные скобки экранированы обратным апострофом (`). Вот так...

C:\WINDOWS\system32> bcdedit /copy `{current`} /d "No Hyper-V"

Я все еще не уверен, что Hyper-V - это для меня Вещь, даже несмотря на прошлогодние испытания и невзгоды Docker, и я думаю, вы не захотите переключаться очень часто, поэтому вместо создания новой загрузки и подтверждения загрузки по умолчанию или ожидания тайм-аута при каждой загрузке, которую я переключаю по требованию в консоли в режиме администратора,

bcdedit /set hypervisorlaunchtype off

Еще одна причина для этого поста - избавить вас от головной боли: вы думали, что снова включаете Hyper-V с помощью аргумента «on»? Нет. Слишком просто для МИРКОС..т. Это авто !

Радоваться, веселиться!
ГРАММ.

Чтобы сделать это очень просто:

1. Просто скачайте этот скрипт прямо из Microsoft.

2. Запустите Powershell от имени администратора, а затем выполните следующие команды:

   • Чтобы проверить, включен ли DG / CG DG_Readiness.ps1 -Ready
   • Чтобы отключить DG / CG. DG_Readiness.ps1 -Disable

Тем, кто может столкнуться с этой проблемой из-за недавних изменений на вашем компьютере, связанных с Hyper-V, вам необходимо отключить ее при использовании VMWare или VirtualBox. Они не работают вместе. Windows Sandbox и WSL 2 требуют наличия гипервизора Hyper-V, который в настоящее время нарушает работу VMWare. По сути, вам необходимо выполнить следующие команды, чтобы включить / отключить службы Hyper-V при следующей перезагрузке.

Чтобы отключить Hyper-V и заставить VMWare работать, в PowerShell в качестве администратора:

bcdedit /set hypervisorlaunchtype off

Чтобы повторно включить Hyper-V и временно отключить VMWare, в PowerShell от имени администратора:

bcdedit /set hypervisorlaunchtype auto

После этого вам нужно будет перезагрузиться. Я написал сценарий PowerShell, который переключит это за вас и подтвердит с помощью диалоговых окон. Он даже самовосстанавливается до уровня администратора, используя этот метод, так что вы можете просто щелкнуть правой кнопкой мыши и запустить сценарий, чтобы быстро изменить режим Hyper-V. Его также можно легко изменить для перезагрузки, но я лично не хотел, чтобы это произошло. Сохраните его как hypervisor.ps1 и убедитесь, что вы запустили его, Set-ExecutionPolicy RemoteSignedчтобы можно было запускать сценарии PowerShell.

# Get the ID and security principal of the current user account
$myWindowsID = [System.Security.Principal.WindowsIdentity]::GetCurrent();
$myWindowsPrincipal = New-Object System.Security.Principal.WindowsPrincipal($myWindowsID);

# Get the security principal for the administrator role
$adminRole = [System.Security.Principal.WindowsBuiltInRole]::Administrator;

# Check to see if we are currently running as an administrator
if ($myWindowsPrincipal.IsInRole($adminRole))
{
    # We are running as an administrator, so change the title and background colour to indicate this
    $Host.UI.RawUI.WindowTitle = $myInvocation.MyCommand.Definition + "(Elevated)";
    $Host.UI.RawUI.BackgroundColor = "DarkBlue";
    Clear-Host;
}
else {
    # We are not running as an administrator, so relaunch as administrator

    # Create a new process object that starts PowerShell
    $newProcess = New-Object System.Diagnostics.ProcessStartInfo "PowerShell";

    # Specify the current script path and name as a parameter with added scope and support for scripts with spaces in it's path
    $newProcess.Arguments = "-windowstyle hidden & '" + $script:MyInvocation.MyCommand.Path + "'"

    # Indicate that the process should be elevated
    $newProcess.Verb = "runas";

    # Start the new process
    [System.Diagnostics.Process]::Start($newProcess);

    # Exit from the current, unelevated, process
    Exit;
}

Add-Type -AssemblyName System.Windows.Forms


$state = bcdedit /enum | Select-String -Pattern 'hypervisorlaunchtype\s*(\w+)\s*'


if ($state.matches.groups[1].ToString() -eq "Off"){

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Enable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype auto
        [System.Windows.Forms.MessageBox]::Show("Enabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

} else {

    $UserResponse= [System.Windows.Forms.MessageBox]::Show("Disable Hyper-V?" , "Hypervisor" , 4)

    if ($UserResponse -eq "YES" ) 
    {

        bcdedit /set hypervisorlaunchtype off
        [System.Windows.Forms.MessageBox]::Show("Disabled Hyper-V. Reboot to apply." , "Hypervisor")

    } 

    else 

    { 

        [System.Windows.Forms.MessageBox]::Show("No change was made." , "Hypervisor")
        exit

    }

}

Самое простое решение этой проблемы - загрузить «Инструмент готовности оборудования Device Guard и Credential Guard», чтобы исправить несовместимость:

• https://www.microsoft.com/en-us/download/details.aspx?id=53337
• Распаковать почтовый индекс
• ты найдешь :

• выполнить "DG_Readiness_Tool_v3.6.ps1" с помощью PowerShell

• Теперь вы сможете нормально включить виртуальную машину.

Не знаю почему, но DG_Readiness_Tool версии 3.6 у меня не работал. После того, как я перезапустил свой ноутбук, проблема не исчезла. Я искал решение и, наконец, наткнулся на версию 3.7 инструмента, и на этот раз проблема исчезла. Здесь вы можете найти последний скрипт PowerShell:

DG_Readiness_Tool_v3.7

Я тоже много боролся с этой проблемой. Ответы в этой теме были полезны, но их было недостаточно для устранения моей ошибки. Вам нужно будет отключить Hyper-V и Device Guard, как предлагали другие ответы. Более подробную информацию об этом можно найти здесь .

Я включаю необходимые изменения в дополнение к приведенным выше ответам. Ссылка, которая наконец мне помогла, была вот эта .

В моем ответе я суммирую только разницу между остальными ответами (например, отключение Hyper-V и защиты устройства) и следующими шагами:

1. Если вы использовали групповую политику, отключите параметр групповой политики, который вы использовали для включения Credential Guard в Защитнике Windows (Конфигурация компьютера -> Административные шаблоны -> Система -> Device Guard -> Включить безопасность на основе виртуализации).

2. Удалите следующие параметры реестра:

   HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ LSA \ LsaCfgFlags HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuard \ EnableVirtualizationBasedSecurity HKEY_LOCAL_MACHINE \ Software \ Policies \ Microsoft \ Windows \ DeviceGuardSecurity \ Requirements

   Важно: если вы вручную удалите эти параметры реестра, обязательно удалите их все. Если вы не удалите их все, устройство может перейти в режим восстановления BitLocker.

3. Удалите переменные EFI Credential Guard в Защитнике Windows с помощью bcdedit. В командной строке с повышенными привилегиями (запуск в режиме администратора) введите следующие команды:

    mountvol X: /s
   
    copy %WINDIR%\System32\SecConfig.efi X:\EFI\Microsoft\Boot\SecConfig.efi /Y
   
    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"
   
    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO
   
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} device partition=X:
   
    mountvol X: /d
   

4. Перезагрузите компьютер.

5. Примите приглашение отключить Credential Guard в Защитнике Windows.

6. Кроме того, вы можете отключить функции безопасности на основе виртуализации, чтобы отключить Credential Guard в Защитнике Windows.

БЫСТРОЕ РЕШЕНИЕ НА КАЖДОМ ШАГЕ:

Исправлена ​​ошибка в VMware Workstation на транспортном сервере хоста Windows 10 (VMDB), ошибка -14: соединение трубы было прервано.

Сегодня мы будем исправлять ошибку VMWare на компьютере с Windows 10.

1. В поле RUN введите gpedit, затем Goto [ERROR SEE POINT 3]

1- Конфигурация компьютера 2- Административные шаблоны 3- Система - Device Guard: ЕСЛИ НЕТ DEVICE GUARD: (СКАЧАТЬ https://www.microsoft.com/en-us/download/100591, установить эту "c:\Program Files (x86)\Microsoft Group Policy\Windows 10 November 2019 Update (1909)\PolicyDefinitions" КОПИЮ в c:\windows\PolicyDefinitions) 4- Включить виртуализацию Безопасность. Теперь дважды щелкните по нему и "Отключить"

2. Откройте командную строку от имени администратора и введите следующую команду gpupdate / force [НЕ ДЕЛАЙТЕ, ЕСЛИ У ВАС НЕ ИМЕЕТ УСТРОЙСТВО GUARD, ИНАЧЕ, ЭТО ПРОВОДИТСЯ]

3. Откройте редактор реестра, перейдите к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\DeviceGuard. Добавьте новое значение DWORD с именем EnableVirtualizationBasedSecurityи установите для него значение 0, чтобы отключить его. Далее Перейти к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA. Добавьте новое значение DWORD с именем LsaCfgFlagsи установите для него значение 0, чтобы отключить его.

4. В поле RUN введите Включить или выключить компоненты Windows, теперь снимите флажок Hyper-V и перезапустите систему.

5. Откройте командную строку от имени администратора и введите следующие команды

    bcdedit /create {0cb3b571-2f2e-4343-a879-d86a476d7215} /d "DebugTool" /application osloader

    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} path "\EFI\Microsoft\Boot\SecConfig.efi"

    bcdedit /set {bootmgr} bootsequence {0cb3b571-2f2e-4343-a879-d86a476d7215}
    
    bcdedit /set {0cb3b571-2f2e-4343-a879-d86a476d7215} loadoptions DISABLE-LSA-ISO,DISABLE-VBS

    bcdedit /set hypervisorlaunchtype off

Теперь перезагрузите вашу систему

Если вы постоянно поддерживаете открытую настроенную командную строку «Запуск от имени администратора» или окно командной строки PowerShell, вы можете при желании настроить следующие псевдонимы / макросы, чтобы упростить выполнение команд, упомянутых @ gue22, для простого отключения гипервизора Hyper-V при необходимости использовать проигрыватель VMware или рабочую станцию, а затем снова включить его, когда закончите.

doskey hpvEnb = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype auto ^& echo.^&echo now reboot to enable hyper-v hypervisor )
doskey hpvDis = choice /c:yn /cs /d n /t 30 /m "Are you running from elevated command prompt" ^& if not errorlevel 2 ( bcdedit /set hypervisorlaunchtype off ^& echo.^&echo now reboot to disable hyper-v hypervisor )
doskey bcdL = bcdedit /enum ^& echo.^&echo now see boot configuration data store {current} boot loader settings

С указанным выше вы просто набираете команды «hpvenb» [гипервизор включен при загрузке], «hpvdis» [гипервизор отключен при загрузке] и «bcdl» [список устройств конфигурации загрузки] для выполнения команд включения, выключения, списка.

Что ж, мальчики и девочки, прочитав примечания к выпуску для сборки 17093 в предрассветные часы ночи, я обнаружил точку изменения, которая влияет на мою виртуальную машину VMware Workstation, заставляя их не работать, это настройки изоляции ядра в разделе Безопасность устройства в разделе безопасность Windows (новое имя для страницы защитника Windows) в настройках .

По умолчанию он включен, однако, когда я выключил его и перезапустил компьютер, все мои виртуальные машины VMware возобновили правильную работу. Возможно, в следующую сборку можно будет включить опцию по устройствам, чтобы мы могли тестировать ответы отдельных устройств / приложений, чтобы позволить включать или отключать изоляцию ядра для каждого устройства или приложения по мере необходимости.

Вот соответствующие инструкции, которым может следовать каждый.

• Сначала загрузите инструмент готовности оборудования Device Guard и Credential Guard по этой ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=53337
• извлеките содержимое zip-папки в какое-нибудь место, например: C: \ guard_tool
• у вас будут файлы, подобные этому имени файла копии файла расширения ps1, в моем случае это v3.6, поэтому он будет: DG_Readiness_Tool_v3.6.ps1

• Затем щелкните меню «Пуск» и найдите powershell, а затем щелкните его правой кнопкой мыши и запустите от имени администратора.

• После этого вы увидите терминал синего цвета, введите команду cd C: \ guard_tool , замените путь после cd на ваше извлеченное местоположение инструмента.
• Теперь введите команду:. \ DG_Readiness_Tool_v3.6.ps1 -Disable
• После этого перезагрузите систему
• Когда ваша система перезагружается, во время загрузки система покажет уведомление с черным фоном, чтобы убедиться, что вы хотите отключить эти функции, поэтому нажмите F3 для подтверждения.
• сделай +1, если помогло :)